,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
单元十二 计算机病毒防治
*计算机病毒的概念
*计算机病毒产生与发展的历史
*计算机病毒的分类
*当前流行的计算机病毒
*计算机病毒的防范
*常用杀毒软件的使用
*病毒发作的现象及处理
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.1 计算机病毒的概念
计算机病毒 是一种小程序,能够自我复制,
会将自己的病毒码依附在的其他程序上,通过其
他程序的执行,伺机传播病毒程序,有一定 潜伏
期,一旦条件成熟,进行各种破坏活动,影响计
算机使用。就像生物病毒一样,计算机病毒有独
特的复制能力。计算机病毒可以很快地蔓延,又
常常难以根除。它们能把自身附着在各种类型的
文件上。当文件被复制或从一个用户传送到另一
个用户时,它们就随同文件一起蔓延开来。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
除复制能力外,某些计算机病毒还有其它一
些共同特性,一个被污染的程序能够传送病毒载
体 。当你看到病毒载体似乎仅仅表现在文字和图
象上时,它们可能也已毁坏了文件、再格式化了
你的硬盘驱动或引发了其它类型的灾害。若是病
毒并不寄生于一个污染程序,它仍然能通过占据
存贮空间给你带来麻烦,并降低你的计算机的全部性能。
所以,计算机病毒 就是能够通过某种途径潜
伏在计算机存储介质(或程序)里,当达到某种
条件时即被激活的具有对计算机资源进行破坏作
用的一组程序或指令集合。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.2 计算机病毒的产生与发展历史
现在流行的病毒是由人为故意编写的,多数病毒可
以找到作者信息和产地信息,通过大量的资料分析统计
来看,病毒作者主要情况和目的是:一些天才的程序员
为了表现自己和证明自己的能力,处于对上司的不满,
为了好奇,为了报复,为了祝贺和求爱,为了得到控制
口令,为了软件拿不到报酬预留的陷阱等。当然也有因
政治,军事,宗教,民族。专利等方面的需求而专门编
写的,其中也包括一些病毒研究机构和黑客的测试病毒。
在病毒的发展史上,病毒的出现是有规律的,一般
情况下一种新的病毒技术出现后,病毒迅速发展,接着
反病毒技术的发展会抑制其流传。操作系统进行升级时,
病毒也会调整为新的方式,产生新的病毒技术。它可划
分为:
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
1,DOS引导阶段
2,DOS可执行阶段
3、伴随、批次型阶段
4、幽灵、多形阶段
5、生成器、变体机阶段
6、网络、蠕虫阶段
7、视窗阶段
8、宏病毒阶段
9、互连网阶段
10, Java、邮件炸弹阶段
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.3 当前流行的计算机病毒
以下是当前流行比较广泛的病毒的简单介绍:
病毒名称, Klez(求职信)
别名, Win32/Krn132,Win32/Klez,W32.Klez,
Kleza.A,ElKern,Klaz,Kletz,I-Worm.Klez
病毒特点,由于病毒体代码包含的英文信的内容与求
职有关,所以我们将其命名为“求职信”病毒。该病
毒通过电子邮件传播 。一旦感染此病毒,系统将变得
非常缓慢,并且该病毒还可以通过取 Outlook地址簿中
的邮件地址自动传播给其他用户。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
病毒名称, Aliz
别名, Win32.Aliz,W95/Aliz.A,Peace,ALIZ.A,
W32.Aliz.Worm,W32/Aliz@MM,
病毒特点,该病毒使用汇编语言编写,是一个
绰号为 mar00n黑客编写的,病毒长度只有 4K。
该病毒与“求职信”病毒相类似,同样利用了
微软 IE浏览器不能正确处理 HTML格式的邮件
中的 MIME文件头的漏洞,因此,当用户收到 Aliz
病毒的邮件时,在预览该邮件时,就会激活病
毒,自动执行邮件的附件 Whatever.exe。一旦激
活该病毒,病毒将自动向邮件地址列表中的所
有地址自动发送病毒邮件。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
病毒名称, BadTrans.B
别名, W95/Badtrans.B@mm,W32/Badtrans-
