第6章典型計算機病毒的原理、防范和去除計算機病毒原理與防范秦志光,張鳳荔第6章典型計算機病毒的原理、防范和去除計算機病毒防范的概念和原那么去除計算機病毒的一般性原那么〔1〕計算機病毒的去除工作最好在無毒的環境中進行。〔2〕在啟動系統的系統盤和殺毒軟件盤上加寫保護標簽。〔3〕在去除計算機病毒之前，一定要確認系統或文件確實存在計算機病毒，并且準確判斷出計算機病毒的種類，以保證殺毒的有效性。〔4〕殺毒工作要深入而全面，為保證其工作過程的正確性，要對檢測到的計算機病毒進行認真的分析研究，找出計算機病毒的宿主程序，確定其計算機病毒標識符和感染對象，即搞清楚計算機病毒感染的是引導區還是文件，或者是既感染引導區，又感染文件，同時要弄清計算機病毒感染宿主程序的方法，對自身加密的計算機病毒要引起重視，把修改正的文件轉換過來，以便找出去除計算機病毒的最正確方法。如果隨便去除計算機病毒，可能造成系統或文件不能運行。〔5〕盡量不要使用激活計算機病毒的方法檢測計算機病毒，因為在激活計算機病毒的同時，計算機系統有可能已經被破壞了。〔6〕一般不能用計算機病毒標識免疫方法去除計算機病毒。〔7〕一定要干凈徹底地去除計算機及磁盤上所有的同一計算機病毒，對于混合型計算機病毒，既要去除文件中的計算機病毒代碼，還要去除引導區中的計算機病毒代碼，以防止這些計算機病毒代碼再次重新生成計算機病毒。〔8〕對于同一宿主程序被幾個計算機病毒交叉感染或重復感染的，要按感染的逆順序從后向前依次去除計算機病毒。去除計算機病毒的根本方法簡單工具治療:使用Debug等簡單工具，借助檢測者對某種計算機病毒的具體知識，從感染計算機病毒的軟件中摘除計算機病毒代碼。專用工具治療:專用計算機病毒治療工具，根據對計算機病毒特征的記錄，自動去除感染程序中的計算機病毒代碼，使之得以恢復。治療計算機病毒的一般過程〔1〕用戶養成良好的使用計算機的習慣。〔2〕軟件備份。〔3〕軟件試驗和生產過程的控制。制定掃描周期表應表達以下原那么與系統配置修改掛鉤，當配置修改完畢即執行漏洞掃描與漏洞庫及漏洞掃描器軟件升級掛鉤，當升級完畢即執行漏洞掃描。與漏洞修補工作掛鉤，當修補工作完畢即執行漏洞掃描。漏洞掃描工作是主機系統平安的初期工作，是發現漏洞的過程。如果發現漏洞卻不去修補，漏洞掃描就毫無意義漏洞修補措施的原那么如下完成漏洞報告分析，主要分清漏洞產生的原因、系統管理員誤配置、系統和軟件自身的缺陷、黑客行為〔如木馬程序〕。對于系統管理員誤配置，應及時參考有關手冊，得出正確的配置方案并對誤配置進行更正。對于操作系統和應用軟件自身的缺陷，應該向開發商尋求升級版本或有關補丁〔patch〕。對于黑客行為，關鍵要弄清楚其留下的木馬或后門〔BackDoor〕的原理和位置，并及時去除。漏洞庫和系統配置標準規那么的升級主要來自3個方面對于商業軟件，可從開發商手中獲取升級信息。系統管理員直接從諸如等平安網站下載漏洞信息，自己進行升級。系統管理員根據自己的工作經驗特別是與黑客較量中獲得的經驗教訓，自己編制漏洞庫以進行升級防范計算機病毒的特殊方法6.2引導區計算機病毒引導區是在系統引導的時候，進入到系統中，獲得對系統的控制權，在完成其自身的安裝后才去引導系統的。引導區計算機病毒是因為這類計算機病毒一般是都侵占系統硬盤的主引導扇區或I/O分區的引導扇區，對于軟盤那么侵占了軟盤的引導扇區。原理1．系統引導型計算機病毒的運行方式這類計算機病毒在進行其自身的安裝時，為了實現向外進行傳播和破壞等作用，一般都要修改系統的中斷向量，使之指向計算機病毒程序相應效勞都分。這樣在系統運行時只要使用到這些中斷向量，或者滿足計算機病毒程序設定的某些特定條件，就將觸發計算機病毒程序進行傳播和破壞。通過對系統中斷向量的篡改，從而使原來只是駐留在軟、硬盤導扇區中的計算機病毒程序由靜態轉變為動態，具有了隨時向外進行傳播和對系統進行破壞的能力。2．系統引導型計算機病毒的傳播方式系統引導型計算機病毒的傳染對象主要是軟盤的引導扇區和硬盤的主引導扇區〔也叫分區扇區〕及硬盤分區的引導扇區。根據這類計算機病毒的傳染特點，其傳染的一般方式為：由含有計算機病毒的系統感染在該系統中進行讀、寫操作的所有軟盤，然后再由這些軟盤以復制的方式〔靜態傳染〕和引導進入到其他計算機系統的方式〔動態傳染〕，感染其他計算機的硬盤和計算機系統。如此循環下去，就使該計算機病毒迅速地傳播開來。3．系統引導型計算機病毒的破壞或表現方式這類計算機病毒的表現方式變化多樣，它們反映了計算機病毒編制者的目的。其中破壞最嚴重的是格式化整張磁盤〔如“磁盤殺手〞病毒〕，另外還有破壞目錄區〔如“大麻〞病毒和“磁盤殺手〞病毒〕，還有一些計算機病毒破壞系統與外設的連接〔如“2708〞計算機病毒，它封鎖打印機破壞正常操作〕等。對于計算機病毒的破壞方式，我們只要能充分認識到其危險性，了解其發作的特點和時間，就能識別出所發現的計算機病毒與其他的計算機病毒的不同，這就已到達目的。因為當我們截斷了計算機病毒程序的引導和傳播，那么，它的破壞作用是發揮不出來的，但是每一種計算機病毒的表現局部又都有很大差異，這些都為分析帶來了一定的麻煩，需要花費一定的時間才能得出結論。預防引導型計算機病毒一般在啟動計算機時，優先取得控制權，搶占內存。通常情況下，只要盡量不用軟盤或用干凈的軟盤啟動系統，是不會染上引導型計算機病毒的。對軟盤進行寫保護，可以很好地保護軟盤不被非法寫入，從而不感染上引導型計算機病毒。軟盤可以用寫保護的方法來保證磁盤中數據的平安，而硬盤至今為止大都沒有這樣的裝置，硬盤處于隨時隨地都可以改寫的狀態，這就是硬盤為什么易感染計算機病毒、易被改寫數據而導致系統時常癱瘓的原因。要保證硬盤的平安，除了從操作方面注意外，就只有采取用軟件來保護硬盤的措施。我們知道，對于磁盤的寫操作有兩種中斷方法，即BIOS中的INT13H的3號功能和INT26H中的絕對磁盤寫中斷，而INT26H的磁盤操作最終是由INT13H實施的，并且INT26H的入口處參數是邏輯扇區號，它不能對硬盤的主引導扇區進行操作，所以只要監視INT13H的3號功能，就可以控制整個硬盤的寫操作，使硬盤的敏感部位〔如主引導扇區、DOS引導區、FAT等〕不被改寫，保證硬盤的平安；并隨時監視INT13H的3號功能，當有對硬盤的寫操作時，將暫停程序執行，在屏幕上顯示當前將要操作的硬盤物理位置，即磁頭號、磁盤號和扇區號，等待用戶進行選擇。在對硬盤的寫操作很少的情況下，最好把此程序放在主批處理的首部。