计算机病毒的防范与查杀步骤

在所有的计算机安全威胁中，计算机病毒（Computer Virus）无疑是破坏力最大，影响范围最广的一种。计算机病毒在20世纪五六十年代就已经出现，到20世纪80年代开始为世人所知并不断发展壮大，自此，计算机病毒就成为计算机用户的最大隐患。20世纪90年代，随着Internet网络技术的发展，病毒的传播变得更容易，一个地区出现的恶性病毒在几天甚至几个小时之间就会传播到地球的另一端。病毒的种类也是花样繁多，令人防不胜防。病毒影响的范围、破坏力和造成的损失越来越大，所使用的技术越来越先进，反病毒、隐藏及加密技术等使病毒防御困难重重。

1.计算机病毒的概念

计算机病毒是一个程序，一段可执行码。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件蔓延。“计算机病毒”一词是由于人们认为这种自我复制蔓延的程序具有与生物病毒相似的特征而借用生物学病毒而使用的计算机术语。

美国计算机安全专家Frederick Cohen博士首先提出计算机病毒的存在，他对计算机病毒的定义是：“病毒是一种靠修改其他程序来插入或进行自复制，从而感染其他程序的一段程序。”这一定义作为标准已经被普遍接受。

目前国内比较流行的是1994年颁布的《中华人民共和国计算机信息系统安全保护条例》第28条中的定义，即“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。”

2.计算机病毒的类型

以往按照计算机病毒的诸多特点及特性，其分类方法有很多种，比如按攻击的操作系统分有DOS系统病毒、Windows系统病毒、UNIX或OS／2系统病毒；按传播媒介分有单机病毒、网络病毒；按链接方式分有源码型病毒、入侵型病毒、外壳型病毒、操作系统型病毒；按表现情况分有良性病毒、恶性病毒；按寄生方式分有引导型病毒、文件型病毒、混合型病毒。而且同一种病毒按照不同的分类方法可能被分到许多不同的类别中，但在最近几年，主要的病毒各类提法主要有以下几种。

（1）系统病毒

系统病毒的前缀为Win32、PE、Win95、W32、W95等。这些病毒的一般共性是可以感染Windows操作系统的.exe和.dll文件，并通过这些文件进行传播。如早期的CHI病毒。

（2）蠕虫病毒

这种病毒的共性是通过网络或者系统漏洞进行传播，很大一部分蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性，比如“小邮差”“冲击波”等。

（3）木马和黑客病毒

木马的前缀是Trojan，黑客病毒的前缀一般为Hack。木马的共性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，如QQ消息尾巴木马Trojan.QQ3344，还有针对网络游戏的木马病毒Trojan.Lmir.PSW.60。黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，现在这两种类型的病毒越来越趋向于整合了。

（4）脚本病毒

脚本病毒的前缀是Script。脚本病毒的共性是使用脚本语言编写，通过网页进行传播，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）等。

（5）宏病毒

宏病毒也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是Macro，第二前缀是Word、Word97、Excel、Excel97等，如著名的美丽莎（Macro.Melissa）。

（6）后门病毒

后门病毒的前缀是Backdoor。该类病毒的共性是通过网络传播，给系统开后门，给用户计算机带来安全隐患，如IRC后门Backdoor.IRCBot。

3.计算机病毒的来源

计算机病毒主要有以下几种来源：

（1）计算机专业人员和业余爱好者的恶作剧、寻开心制造出来的病毒。

（2）软件公司及用户为保护自己的软件被非法复制采取的报复性惩罚措施。因为他们发现对软件上锁还不如在其中藏有病毒对非法复制的打击大，这更加助长了各种病毒的传播。

（3）旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒，其目的是蓄意进行破坏。

（4）用于研究或有益目的而设计的程序，由于某种原因失去控制或产生了意想不到的后果。

4.计算机病毒的特征

计算机病毒赖以生存的基础是现代计算机均采用了冯·诺依曼的存储程序工作原理、操作系统的公开性和脆弱性以及网络中的漏洞。程序和数据都存储在计算机中，程序和数据都可以被读、写、修改和复制，即程序可以在内存中繁殖。计算机病毒常见的特性有感染性、流行性、欺骗性、危害性、可插入性、潜伏性、可激发性、隐蔽性、顽固性和常驻内存。