B,W32/Badtrans@mm,BadtransII,W32.Badtrans.B@mm,
I-Worm.BadtransII,W32/BadTrans.B-mm
病毒特点, Badtrans.b是一个电子邮件蠕虫病毒,该病
毒为前一阶段出现的病毒 Badtrans的变种。该病毒在
Win32系统下传染,病毒仍利用 Outlook Express的漏洞,
发送带有染毒附件的邮件,当用户在预览带有病毒附件
的邮件时,附件就会自动执行,从而使用户受到该病毒
的感染。病毒体包含两个部分 ——蠕虫和木马,蠕虫部
分用于发送染毒信息,木马用于发送从染毒系统上窃取
的用户信息,它将被感染机器的 RAS数据、用户密码、
键盘日志等发送到指定的邮件地址。一旦遭受病毒感染,
病毒首先将自身释放到 windows的 system目录下,命名
为 Kernel32.exe,并修改注册表。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.4 计算机病毒的分类
根据多年对计算机病毒的研究,按照科学的,系统
的,严密的方法,计算机病毒可分类如下:
1,根据病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,
文件病毒,引导型病毒。
2,根据病毒传染的方法
网络病毒通过计算机网络传播感染网络中的可执行
文件,文件病毒感染计算机中的文件(如:COM,E
XE,DOC等),引导型病毒感染启动扇区( Boot)
和硬盘的系统引导扇区(MBR),还有这三种情况的
混合型 。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
3,根据病毒破坏的能力
( 1) 无害型,除了传染时减少磁盘的可用空间外,
对系统没有其它影响。
( 2) 无危险型,这类病毒仅仅是减少内存、显示图
像、发出声音及同类音响。
( 3) 危险型,这类病毒在计算机系统操作中造成严
重的错误。
( 4) 非常危险型,这类病毒删除程序、破坏数据、
清除系统内存区和操作系统中重要的信息。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
4,根据病毒特有的算法,
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法
产生 EXE文件的伴随体,具有同样的名字和不同的扩展名。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料
信息,利用网络从一台机器的内存传播到其它机器的内存,计算
网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
练习型病毒,病毒自身包含错误,不能进行很好的传播,例
如一些病毒在调试阶段。
诡秘型病毒,它们一般不直接修改 DOS中断和扇区数据,而
是通过设备技术和文件缓冲区等 DOS内部修改,不易看到资源,
使用比较高级的技术。利用 DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算
法,使自己每传播一份都具有不同的内容和长度。它们一般的作 法是一段混有无关指令的解码算法和被变化过的病毒体组成。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
5,恶意病毒“四大家族”,
宏病毒,由于微软的 Office系列办公软件和 Windows
系统占了绝大多数的 PC软件市场,加上 Windows和 Office
提供了宏病毒编制和运行所必需的库(以 VB库为主)支
持和传播机会,所以宏病毒是最容易编制和流传的病毒
之一,很有代表性。
CIH病毒, CIH是本世纪最著名和最有破坏力的病毒
之一,它是第一个能破坏硬件的病毒。
蠕虫病毒,蠕虫病毒以尽量多复制自身(像虫子一
样大量繁殖)而得名,多感染电脑和占用系统、网络资
源,造成 PC和服务器负荷过重而死机,并以使系统内数
据混乱为主要的破坏方式。它不一定马上删除你的数据
让你发现,比如著名的爱虫病毒和尼姆达病毒。
木马病毒,木马病毒源自古希腊特洛伊战争中著名
的“木马计”而得名,顾名思义就是一种伪装潜伏的网
络病毒,等待时机成熟就出来害人。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.5 计算机病毒的防范
微机病毒随时在寻找入侵微型机的机会,
因此应提高对微机型机病毒的防范意识,不给