檢測1．查看系統內存的總量、與正常情況進行比較查看系統內存的總量、與正常情況進行比較，一般對于有640KB根本內存的系統，用DOS的CHKDSK命令檢查時，顯示此時總內存數為655360字節。對于COMPAQ機和Olivetti機，其系統內存總量為639KB〔系統占用IKB〕。此時屏幕上顯示的數值為654336。如果系統中有系統引導型計算機病毒，一般這個數值一定要減少。減少的數量根據該種計算機病毒所占內存的不同而不同。2．檢查系統內存高端的內容檢查系統內存高端的內容，判斷其代碼是否可疑。一般在系統剛引導時，在內存的高端很少有駐留的程序。當發現系統內存減少時，可以進一步用Debug查看內存高端駐留代碼的內存，與正常情況進行比較。這需要有一定的經驗，并且需要用戶對匯編語言和Debug程序有一定的了解。3．檢查系統的INT13H中斷向量檢查系統的INT13H中斷向量與正常情況進行比較，因為計算機病毒程序要向外進行傳播，所以該種類型的計算機病毒一般修改系統的INT13H中斷向量，使之指向計算機病毒程序的傳播局部。此時，我們可以檢查系統0：004C～0：004F處INT13中斷向量的地址，與系統正常情況進行比較。4．檢查硬盤的主引導扇區、DOS分區引導扇區及軟盤的引導扇區硬盤DOS分區的引導扇區和軟盤的引導扇區，除了首部的BPB表參數不同外，其余的引導代碼是一樣的，其作用是引導系統的啟動過程，用戶此時也是取出這些扇區與正常的內容進行比較來確定是否被計算機病毒感染。通過以上幾項檢查，可以初步判斷用戶的系統中或軟、硬盤上是否含有計算機病毒。應該注意的是，比較的前提是用戶需要預先將系統中斷及將軟、硬盤引導扇區的內容提取出來，保存在一個軟盤中，以作為進行計算機病毒檢查時的比較資料。去除消除這類計算機病毒的根本思想是：用原來正常的分區表信息或引導扇區信息，覆蓋掉計算機病毒程序。對于那些對分區表和引導扇區內容進行搬移的計算機病毒，那么要分析這段計算機病毒程序，找到被搬移的正常引導扇區內容的存放地址，將它們讀到內存中，寫回到被計算機病毒程序侵占的扇區；如果對于那些不對分區表進行搬移的計算機病毒，那么只有從一個與該計算機硬盤相近的機器中提取出正常的分區記錄的信息，將其讀入內存，再將被計算機病毒覆蓋的分區記錄也讀到內存中，取其尾部64字節分區信息內容，放到讀入的正常分區記錄內容的相應局部，最后再將其內容寫回硬盤。應該指出的是，以上的解毒過程，應是在系統無毒的狀態下進行。當然，最簡單、平安的去除方式還是使用專業的殺毒軟件來消除這類計算機病毒。6.3文件型病毒文件型計算機病毒程序都是依附在系統可執行文件或覆蓋文件上，當文件裝入系統執行的時候，引導計算機病毒程序也進入到系統中。只有極少計算機病毒程序感染數據文件。原理1．文件型計算機病毒的運行方式對于文件型計算機病毒而言，由于它們多數是依附在系統可執行的文件上，所以它引導進入系統的方式，與系統可執行文件的裝入和執行過程緊密相聯。當計算機病毒程序感染一個可執行文件后，它為了能夠使自已引導進入到系統中，就必須修改原文件的頭部參數。2．文件型計算機病毒的傳染方式文件型計算機病毒的傳染對象大多被是系統可執行文件，也有一些還要對覆蓋文件進行傳染，而對數據進行傳染的那么較少見。在傳染過程中，這些計算機病毒程序或依附在文件的首部，或者依附在文件的尾部，都要使原可執行文件的長度增加假設干字節。計算機病毒程序此時之所以具有向外傳染的能力預防但凡文件型計算機病毒，都要尋找一個宿主，然后寄生在宿主“體內〞，隨著宿主的活動到處傳播。這些宿主根本都是可執行文件。可執行文件被感染，其表現病癥為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內部信息被修改等。針對上述病癥，可以設計一些預防文件型計算機病毒的方法：常駐內存監視INT21H中斷、給可執行文件加上“自檢外殼〞等。附加的“自檢外殼〞不能和可執行文件的代碼很好地融合，常常和原文件發生沖突，使原文件不能正常執行。有時候，附加的“自檢外殼〞會被認為是一種新計算機病毒，附加的“自檢外殼〞只能發現計算機病毒而無法去除。使用專有的程序給可執行文件增加“自檢外殼〞也會使計算機病毒制造者造出具有針對性的計算機病毒。在源程序中增加自檢及去除計算機病毒的功能。這種方法的優點是可執行文件從生成起，就有抗計算機病毒的能力，從而可以保證可執行文件的干凈。自檢去除功能局部和可執行文件的其他局部融為一體，不會和程序的其他功能沖突，也使計算機病毒制造者無法造出具有針對性的計算機病毒。預防文件型計算機病毒方法的核心就是使可執行文件具有自檢功能，在被加載時檢測本身的幾項指標：文件長度、文件頭部信息、文件內部抽樣信息、文件目錄表中有關信息等。其實現的過程是在使用匯編語言或其他高級語言時，先把上述有關的信息定義為假設干大小固定的幾個變量，給每個變量先賦一個值，待匯編或編譯之后，根據可執行文件中的有關信息，把源程序中的有關變量進行修改，再重新匯編或編譯，就得到了所需的可執行文件。檢測去除解毒可以分為如下4個步驟來進行。〔1〕確定計算機病毒程序的位置，是駐留在文件的尾部還是在文件的首部。〔2〕找到計算機病毒程序的首部位置〔對應于在文件尾部駐留方式〕，或者尾部位置〔對應于在文件首部駐留方式〕。〔3〕恢復原文件頭部的參數。〔4〕修改文件的長度，將原文件寫回。恢復染毒文件的頭部參數是解毒操作過程中的重要步驟之一。對于.COM型文件，因為此時只有頭部3字節的參數被搬移，所以仔細跟蹤分析計算機病毒程序，找到原文件頭部的這3字節的內容，恢復它們就可以。對于.EXE型文件，因其頭部參數較復雜，且較多，恢復時一定要細心，仔細查找原文件頭參數的地址。另外，由于除去計算機病毒程序后，原文件長度將減少，這樣標志文件長度的參數要做相應的修改。CIH病毒CIH病毒屬文件型計算機病毒，其別名有Win95.CIH，Spacefiller，Win32.CIH，PE_CIH等，它主要感染Windows95/98操作系統下的可執行文件〔PE格式，PortableExecutableFormat)。CIH計算機病毒的各種不同版本CIH計算機病毒的各種不同版本隨時間的開展而不斷完善，下面是其根本開展歷程。