感染了计算机病毒后的计算机表现如下：

（1）磁盘重要区域，如引导扇区（BOOT）、文件分配表（FAT）、根目录区被破坏，从而使系统瘫痪或数据程序文件丢失。

（2）程序加载时间变长，或执行时间比平时长。机器运行速度明显变慢，磁盘读写时间明显增长。

（3）文件的建立日期和时间被修改。

（4）空间出现不可解释的减小，可执行文件因RAM区不足而不能加载。

（5）可执行文件运行后秘密丢失了，或产生了新的文件。

（6）更改或重写卷标，使磁盘卷标发生变化，或者莫名其妙地出现隐藏文件或其他文件。

（7）磁盘上出现坏扇区，有效空间减少。有的病毒为了逃避检测，故意制造坏扇区，而将病毒代码隐藏在坏扇区内。

（8）没有使用COPY命令，却在屏幕上显示“1File（s）Copied！”。

（9）改变系统的正常进程；或者使系统空挂，使屏幕或键盘处于死锁状态；或者在正常操作情况下常驻程序失败。

（10）屏幕上出现特殊的显示，如出现跳动的小球、雪花、局部闪烁、莫名其妙的提问，或出现一些异常的显示画面，如长方形亮块、小毛虫等。

（11）机器出现蜂鸣声或发出尖叫声、警报声，或演奏某些歌曲。

（12）系统出现异常启动或莫名其妙地重启动，或启动失控，或经常死机。

（13）局域网或通信线路上发生异常加载等。

（14）删除或修改磁盘特定的扇区，或对特定的磁盘、扇区和整个磁盘作格式化。

（15）改变磁盘上目标信息的存储状态，盗取有用的重要数据。

（16）对于系统中用户特定的文件进行加密和解密。

（17）打印或通信端口异常，或磁盘驱动器碰头来回移动。

（18）异常地要求用户输入口令。

需要说明的是，上述症状只是常见的特征，随着计算机科学技术的进步会有更新型的计算机病毒出现。新病毒通常会有一些其他新的特征。

5.计算机病毒的防范

计算机病毒的防治主要还是以防范为主。要想有效地防范病毒，要做到以下几方面：

（1）安装杀毒软件。如果计算机上没有安装病毒防护软件，最好安装一个。如果是家庭或者个人用户，下载任何一个排名最佳的程序都相当容易，而且可以按照安装向导进行操作。如果在一个网络中，首先咨询网络管理员。

（2）定期扫描系统。如果是第一次启动防病毒软件，最好让它扫描一下整个系统。干净并且无病毒的环境下启动计算机有利于计算机的运行安全。通常情况下，最好将防病毒软件默认设置为计算机每次启动时扫描系统或定期计划运行全盘扫描。

（3）更新防病毒软件。病毒库过期的防病毒软件对系统的安全来说是没有意义的，所以经常更新防病毒软件是一件不能忽视的事情，只有更新的防病毒软件才能发现新的威胁。

（4）不要随意单击链接和下载软件，特别是那些网站含有明显错误的网页。如需要下载软件，建议到官方网站或知名度比较大的网站上下载。

（5）不要访问无名或不熟悉的网站，防止受到恶意代码攻击或被恶意篡改注册表和IE主页。

（6）不要和陌生人或不熟悉的网友聊天，特别是那些QQ病毒携带者。因为他们不时自动发送消息，这也是中病毒的明显特征。

（7）关闭不用的应用程序，因为那些程序对系统往往会构成威胁，同时还会占用内存，降低系统运行速度。

（8）安装软件时，不要安装其捆绑的软件，特别是流氓软件，一旦安装了，就难以删除，往往需要重新安装操作系统才能清除。

（9）不要轻易执行来历不明的EXE和COM等可执行程序文件，这些文件极有可能带有计算机病毒或黑客程序，如果运行的是病毒或黑客程序，就会带来不可预测的结果。

（10）在接收邮件时，附件的文件应先用“另存为”命令保存到本地硬盘中用防病毒软件查杀后，确保安全后方能打开查看。更不能直接运行附件，尤其是对于扩展名很怪的附件或者带有脚本文件的附件，当看到含有这些附件的邮件时，可直接删除该邮件。

（11）利用Windows Update功能为系统打补丁，避免病毒以网页木马方式入侵到系统中。

（12）经常升级应用软件，保持最新版本，包括各种IM（即时通信）工具、下载工具、播放器软件、搜索工具条等；避免病毒利用这些应用软件的漏洞进行木马传播。