病毒可乘之机,在微型机应用中,应注意以下
几点;
( 1) 尊重知识产权,不使用盗版或来历不
明的软件。
( 2) 备份硬盘主引导区和引导区数据,以
备硬盘受病毒攻击后,恢复让引导区和引导区。
另外,还要经常对重要的数据备份,防患于未
然。
( 3) 经常使用杀毒软件检查硬盘和每一张
外来盘的良好习惯。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 4) 杀毒软件应定其升级。
( 5) 即使安装了实时监控防毒软件的机器也
不能掉以轻心。因为这种软件对已知的病毒的
防范有一定的作用,但对于未知的病毒,特别
是新病毒的防范可能会力不从心。
( 6) 注意微型机的各种异常现象,一旦发现
异常,应立即使用杀毒软件仔细检查。实在无法确定时,可以考虑备份重要文件并重装系统。
杀毒软件是预防病毒入侵的有效工具,建
议应预备多种杀毒软件,因各种杀毒的软件都
有各自的特点,这样可以提高杀毒的可靠性。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.6 常用杀毒软件的使用
12.6.1,金山毒霸
金山毒霸是金山公司研制开发的一套知能反羰病毒软件。它安装
方便,使用简单,查毒和杀毒技术独具特色,并且年提供非常方便的 升级功能。
( 1) 安装及运行金山毒霸
金山毒霸采用是标准安装方式,整个安装过程公需用户设置一下
安装路径,耗不到 1分钟。在安装开始时,它会先对内存在进行一遍
检测,倮证在安装过程中不会受到病毒的侵扰;在安装完成后,它会 立即启动病毒防火,开始实时监测病毒。
( 2) 查杀病毒
查杀病毒的操作是在主程序中进行的。首先选择要查杀的驱动器,
再设置是检查程序及文档文件还是检查所有文件,单击“查杀病毒” 按钮即开始查毒草。在查毒过程中,若查出系统中存在病毒,则会根
据用户的设置进行相应处理。
用户可对查毒选项和发现病毒后金山毒霸所作出的相训处理进行
设置,只需选择“实用工具” —>“选项”菜单,在打开的“选项设置”
对话杠的“查毒”选项卡中进行设置即可。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 3) 应用病毒防火墙
一旦启动了病毒防火墙,它就会驻留内存,自动运
行于后台,并对文件的操作,接收电子邮件从网络下载
文件以及打开光盘等到进病毒监控,彻底地防止病毒入
侵。如果发现病毒,它将根据自身属性的设置作出相应
的反应。
( 4) 邮件监控
金山毒霸的邮件监控程序能够在用户接收电子邮件
时,自动地对电子邮件进行病毒扫描,并根据疫置作出
相应处理,让用户可以安心阅读每一封邮件,同时防止
电子邮件病毒的传播。
若要启动邮件监控程序,可选择“实用工
具” →,邮件监控”菜单,或从击桌现上的金山霸邮件
监控图标。此时,在任务栏的右侧就会出现一个邮件监
控图标,表明邮件监控程序已经启动。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 5) 其他功能
除了上面所讲到的功能外,金山毒
霸还提代了创建应急启动盘,查毒结果和
查看日志文件等功能。用户只需在实用工
蛤菜单中选取择相应选项,并根据提示进
行操作即可。
此外,金山毒霸提供了定时查毒的
功能,用于在特定时间自动查杀系统中的
病毒。用户只需选取择查杀病毒定时查毒
菜单对话框中进行分析设置即可。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.6.2 瑞星杀毒软件
瑞星杀毒霸软件是北京瑞星科技股份有限公司针对流
行于国内外对微型机第统危害较大的病毒和有害程序,自
主研制的反病毒工具。该工具用于对已知病毒黑客等进行
查找和实时监控,清除和恢复被病毒感染的文件或系统,
维护微型机系统的安全。它能够全成清除感染系统或文件
的病互,以及危害微机系统安全的各种黑客有害程序。
( 1) 启动遭到星杀毒软件
将瑞星杀毒软件安装后,在任务栏的右侧会出现一个
瑞星反毒实时监察控图标,双击该图标,或选择开始程序
瑞星杀毒瑞星杀毒软件菜单,也可以双击桌面的快捷图标,
均可启动瑞星杀毒软件。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 2) 查杀病毒
瑞星杀毒软件可以查杀内存,本地硬盘,软盘。光驱
及网上邻居中的病毒,查杀病毒。查杀病毒时,首先选择
要查目标后,单击“杀毒”按钮可检查并清除所选目标中
的病毒,查杀结束后,会显示出查毒结果。
( 3) 病毒实时监控及邮件监控