〔1〕CIH計算機病毒v1.0版本最初的V1.0版本僅僅只有656字節，其雛形顯得比較簡單，與普通類型的計算機病毒相比在結構上并無多大的改善，其最大的“賣點〞是在于其是當時為數不多的、可感染MicrosoftWindowsPE類可執行文件的計算機病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。〔2〕CIH計算機病毒v1.1版本當CIH開展到v1.1版本時，計算機病毒長度為796字節，此版本的CIH計算機病毒具有可判斷WindowsNT軟件的功能，一旦判斷用戶運行的是WindowsNT操作系統，那么不發生作用，進行自我隱藏，以防止產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個特點在于其可以利用WINPE類可執行文件中的“空隙〞，將自身根據需要分裂成幾個局部后，分別插入到PE類可執行文件中，這樣做可以在感染大局部WINPE類文件時，不會導致文件長度增加。〔3〕CIH計算機病毒v1.2版本當CIH開展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性計算機病毒的行列，此版本的CIH計算機病毒體長度為1003字節。〔4〕CIH計算機病毒v1.3版原先v1.2版本的CIH計算機病毒的最大缺陷在于當其感染ZIP自解壓包文件〔ZIPSelf-extractorsFile〕時，將導致此ZIP壓縮包在自解壓時出現以下錯誤信息：WinZipSelf-Extractorheadercorrupt.Possiblecause：diskorfiletransfererror.v1.3版本的CIH計算機病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，那么不進行感染，同時，此版本的CIH計算機病毒修改了發作時間。v1.3版本的CIH計算機病毒長度為1010字節。〔5〕CIH計算機病毒v1.4版本此版本的CIH計算機病毒改進了上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及計算機病毒中的版權信息〔版本信息被更改為：“CIHv1.4TATUNG〞，而以前版本中的相關信息為“CIHv1.xTTIT〞〕，此版本的病毒長度為1019字節。CIH病毒CIH計算機病毒發作時所產生的破壞性:CIH屬惡性計算機病毒，當其發作條件成熟時，將破壞硬盤數據，同時有可能破壞BIOS程序。感染CIH計算機病毒的特征由于流行的CIH計算機病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字符串來識別是否感染了CIH計算機病毒，搜索的特征串為“CIHv〞或者是“CIHv1〞，如果想搜索更完全的特征字符串，可嘗試“CIHv1.2TTIT〞，“CIHv1.3TTIT〞以及“CIHv1.4TATUNG〞，不要直接搜索“CIH〞特征串，因為此特征串在很多的正常程序中也存在具體的搜索方法為：首先開啟“資源管理器〞，選擇其中的菜單功能“工具〞→“查找〞→“文件或文件夾〞，在彈出的“查找文件〞設置窗口的“名稱和位置〞輸入查找路徑及文件名〔例如：*.exe〕，然后在“高級〞→“包含文字〞欄中輸入要查找的特征字符串——“CIHv〞，最后單擊查找鍵即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特征的可執行文件，那么說明該計算機上已經感染了CIH計算機病毒。另外一個判斷方法是在WindowsPE文件中搜索IMAGE_NT_SIGNATURE字段。最后一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段“PE00〞，接著搜索其偏移0x28位置處的值是否為558D4424F833DB64，如果是，那么表示此程序已被感染。適合高級用戶使用的一個方法是直接搜索特征代碼，并將其修改掉。5300010083C420與CD2067004000特征字串，將其全部修改為90即可〔以上數值全部為十六進制〕。另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可。CIH病毒CIH感染的方法就技巧而言，其原理主要是使用Windows的VxD〔虛擬設備驅動程序〕編程方法，使用這一方法的目的是獲取高的CPU權限。CIH計算機病毒使用的方法是首先使用SIDT取得IDTbaseaddress〔中斷描述符表基地址〕，然后把IDT的INT3的入口地址改為指向CIH自己的INT3程序入口局部，再利用自己產生一個INT3指令運行至此CIH自身的INT3入口程序處，這樣CIH計算機病毒就可以獲得最高級別的權限〔即權限0〕，接著計算機病毒將檢查DR0存放器的值是否為0，用以判斷先前是否有CIH計算機病毒已經駐留。如果內存申請成功，那么接著將從被感染文件中將原先分成多段的計算機病毒代碼收集起來，并進行組合后放到申請到的內存空間中，完成組合、放置過程后，CIH計算機病毒將再次調用INT3中斷進入CIH計算機病毒體的INT3入口程序，接著調用INT20來完成調用一個IFSMgr_InstallFileSystemApiHook的子程序，用來在文件系統處理函數中掛接鉤子，以截取文件調用的操作，接著修改IFSMgr_InstallFileSystemApiHook的入口，這樣就完成了掛接鉤子的工作，同時Windows默認IFSMgr_Ring0_FileIO〔InstallableFileSystemManager，IFSMgr〕。效勞程序的入口地址將被保存，以便于CIH計算機病毒調用.CIH計算機病毒傳播的主要途徑是Internet和電子郵件，當然隨著時間的推移，它也會通過軟盤或光盤的交流傳播。據悉，權威計算機病毒搜集網目前報道的CIH計算機病毒，“原體〞加“變種〞一共有5種之多，相互之間主要區別在于“原體〞會使受感染文件增長，但不具破壞力；而“變種〞不但使受感染的文件增長，同時還有很強的破壞性，特別是有一種“變種〞，每月26日都會發作。CIH計算機病毒“變種〞在每年4月26日都會發作。發作時硬盤一直轉個不停，所有數據都被破壞，硬盤分區信息也將喪失。CIH計算機病毒發作后，就只有對硬盤進行重新分區了。再有就是CIH計算機病毒發作時也可能會破壞某些類型主板的電壓，改寫只讀存儲器的BIOS，被破壞的主板只能送回原廠修理，重新燒入BIOS。