计算机病毒传播途径与防范措施

3.4.2　计算机病毒

1.计算机病毒简介

计算机病毒是一个程序，一段可执行码。像生物病毒一样，计算机病毒有其独特的复制能力，可以很快地蔓延，又常常难以根除，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。现在，随着计算机网络的发展，计算机病毒和计算机网络技术相结合，蔓延的速度更加迅速。

一般计算机病毒具备以下一些特性：

（1）可执行性：与其他合法程序一样，病毒是一段可执行程序，但不是一个完整的程序，而是寄生在其他可执行程序上，病毒运行时，与合法程序争夺系统的控制权，往往会造成系统崩溃，导致计算机瘫痪。

（2）传染性：正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的，而病毒却能够使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可以通过各种可能的渠道，如软盘、光盘和计算机网络去传染给其他的计算机，是否具有传染性是判别一段程序是否为计算机病毒的最重要条件。

（3）隐蔽性：病毒一般是具有很高编程技巧、短小精悍的一段程序，通常潜入在正常程序或磁盘中。病毒程序与正常程序不容易被区别开来，在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间内感染大量程序。而且受到感染后，计算机系统通常仍能正常运行，用户不会感到有任何异常。正是由于其隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到其他计算机中。

（4）潜伏性：大部分病毒在感染系统之后不会马上发作，它可以长时间隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。如“PETER－2”病毒在每年2月27日会提3个问题，答错后将会把硬盘加密；“黑色星期五”病毒在逢13号的星期五发作，还有4月26日发作的CIH病毒等。这些病毒在平时会隐藏得很好，只有在发作日才会被激活，产生破坏性。

（5）破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。良性病毒可能只做一些恶作剧，或者根本没有任何破坏动作，只是会占用系统资源。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的甚至对数据造成不可挽回的破坏。

计算机病毒之所以具有寄生能力和破坏能力，与病毒程序的结构有密切关系。目前已出现的病毒都具有共同的逻辑程序结构，一般包含3大模块，即引导模块、感染模块和表现（破坏）模块。其中，后两个模块都包括一段触发条件检查程序段，它们分别检查是否能满足触发条件和是否满足表现（破坏）条件。一旦相同的条件得到满足，病毒就会进行感染和表现（破坏）。

2.计算机病毒分类

要系统地了解计算机病毒，就要先对计算机病毒进行分类。计算机病毒的分类方法有很多种，以下列举几种常见的分类方法：

按计算机病毒攻击的机型分类可分为：攻击微型机的病毒；攻击小型机的病毒；攻击工作站的病毒；攻击中、大型计算机的病毒。

按病毒的传播媒介分类可分为：单机病毒，通常以磁盘、U盘、光盘等存储设备为载体；网络病毒，通过网络协议或电子邮件进行传播。

按病毒攻击的操作系统分类可分为：DOS病毒；Windows病毒；UNIX或OS/2系统病毒；Macintosh系统病毒；其他操作系统病毒，如嵌入式操作系统病毒。

按病毒的链接方式分类可分为：源码型病毒，此类病毒攻击用高级语言编写的程序，在编译之前将病毒代码插入到源程序中；入侵型病毒，此类病毒将自身嵌入到已有程序中，把计算机病毒的主体程序与其攻击对象以插入方式链接，并代替其中部分不常用的功能模块或堆栈区；外壳性病毒，此类病毒通常附着在宿主程序的首部或尾部，相当于给宿主程序加了一个“外壳”；译码型病毒，此类隐藏在如Office、HTML等文档中，如常见的宏病毒、脚本病毒；操作系统型病毒，此类加入或取代部分操作系统功能进行工作，具有很强的破坏性。

按病毒的表现（破坏）情况分类可分为：良性病毒，不包含对计算机系统产生直接破坏作用的代码，主要是表现其存在，只是不停地传播并占用资源，包括无危害型病毒和无危险型病毒；恶性病毒，代码中包含损伤和破坏计算机系统的操作，感染或发作时对系统产生直接破坏作用，包括危险型病毒和非常危险型病毒。

按计算机病毒寄生方式分类可分为：引导型病毒，病毒程序占据操作系统引导区，如“小球”病毒；文件型病毒，主要感染一些可执行文件，是主流的病毒，如目录病毒、宏病毒；混合型病毒，集引导型和文件型病毒特性于一体。