瑞星杀毒软件提代供了病毒实时监控和邮件监控的功
能,利用这两项功能,用户可以在编辑文件或阅读邮件时,
切实有效地保护微型机系统不受病毒的破坏。在按照默认
方式安装了瑞星杀毒软件后,微型机就处于瑞星杀毒软件
的实时监控保护之下,此时任务栏的右侧显示图标,且每
次启动微型机算机时,均会启动该程序。瑞星杀毒软件还
提供了邮件监控的功能。以默认方式安装了瑞星杀毒软件
后,邮件监控程序就会运行。如果用户的微型机安装好了
或等邮件系统,其邮件监控程序将自动对所接收的邮件进
行监控,使微型机系统免受电子邮件所传播的病毒的侵害。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 4) 查毒功能设置
通过点击,设置”按钮,就弹出设置窗口,
在窗口可以进行杀毒设置,微型机监控设置,
监控设置时查杀以及一些其他设置。
在该项目中,用户可以设置所要进杀的文件
类型,是否查杀邮件和压缩文件,杀毒时是否
备份染毒文件到“病毒隔离系统”,是否查杀
子文件夹,查杀病毒完万里后的动作(返回主
程序,退出程序功重新启动微机等),发现病
毒后的处理方式(询问后处理,直接清除,删
除文件或忽咯等)以及清除失败后的处理方式
等。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.7 病毒发作的现象及处理
12.7.1 计算机病毒的表现现象
计算机病毒 是客观存在的,客观存在的事物
总有它的特性,计算机病毒也不例外。从实质上
说,计算机病毒是一段程序代码,虽然它可能隐
藏得很好,但也会留下许多痕迹。通过对这些蛛
丝马迹的判别,我们就能发现计算机病毒的存在
了。
根据计算机病毒感染和发作的阶段,可以将
计算机病毒的 表现现象分为三大类,即,计算机
病毒发作前, 发作时 和 发作后 的表现现象。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
1、计算机病毒发作前,是指从计算机病毒感染计算
机系统,潜伏在系统内开始,一直到激发条件满足,计算
机病毒发作之前的一个阶段。
在这个阶段,计算机病毒的行为主要是以潜伏、传播
为主。计算机病毒会以各式各样的手法来隐藏自己,在不
被发现同时,又自我复制,以各种手段进行传播。
以下是一些 计算机病毒发作前常见的表现现象,
( 1) 平时运行正常的计算机突然经常性无缘无故地死
机。 ( 2) 操作系统无法正常启动。 ( 3) 运行速度明显
变慢。 ( 4) 以前能正常运行的软件经常发生内存不足的
错误。 ( 5) 打印和通讯发生异常。 ( 6) 无意中要求对
软盘进行写操作。 ( 7) 以前能正常运行的应用程序经常
发生死机或者非法错误。 ( 8) 系统文件的时间、日期、
大小发生变化。 ( 9)运行 Word,打开 Word文档后,该
文件另存时只能以模板方式保存。 ( 10) 磁盘空间迅速
减少。 ( 11) 网络驱动器卷或共享目录无法调用。 ( 12)
基本内存发生变化。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
2,计算机病毒发作时的常见表现现象
( 1) 提示一些不相干的话。
( 2) 发出一段的音乐。
( 3) 产生特定的图象。
( 4) 硬盘灯不断闪烁。
( 5) 进行游戏算法。
( 6) Windows桌面图标发生变化。
( 7) 计算机突然死机或重启。
( 8) 自动发送电子函件。
( 9) 鼠标自己在动。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
3,计算机病毒发作后的表现现象大多数计算机病毒都是
属于 "恶性 "计算机病毒。 "恶性 "计算机病毒发作后往往会
带来很大的损失,以下列举了一些 恶性计算机病毒发作
后所造成的后果,
( 1) 硬盘无法启动,数据丢失 。
( 2) 系统文件丢失或被破坏 。
( 3) 文件目录发生混乱 。
( 4) 部分文档丢失或被破坏 。
( 5) 部分文档自动加密码 。
( 6) 修改 Autoexec.bat文件,增加 Format C:一项,导致
计算机重新启动时格式化硬盘。
( 7) 使部分可软件升级主板的 BIOS程序混乱,主板被破坏。
( 8) 网络瘫痪,无法提供正常的服务。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.7.2 计算机病毒的处理
如果微型机病毒发作了,首先应确定损失
的范围;主机板是否被改写,各个分区上否被