雖然CIH并不會破壞所有BIOS，但CIH在“黑色〞的26日摧毀硬盤上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH計算機病毒的用戶不可防止的。6.4文件與引導復合型病毒復合型計算機病毒是指具有引導型計算機病毒和文件型計算機病毒寄生方式的計算機病毒。這種計算機病毒擴大了計算機病毒程序的傳染途徑，它既感染磁盤的引導記錄，又感染可執行文件。當染有此種計算機病毒的磁盤用于引導系統或調用執行染毒文件時，計算機病毒都會被激活。在檢測、去除復合型計算機病毒時，必須全面徹底地根治，如果只發現該計算機病毒的一個特性，把它只當作引導型或文件型計算機病毒進行去除。雖然好似是去除了，但還留有隱患，這種經過消毒后的“潔凈〞系統更有攻擊性。這種病毒有“Flip〞、“新世紀〞、“One-half〞病毒等。原理復合型計算機病毒是指具有引導型計算機病毒和文件型計算機病毒寄生方式的計算機病毒。這種計算機病毒的原始狀態是依附在可執行文件上，靠該文件作為載體而進行傳播。當文件被執行時，如果系統中有硬盤，那么立即感染硬盤的主引導扇區，以后在用硬盤啟動系統時，系統中就有該計算機病毒，從而實現從文件型計算機病毒向系統型計算機病毒的轉變。這種計算機病毒具有兩種引導方式，當它駐留在硬盤主引導扇區中和駐留在文件中時，其各自的引導過程是不一樣的。駐留在硬盤主引導扇區中的計算機病毒具有系統引導型計算機病毒的一切特征，其分析方法與系統引導型計算機病毒的分析方法完全相同，唯一的區別在于它的傳染對象與系統引導型計算機病毒的傳染對象不同。這種計算機病毒不傳染軟盤的引導扇區，而只傳染系統中的可執行文件。駐留在文件中的計算機病毒，在該文件執行時進入到系統中，它具有文件型計算機病毒的一切特點，但它在引導時，增加了一個程序段，用于感染硬盤的主引導扇區，當判斷系統中裝有硬盤時，讀出硬盤的主引導扇區，如果該扇區中特定位置上沒有計算機病毒程序的感染標志，那么認為該硬盤尚未被感染，于是立刻將計算機病毒程序傳染到硬盤的主引導扇區中。“新世紀〞計算機病毒的表現形計算機病毒既能感染硬盤主引導區，又會攻擊.COM和.EXE型文件。感染上計算機病毒的.EXE型文件很多都不能正常運行；計算機病毒發作時還將刪除所有運行的程序。這種新計算機病毒的代碼體內，有如下的特征字符串：WelcomeAuto—copydeluxeR3.00〔C〕Copyright1991.Mr.YaQi.changshaChinaNoonecanbeyondme。Newcenturyofcomputernow。“新世紀〞計算機病毒的檢測用以下4種方法可以很容易地斷定有動態的或靜態的“新世紀〞計算機病毒存在：〔1〕用PCTools，CHKDSK等檢查DOS的內存容量比正常內存量少4K時；〔2〕使用NU組合工具或Debug檢查硬盤的0頭0道1～6扇區，第2扇區為原先的主引導扇區，其他5個扇區也有內容時；〔3〕.COM文件長度比原來的增大3K，.EXE文件長度比原來的增大3K左右時；〔4〕用PCTools等工具可以在文件尾部查找到上面的計算機病毒特征字符串。“新世紀〞計算機病毒的去除1．硬盤主引導扇區內計算機病毒去除使用NU組合工具或Debug等把硬盤0頭0道3～6扇區內容全部清零，并將2扇區的內容覆蓋到主引導扇區1扇區上。對于用DOS3.0以下版本分區的硬盤，由于計算機病毒體破壞了FAT文件分配表，造成大量文件去失，此時可先將主引導扇區內容清零再使用FDISK進行分區和FORMAT硬盤，井重新安裝系統。2．.COM文件的清毒方法〔以TT.COM為例，要求Debug程序不帶毒〕Debug.TTCOM〔CR〕一R＜CR＞文件長度CXAX＝0000BX＝0000CX=0C7CDX＝000ODS=3lD2ES=31D2DSS=31D2DCS=31D2DCS：0100JMP017C-該值為變量，隨被消毒程序的不同而不同—H017C3<CR>計算機執行程序的起始地址，其中3H為常量017F0179—H017C224<CR>計算機執行程序的終止地址，其中224H為常量03A0FF58—G＝017F，03A0<CR>開始執行程序—F＝017C，03A0<CR>去除內存中的計算機病毒代碼—H017C100<CR>計算機清毒的文件長度，其中100常量027C007C—RCX7C<CR>將文件長度改為清毒后的長度—W<CR>文件存盤—Q＜CR＞退出，此時的TT.COM文件已經清毒。6.5腳本病毒原理腳本語言腳本語言的前身實際上就是DOS系統下的批處理文件，只是批處理文件和現在的腳本語言相比簡單了一些。腳本的應用是對應用系統的一個強大的支撐，需要一個運行環境。現在比較流行的腳本語言有：UNIX/linuxShell，Pert，VBScript，Javascript，JSP，PHP等。〔1〕JavaScriptJavaScript是一種解釋型的、基于對象的腳本語言，是Microsoft公司對ECMA262語言標準的一種實現。JavaScript完全實現了該語言標準，并且提供了一些利用MicrosoftInternetExplorer功能的增強特性。，JavaScript腳本只能在某個解釋器上運行，該解釋器可以是Web效勞器，也可以是Web測覽器。〔2〕VBScriptVBScript是VisualBasic或VisuaBasicforApplication〔VBA〕的一個子集，其程序設計與VisualBasic或VBA根本相同。VBScript和JavaScript主要應用在微軟的平臺上，運行環境為MicrosoftWindowsScriptHost〔WSH〕。MicrosoftWindowsScriptHost〔WSH〕是一個功能強大的腳本應用環境，此外，微軟還提供了一個腳本調試器MicrosoftDebugger，該文件位于..\programFiles\MicrosoftScriptDebugger\msscrdbg.exe處。腳本病毒的分類VBS腳本計算機病毒的特點及開展現狀VBS計算機病毒是用VBScript編寫而成，該腳本語言功能非常強大，它們利用Windows系統的開放性特點，通過調用一些現成的Windows對象、組件，可以直接對文件系統、注冊表等進行控制。VBS腳本計算機病毒具有如下幾個特點。