3.计算机病毒的传播机制

计算机病毒的传播途径有很多，包括：通过不可移动的计算机硬件设备进行传播，如硬盘；通过移动存储设备传播，如磁带、软盘、移动硬盘、U盘、光盘等；通过有线网络系统传播，主要包括电子邮件、Web、BBS、FTP、即时通信等；通过无线通信系统传播，如WAP服务器、网关、蓝牙等。

计算机病毒的传播机制，也称为计算机病毒的感染机制，其目的是实现病毒自身的修复和隐藏。病毒的感染对象主要有两种：一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件中。另外，宏病毒、脚本病毒是比较特殊的病毒，在用户使用Office或浏览器的时候获取执行权；还有一些蠕虫只寄生在内存中，而不感染引导扇区和文件。

不同种类的病毒，其传染机理也不同。引导型病毒的传染机理是利用在开机引导时窃取中断控制权，并在计算机运行过程中监视软盘读写时机，趁机完成对软盘的引导区感染，被感染的软盘又会传染给其他计算机。文件型病毒的传染机理是执行被感染的可执行文件后，病毒进驻内存，监视系统运行，并查找有可能被感染的文件进行感染。混合型感染则既感染引导扇区，又感染文件。交叉感染是指一个宿主程序上感染多种病毒，这类感染的杀毒处理比较麻烦。

为更好地说明计算机病毒的传播机制，下面介绍两个计算机病毒实例，一个是通过U盘自启动功能传播的“AutoRun”病毒，另一个是通过电子邮件传播的“ILOVEYOU”病毒。

（1）“AutoRun”病毒

“AutoRun”病毒一般是通过移动介质的自启动功能传播的，也称U盘病毒。能够通过产生的AutoRun.inf文件进行传播的病毒都可称为“AutoRun”病毒。

AutoRun.inf文件是从Windows 95开始的，最初用在其安装盘里，实现自动安装，以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。AutoRun.inf的关键字如表3－1所示。

表3－1　AutoRun.inf的关键字

“AutoRun”病毒会在系统中每个磁盘目录下创建AutoRun.inf病毒文件，借助“Windows自动播放”的特性，用户双击盘符时就可以立即激活指定的病毒。

一般来说，“AutoRun”病毒都会通过隐藏扩展名，伪装成系统图标等方式来隐藏自己，用户可通过修改“文件夹选项”设置来显示这些隐藏的病毒。

（2）“ILOVEYOU”病毒

“ILOVEYOU”病毒属于恶意代码范畴，以下是“ILOVEYOU”病毒的一些基本信息：

病毒名称：“ILOVEYOU”病毒

病毒别名：“情书”病毒或“Love Letter”病毒

中毒症状：扩展名为.mp3，.jpg，.jpeg，.hta，.vbe，.js，.jse等十种文件格式的扩展名会被改为.vbs。

“ILOVEYOU”病毒是一种主要借助邮件传播的病毒，该病毒借助ILOVEYOU的虚假外衣，欺骗相关用户打开其内存的VBS附件从而感染病毒。感染后，该病毒会通过Outlook通讯录向外传播，并且在本机中大量搜索相关账号和密码，并发给开发者，是恶性病毒的一种。所以要提醒广大计算机用户警惕不明邮件，不要打开来源不明的邮件所包含的附件。

“I LOVE YOU”病毒传播是以电子邮件的方式进行的，透过一封信件标题为“ILOVEYOU”的电子邮件散播，附件为“LOVE－LETTER－FOR－YOU.txt.vbs”（献给你的情书），信件内容“kindly check the attached LOVE LETTER coming from me”，如图3－16所示。

图3－16　“ILOVEYOU”病毒的邮件

“ILOVEYOU”病毒有以下几个主要的危害：

·病毒会经由被感染者Outlook通讯录的名单发出自动信件，借以连锁性地大规模散播，造成企业邮件服务器瘫痪。

·病毒发作时，会感染并覆写后缀名为.mp3，.vbs，.jpg，.jpeg，.hta，.vbe，.js，.jse等十种文件格式。

·病毒大肆复制自身，覆盖音乐和图片文件。

该病毒还会在受到感染的计算机上搜索用户的账号和密码，并发送给病毒作者。