〔1〕編寫簡單〔2〕破壞力大〔3〕感染力強〔4〕傳播范圍大〔5〕計算機病毒源碼容易被獲取，變種多〔6〕欺騙性強〔7〕使得計算機病毒生產機實現起來非常容易正因為以上幾個特點，腳本計算機病毒開展異常迅猛，特別是計算機病毒生產機的出現，使得生成新型腳本計算機病毒變得非常容易。VBS腳本病毒原理分析〔1〕VBS腳本病毒如何感染、搜索文件VBS腳本計算機病毒一般是直接通過自我復制來感染文件的，病毒中的絕大局部代碼都可以直接附加在其他同類程序的中間。〔2〕VBS腳本計算機病毒通過網絡傳播的幾種方式及代碼分析VBS腳本計算機病毒之所以傳播范圍廣，主要依賴于它的網絡傳播功能，一般來說，VBS腳本計算機病毒采用如下幾種方式進行傳播。①通過E-mail附件傳播②通過局域網共享傳播③通過感染HTM，Asp，Jsp，Php等網頁文件傳播另外計算機病毒也可以通過現在廣泛流行的KaZaA進行傳播。計算機病毒將計算機病毒文件復制到KaZaA的默認共享目錄中，這樣，當其他用戶訪問這臺機器時，就有可能下載該計算機病毒文件并執行。VBS腳本計算機病毒如何獲得控制權VBS腳本計算機病毒如何獲得控制權下面列出幾種典型的方法。〔1〕修改注冊表項Windows在啟動的時候，會自動加載HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的各鍵值所執向的程序。腳本計算機病毒可以在此項下參加一個鍵值指向計算機病毒程序，這樣就可以保證每次機器啟動的時候拿到控制權。〔2〕通過映射文件執行方式例如，“新歡樂時光〞病毒將dll的執行方式修改為wscript.exe，甚至可以將.exe文件的映射指向計算機病毒代碼。〔3〕欺騙用戶，讓用戶自己執行對于用戶自己磁盤中的文件，計算機病毒在感染它們的時候，將原有文件的文件名作為前綴，VBS作為后綴產生一個計算機病毒文件，并刪除原來文件，這樣，用戶就有可能將這個VBS文件看做自己原來的文件運行。〔4〕desktop.ini和folder.htt互相配合這兩個文件可以用來配置活動桌面，也可以用來自定義文件夾。檢測對于沒有加密的腳本計算機病毒，我們可以直接從計算機病毒樣本中找出來。用Edit翻開folder.htt，就會發現這個文件總共才93行，第87行到91行，是如下語句：87：<scriptlanguage=VBScript>88：ExeString="AfiFkSeboa〕EqiiQbtq〕S^pQbtq〕AadobaPfdj〕>mlibL^gb`p〕CPK...；89：Execute〔"DimKeyArr〔3〕，ThisText"&vbCrLf&"KeyArr〔0〕=3"&vbCrLf&"KeyArr〔1〕=3"&vbCrLf&"KeyArr〔2〕=3"&vbCrLf&"KeyArr〔3〕=4"&vbCrLf&"Fori=1ToLen〔ExeString〕"&vbCrLf&"TempNum=Asc〔Mid〔ExeString，i，1〕〕"&vbCrLf&"IfTempNum=18Then"&vbCrLf&"TempNum=34"&vbCrLf&"EndIf"&vbCrLf&"TempChar=Chr〔TempNum+KeyArr〔iMod4〕〕"&vbCrLf&"IfTempChar=Chr〔28〕Then"&vbCrLf&"TempChar=vbCr"&vbCrLf&"ElseIfTempChar=Chr〔29〕Then"&vbCrLf&"TempChar=vbLf"&vbCrLf&"EndIf"&vbCrLf&"ThisText=ThisText&TempChar"&vbCrLf&"Next"〕90：Execute〔ThisText〕91：＜/script＞第88行是一個字符串的賦值，很明顯這是被加密過的計算機病毒代碼。第89行最后的一段代碼ThisText=ThisText&TempChar，再加上下面那一行，我們可以猜到ThisText里面放的是計算機病毒解密代碼。第90行是執行剛剛ThisText中的那段代碼〔經過解密處理后的代碼〕。去除VBS腳本計算機病毒由于其編寫語言為腳本，VBS腳本計算機病毒具有如下弱點。〔1〕絕大局部VBS腳本計算機病毒運行的時候需要用到一個對象：FileSystemObject。〔2〕VBScript代碼是通過WindowsScriptHost來解釋執行的。〔3〕VBS腳本計算機病毒的運行需要其關聯程序Wscript.exe的支持。〔4〕通過網頁傳播的計算機病毒需要ActiveX的支持。〔5〕通過E-mail傳播的計算機病毒需要OE的自動發送郵件功能支持，但是絕大局部計算機病毒都是以E-mail為主要傳播方式的去除1．禁用文件系統對象FileSystemObject 2．卸載WindowsScriptingHost 3．刪除VBS，VBE，JS，JSE文件后綴名與應用程序的映射 4．在Windows目錄中，找到WScript.exe，更改名稱或者刪除 5．要徹底防治VBS網絡蠕蟲病毒，還需設置一下瀏覽器6．禁止OE的自動收發電子郵件功能 7．顯示所有文件類型的擴展名稱 8．將系統的網絡連接的平安級別設置至少為“中等〞 6.6宏病毒所謂宏，就是一些命令組織在一起，作為一個單獨的命令完成一項特定任務，它通過將重復的操作記錄為一個宏來減少用戶的工作量。生成和處理的Office文件便成為宏病毒的主要載體，也是宏病毒的主要攻擊對象。宏病毒的產生得益于微軟腳本語言的強大、易用和不平安，宏病毒和傳統計算機病毒結合產生了更具破壞力的郵件計算機病毒和新型的木馬病毒、蠕蟲病毒。原理Word宏病毒至少會包含一個以上的自動宏〔如AutoOpen，AutoClose，AutoExeC，AutoExit和AutoNew等〕，或者是包含一個以上的標準宏，如FileOpen，FileSaveAs等。如果某個DOC文件感染了這類Word宏病毒，那么當Word運行這類宏時，實際上就是運行了計算機病毒代碼。由自動宏和標準宏構成的宏病毒，其內部都具有把帶計算機病毒的宏移植〔復制〕到通用宏的代碼段，也就是說宏病毒通過這種方式實現對其他文件的傳染。當退出Word系統時，它會自動地把所有通用宏〔當然也包括傳染進來的計算機病毒宏〕保存到模板文件〔即*.dot文件，通常為NORMAL.dot〕中，當Word系統再次啟動時，它又會自動地把所有通用宏〔包括計算機病毒宏〕從模板中裝入。一旦Word系統遭受感染，以后每當系統進行初始化時，系統都會隨標準模板文件〔NORMAL.dot〕的裝入而成為帶毒的Word系統，進而在翻開和創立任何文檔時感染該文檔。計算機病毒宏侵入Word系統以后，會替代原有的正常宏。宏病毒在感染一個文檔時，首先要把文檔轉換成模板格式，然后把所有計算機病毒宏〔包括自動宏〕復制到該文檔中。宏病毒主要寄生于AutoOpen，AutoClose和AutoNew這3個宏中，其引導、傳染、表現或破壞均通過宏指令來完成。宏病毒的主要特點1．傳播極快--Word宏病毒通過.doc文檔及.dot模板進行自我復制及傳播，而計算機文檔是交流最廣的文件類型。2．制作、變種方便--宏病毒那么是以人們容易閱讀的源代碼宏語言WordBasic形式出現，所以編寫和修改宏病毒更加容易。3．破壞性極大--鑒于宏病毒用WordBasic語言編寫，并且WordBasic語言提供了許多系統級底層調用，如直接使用DOS系統命令、調用WindowsAPI、調用DDE或DLL等，這些操作均可能對系統直接構成威脅，而Word在指令平安性和完整性的監控上能力很弱，破壞系統的指令很容易被執行。4．多平臺交叉感染--宏病毒沖破了以往計算機病毒在單一平臺上傳播的局限，當Word，Excel這類著名應用軟件在不同平臺〔如Windows，OS/2和MACINTOSH等〕上運行時，會被宏病毒交叉感染。預防對宏病毒的預防是完全可以做到的。只要在使用Word之前進行一些正確的設置，就根本上能夠防止宏病毒的侵害。任何設置都必須在確保軟件未被宏病毒感染的情況下進行。〔1〕當疑心系統帶有宏病毒時，應首先查看是否存在“可疑〞的宏。〔2〕如果用戶自己編制有Autoxxxx這類宏，建議將編制完成的結果記錄下來，即將其中的代碼內容打印或抄錄下來，放在手邊備查。〔3〕如果用戶沒有編制過任何以Auto開頭的Word宏，而此時系統運行不正常尚不能完全排除是由于其他的硬件故障或系統軟件的配置問題所引起，那么，在翻開“工具〞菜單的“宏〞選項后，如果看到有這類宏，最好執行刪除自動宏的操作。〔4〕如果要使用外來的Word文檔且不能判斷是否帶宏病毒，有兩種做法是有效的：如果必須保存原來的文檔編排格式，那么用Word翻開文檔后，就需要用上述的幾種方法進行檢查，只有在確信沒有宏病毒后，才能執行保存該文檔的操作；另一個方法是，如果沒有保存原來文檔排版格式的需要，可先用Windows提供的寫字板來翻開外來的Word文檔，先將其轉換成寫字板格式的文件并保存后，再用Word調用。因為寫字板是不調用也不記錄和保存任何Word宏的。〔5〕在調用外來的Word文檔時，除了用寫字板對Word宏進行“過濾〞外，還有一個簡單的方法，就是在調用Word文檔時先禁止所有的以Auto開頭的宏的執行。檢測在自己使用的Word中從“工具〞欄處翻開宏菜單，單中Normal模板，假設發現有AutoOpen、AutoNew，AutoClose等自動宏以及FileSave，FileSaveAs，FileExit等文件操作宏或一些怪名字的宏，如AAAZAO，PayLoad等，而自己又沒有加載特殊模板，就極有可能是感染了Word宏病毒。翻開一個文檔不進行任何操作，退出Word，如提示存盤，這極可能是Word中的Normal.dot模板中帶宏病毒。翻開以.doc為后綴的文件在另存菜單中只能以模板方式存盤，而此時通用模板中含有宏，也有可能是Word有宏病毒。在使用的Word“工具〞菜單中看不到“宏〞字，或雖看到“宏〞但光標移到“宏〞處點擊卻無反響，那么可以肯定有宏病毒。在運行Word的過程中經常出現內存缺乏，打印不正常，也可能有宏病毒。運行Word時，翻開.doc文檔如果出現是否啟動“宏〞的提示，那么該文檔極可能帶有宏病毒。去除保證Word〔以Word97為例〕本身是沒有感染宏病毒的，也就是Word安裝目錄Startup目錄下的文件和Normal.dot文件沒有被宏病毒感染。翻開Word，在“常規〞選項卡中選擇“宏病毒防護〞，在“保存〞中不選“快速保存〞，單擊“確定〞按鈕。翻開文檔，此時系統應該提示是否啟用“宏〞，選擇“否〞。再選擇“工具〞菜單“宏〞子菜單的“宏〞命令，將可疑的宏全部刪除，然后保存文檔。首先保證Word不受宏病毒的感染，只翻開Word并新建一個空文檔。然后在“工具〞菜單中選擇“選項〞命令，在“常規〞選項卡中選擇“宏病毒防護〞，在“保存〞中選擇“提示保存Normal模板〞，單擊“確定〞按鈕。接著再啟動一個Word應用程序，然后用新啟動的這個Word翻開感染宏病毒的文檔，應當也會出現是否啟用宏的提示。選擇“否〞，然后選擇“編輯〞菜單中的“全選〞命令和“復制〞命令，切換到先前的Word中，選擇“編輯〞菜單中的“粘貼〞命令，可以發現原來的文檔被粘貼到先前Word新建的文檔里。切換到翻開帶宏病毒文檔的Word中，選擇“文件〞菜單中的“退出〞命令，退出Word。如果提示是否保存Normal.dot模板，應選擇“否〞。由于宏病毒不會隨剪貼板功能被復制，所以這種方法也能起到殺滅宏病毒的作用。6.7特洛伊木馬病毒“特洛伊木馬〞是指隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易覺察，是一種極為危險的網絡攻擊手段。木馬的開展木馬的開展第一，添加了“后門〞功能。所謂后門就是一種可以為計算機系統秘密開啟訪問入口的程序。一旦被安裝，這些程序就能夠使攻擊者繞過平安程序進入系統。第二，添加了擊鍵記錄功能。該功能主要是記錄用戶所有的擊鍵內容然后形成擊鍵記錄的日志文件發送給惡意用戶。惡意用戶可以從中找到用戶名、口令以及信用卡號等用戶信息。一旦木馬被安裝，這些程序就能夠使攻擊者繞過平安程序進入系統。該功能的目的就是收集系統中的重要信息。一般的木馬程序都包括客戶端和效勞端兩個程序，其中客戶端是用于攻擊遠程控制植入木馬的機器，效勞器端程序即是木馬程序。攻擊者要通過木馬攻擊用戶的系統，他所做的第一步是要把木馬的效勞器端程序植入到用戶的計算機里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執行文件弄到被攻擊者的計算機系統里，利用的途徑有：郵件附件、下載軟件等。木馬也可以通過Script，ActiveX及Asp.CGI交互腳本的方式植入，由于微軟的瀏覽器在執行Senipt腳本存在一些漏洞。當效勞端程序在被感染的計算機上成功運行以后，攻擊者就可以使用客戶端與效勞端建立連接，并進一步控制被感染的計算機。在客戶端和效勞端通信協議的選擇上，絕大多數木馬使用的是TCP/IP，但是也有一些木馬由于特殊的原因，使用UDP進行通信。當效勞端在被感染機器上運行以后，它一方面盡量把自己隱藏在計算機的某個角落里面，以防被用戶發現，同時監聽某個特定的端口，等待客戶端與其取得連接；另外為了下次重啟計算機時仍然能正常工作，木馬程序一般會通過修改注冊表或者其他的方法讓自己成為自啟動程序。木馬的隱藏方式木馬的種類〔1〕破壞型〔2〕密碼發送型〔3〕遠程訪問型〔4〕鍵盤記錄木馬〔5〕DOS攻擊木馬〔6〕代理木馬〔7〕FTP木馬〔8〕程序殺手木馬〔9〕反彈端口型木馬木馬病毒實例當登錄某些網站后彈出多個窗口且無法關閉，系統運行速度緩慢，隨后會出現IE的起始頁面被修改等類似感染計算機病毒的現象。經確認證實，網站包含惡意代碼和計算機病毒“Troj_QQmess〞，該計算機病毒為木馬病毒，可以通過OICQ進行傳播。這一計算機病毒感染系統為Windows95/98/Me/NT/2000/XP，計算機病毒運行后，會釋放多個文件在Windir和系統目錄下，修改注冊表鍵值，更改用戶的IE起始頁面，并通過OICQ進行傳播。外表上，用戶在登錄網站時會有多個窗口彈出，并感到系統運行速度減慢。這一計算機病毒的特征如下。〔1〕生成計算機病毒文件〔2〕修改注冊表項〔3〕更改IE起始頁面〔4〕通過OICQ進行傳播預防預防木馬其實很簡單，就是不要執行任何來歷不明的軟件或程序，不管是郵件中還是從Internet上下載到的。在下載軟件時，一定要從正規的網站下載。針對計算機中的個人敏感數據〔口令、信用卡賬號等〕，一定要妥善保護。趨勢科技的網絡平安個人版防毒軟件就針對用戶的敏感數據，特別增加了個人私密數據保護功能。利用該功能可將個人重要信息列入保護狀態，防止不當外泄。另外，用戶采取一些個性化的措施來防治病毒也是很可取的。即，用戶有預防或查殺計算機病毒，以及對感染計算機病毒的計算機系統進行災難恢復過程中，針對不同的計算機病毒需進行個性化的處理，這樣往往能到達事半功倍的效果。檢測對于一些常見的木馬，如“SUB7〞、“BO2000〞、“冰河〞等，它們都是采用翻開TCP端口監聽和寫入注冊表啟動等方式，使用木馬克星之類的軟件就可以檢測到這些木馬，這些檢測木馬的軟件大多都是利用檢測TCP連接、注冊表等信息來判斷是否有木馬入侵，因此我們也可以通過手工來偵測木馬。〔1〕當瀏覽一個網站，彈出來一些廣告窗口是很正常的事情，可是如果根本沒有翻開瀏覽器，而瀏覽器突然自己翻開，并且進入某個網站，那么就有可能是感染了木馬。〔2〕正在操作計算機時，突然一個警告框或者是詢問框彈出來，問一些從來沒有在計算機上接觸過的問題。〔3〕Windows系統配置老是自動莫名其妙地被更改，例如屏保顯示的文字、時間和日期、聲音大小、鼠標靈敏度，還有CD-ROM的自動運行配置等。〔4〕硬盤老是沒緣由地讀盤、軟驅燈經常自己亮起、網絡連接及鼠標屏幕出現異常現象等。這時，最簡單的方法就是使用Netstat-a命令查看。檢測1．檢查注冊表注冊表一直都是很多木馬和計算機病毒“青睞〞的寄生場所，注意在檢查注冊表之前要先給注冊表備份。〔1〕檢查注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名一般為.EXE，然后記住木馬程序的文件名，再在整個注冊表中搜索，但凡看到了一樣的文件名的鍵值就要刪除。接著到計算機中找到木馬文件的藏身地將其徹底刪除。例如“愛蟲〞計算機病毒會修改上面所提的第一項，“BO2000〞木馬會修改上面所提的第二項。〔2〕檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的幾項〔如LocalPage〕，如果發現鍵值被修改了，只要根據判斷改回去就行了。惡意代碼〔如“萬花谷〞等〕就經常修改這幾項。〔3〕檢查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等幾個常用文件類型的默認翻開程序是否被更改。如果已更改那么一定要改回來，很多計算機病毒就是通過修改.txt，.ini等的默認翻開程序而去除不了的。例如“羅密歐與朱麗葉〞計算機病毒就修改了很多文件〔包括.jpg，.rar，.mp3等〕的默認翻開程序。2．檢查你的系統配置文件其實檢查系統配置文件最好的方法是翻開Windows“系統配置實用程序〞〔從開始菜單運行msconfig.exe〕，在里面可以配置Config.sys，Autoexec.bat，System.ini和Win.ini，并且可以選擇啟動系統的時間。〔1〕檢查win.ini文件〔在C：＼Windows＼下〕，翻開后，在Windows下面，“run=〞和“load=〞是可能加載“木馬〞程序的途徑，必須仔細留心它們。一般情況下，在它們的等號后面什么都沒有，如果發現后面跟有的路徑與文件名不是熟悉的啟動文件，那么計算機就可能被種入“木馬〞。例如攻擊QQ的“GOP木馬〞就會在這里留下痕跡。〔2〕檢查system.ini文件〔在C：＼Windows＼下〕，在BOOT下面有個“shell=文件名〞。正確的文件名應該是“explorer.exe〞，如果不是“explorer.exe〞，而是“shell=explorer.exe程序名〞，那么后面跟著的那個程序就是“木馬〞程序，需要在硬盤找到這個程序并將其刪除。這類的計算機病毒很多，例如“尼姆達〞計算機病毒就會把該項修改為“shell=explorer.exeload.exe–dontrunold〞。去除對木馬造成的危害進行修復，不管是手工修復還是用專用工具修復，都是危險操作，有可能不僅修不好，反而徹底破壞有用程序。因此，為了修復木馬危害，用戶應采取以下措施。1．備份重要數據2．立即關閉設備電源3．備份木馬入侵現場4．修復木馬危害木馬查殺與系統恢復的常用工具包括以下幾種。〔1〕使用系統自帶工具檢查〔2〕使用內存監測工具檢查6.8蠕蟲病毒根本原理Internet蠕蟲是無需計算機使用者干預即可運行的獨立程序，它通過不停地獲得網絡中存在漏洞的計算機上的局部或全部控制權來進行傳播。蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染和現場處理4個階段。蠕蟲程序掃描到有漏洞的計算機系統后，將蠕蟲主體遷移到目標主機。然后，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。現場處理局部的工作包括隱藏、信息搜集等。蠕蟲的行為特征包括：自我繁殖；利用軟件漏洞；造成網絡擁塞；消耗系統資源；留下平安隱患。蠕蟲病毒的定義計算機病毒自出現之日起，就成為計算機應用的一個巨大威脅，而當網絡迅速開展的時候，蠕蟲病毒引起的危害開始顯現。從廣義上定義，凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種計算機病毒。但是蠕蟲病毒和一般的計算機病毒有著很大的區別。對于蠕蟲，現在還沒有一個成套的理論體系。根據使用者情況可將蠕蟲病毒分為兩類：一類是面向企業用戶和局域網而言，這種計算機病毒利用系統漏洞，主動進行攻擊，可以對整個Internet造成癱瘓性的后果，以“紅色代碼〞、“尼姆達〞以及“Sql蠕蟲王〞為代表；另外一類是針對個人用戶的，通過網絡〔主要是電子郵件、惡意網頁形式〕迅速傳播的蠕蟲病毒，以“愛蟲病毒〞，“求職信病毒〞為代表。在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種計算機病毒并不是很難，第二類計算機病毒的傳播方式比較復雜和多樣，少數利用了微軟應用程序的漏洞，更多的是利用社會工程學對用戶進行欺騙和誘使，這樣的計算機病毒造成的損失是非常大的，同時也是很難鏟除的，蠕蟲病毒的特點蠕蟲也是一種計算機病毒，因此具有計算機病毒的共同特征。一般的計算機病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為“宿主〞，例如，Windows操作系統下可執行文件的格式為PE格式〔PortableExecutable〕，當需要感染PE文件時，在宿主程序中，建立一個新節，將計算機病毒代碼寫到新節中，修改程序的入口點等，這樣，宿主程序執行的時候，就可以先執行計算機病毒程序，計算機病毒程序運行完之后，再把控制權交給宿主原來的程序指令。可見，計算機病毒主要是感染文件，當然也還有其他如“DIRII〞這種鏈接型計算機病毒，還有引導區計算機病毒。引導區計算機病毒是感染磁盤的引導區，如果是軟盤被感染，這張軟盤用在其他計算機上后，同樣也會感染其他計算機，所以傳播方式也是用軟盤等方式。蠕蟲一般不采取利用PE格式插入文件的方法，而是復制自身在Internet環境下進行傳播，計算機病毒的傳染能力主要是針對計算機內的文件系統而言，而蠕蟲病毒的傳染目標是Internet內的所有計算機，局域網條件下的共享文件夾、電子郵件〔E-mail〕、網絡中的惡意網頁、大量存在著漏洞的效勞器等都成為蠕蟲傳播的良好途徑。網絡的開展也使得蠕蟲病毒可以在幾個小時內蔓延全球，而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策。普通病毒與蠕蟲病毒的比較如表6-1所示。表6-1 普通病毒與蠕蟲病毒比較普通計算機病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡計算機蠕蟲的破壞和開展趨勢每一次蠕蟲的爆發都會給社會帶來巨大的損失。1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡；2001年9月18日，“Nimda〞蠕蟲被發現，至今對其造成的損失評估數據從5億美元攀升到26億美元后還在繼續攀升，到現在已無法估計；北京時間2003年1月26日，一種名為“2003蠕蟲王〞的計算機病毒迅速傳播并襲擊了全球，致使Internet網路嚴重堵塞，作為Internet主要根底的域名效勞器〔DNS〕的癱瘓造成網民瀏覽Internet網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障。專家估計，此計算機病毒造成的直接經濟損失至少在12億美元以上。日前蠕蟲爆發的頻率越來越快，尤其是近兩年來，越來越多的蠕蟲〔如“沖擊波〞、“振蕩波〞等〕出現。對蠕蟲進行深入研究，并提出一種行之有效的解決方案，為企業和政府提供一個平安的網絡環境成為我們急待解決的問題。表6-2給出了近來年肆虐于Internet的“著名〞蠕蟲代表。表6-2 近年來“著名〞蠕蟲病毒列表計算機病毒名稱持續時間造成損失莫里斯蠕蟲1988年6000多臺計算機停機，直接經濟損失達9600萬美元美麗殺手1999年政府部門和一些大公司緊急關閉了網絡服務器，經濟損失超過12億美元愛蟲計算機病毒2000年5月至今眾多用戶計算機被感染，損失超過100億美元以上紅色代碼2001年7月網絡癱瘓，直接經濟損失超過26億美元求職信2001年12月至今大量計算機病毒郵件堵塞服務器，損失達數百億美元Sql蠕蟲王2003年1月網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元蠕蟲發作的一些特點和開展趨勢預防去除6.9黑客型病毒計算機病毒加惡意程序的組合攻擊方式，已成為計算機病毒開展的新趨勢，這種稱為黑客型的計算機病毒除破壞計算機內存儲的信息外，還會在計算機中植入木馬和后門程序，即使計算機病毒已被去除，但這些程序還會繼續利用系統漏洞，為黑客提供下一次攻擊的時機。曾橫行一時、至今余毒未清的Nimda，CodeRed都屬于這種黑客型計算機病毒。黑客型計算機病毒不同于傳統計算機病毒，其感染機制是利用操作系統軟件或常用應用軟件中的設計缺陷而設計的。所以反計算機病毒軟件正常的警報系統是反映不出任何問題的，而黑客型計算機病毒感染系統后卻可以反客為主，破壞駐留在內存中的反計算機病毒程序的進程。黑客型計算機病毒列出一個進程清單，隔一段時間對系統進程進行一次快照，刪除進程清單中的反計算機病毒程序。例如“怪物B〞可以殺掉106個進程，幾乎覆蓋了全世界所有優秀的殺毒軟件，可見黑客型計算機病毒比傳統計算機病毒更具危害性，由被動變為主動攻擊反計算機病毒程序對系統的控制權。黑客型計算機病毒多是網絡蠕蟲類型，利用網絡和系統漏洞感染計算機，感染速度快且完全去除十分困難。黑客與計算機病毒比較黑客（Hacker）計算機病毒（Virus）入侵對象鎖定特定目標沒有特定目標隱喻被限制出入境者（非企業網管相關人員），以幾可亂真的Passport欺騙海關檢查員（如同企業網絡的Gateway），進入國境（企業網絡）后，鎖定迫害對象（計算機主機），進行各種破壞動作某人持有合法護照，但在出入境時，攜帶的行李被