格式化,重要文件是否被破坏。
如果开机时无启动微机,显示器也没有任
何显示,这有可能是主机板上的已经被改写,
只能重写 BIOS或更换主机板。
如果微机能够启动但是找不到硬盘,可能
是主引导区和分区表,也可使用相关的工具软
件来恢复,如果是重要的文件被删除或者硬盘
被格式化,则得看实际被破坏程度,使用等工
具软件进行尝尝性恢复。一般除以外的其他逻
辑分区可被完全恢复。
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
单元十二 计算机病毒防治
*计算机病毒的概念
*计算机病毒产生与发展的历史
*计算机病毒的分类
*当前流行的计算机病毒
*计算机病毒的防范
*常用杀毒软件的使用
*病毒发作的现象及处理
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.1 计算机病毒的概念
计算机病毒 是一种小程序,能够自我复制,
会将自己的病毒码依附在的其他程序上,通过其
他程序的执行,伺机传播病毒程序,有一定 潜伏
期,一旦条件成熟,进行各种破坏活动,影响计
算机使用。就像生物病毒一样,计算机病毒有独
特的复制能力。计算机病毒可以很快地蔓延,又
常常难以根除。它们能把自身附着在各种类型的
文件上。当文件被复制或从一个用户传送到另一
个用户时,它们就随同文件一起蔓延开来。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
除复制能力外,某些计算机病毒还有其它一
些共同特性,一个被污染的程序能够传送病毒载
体 。当你看到病毒载体似乎仅仅表现在文字和图
象上时,它们可能也已毁坏了文件、再格式化了
你的硬盘驱动或引发了其它类型的灾害。若是病
毒并不寄生于一个污染程序,它仍然能通过占据
存贮空间给你带来麻烦,并降低你的计算机的全部性能。
所以,计算机病毒 就是能够通过某种途径潜
伏在计算机存储介质(或程序)里,当达到某种
条件时即被激活的具有对计算机资源进行破坏作
用的一组程序或指令集合。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.2 计算机病毒的产生与发展历史
现在流行的病毒是由人为故意编写的,多数病毒可
以找到作者信息和产地信息,通过大量的资料分析统计
来看,病毒作者主要情况和目的是:一些天才的程序员
为了表现自己和证明自己的能力,处于对上司的不满,
为了好奇,为了报复,为了祝贺和求爱,为了得到控制
口令,为了软件拿不到报酬预留的陷阱等。当然也有因
政治,军事,宗教,民族。专利等方面的需求而专门编
写的,其中也包括一些病毒研究机构和黑客的测试病毒。
在病毒的发展史上,病毒的出现是有规律的,一般
情况下一种新的病毒技术出现后,病毒迅速发展,接着
反病毒技术的发展会抑制其流传。操作系统进行升级时,
病毒也会调整为新的方式,产生新的病毒技术。它可划
分为:
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
1,DOS引导阶段
2,DOS可执行阶段
3、伴随、批次型阶段
4、幽灵、多形阶段
5、生成器、变体机阶段
6、网络、蠕虫阶段
7、视窗阶段
8、宏病毒阶段
9、互连网阶段
10, Java、邮件炸弹阶段
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.3 当前流行的计算机病毒
以下是当前流行比较广泛的病毒的简单介绍:
病毒名称, Klez(求职信)
别名, Win32/Krn132,Win32/Klez,W32.Klez,
Kleza.A,ElKern,Klaz,Kletz,I-Worm.Klez
病毒特点,由于病毒体代码包含的英文信的内容与求
职有关,所以我们将其命名为“求职信”病毒。该病
毒通过电子邮件传播 。一旦感染此病毒,系统将变得
非常缓慢,并且该病毒还可以通过取 Outlook地址簿中
的邮件地址自动传播给其他用户。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
病毒名称, Aliz
别名, Win32.Aliz,W95/Aliz.A,Peace,ALIZ.A,
W32.Aliz.Worm,W32/Aliz@MM,
病毒特点,该病毒使用汇编语言编写,是一个
绰号为 mar00n黑客编写的,病毒长度只有 4K。
该病毒与“求职信”病毒相类似,同样利用了
微软 IE浏览器不能正确处理 HTML格式的邮件
中的 MIME文件头的漏洞,因此,当用户收到 Aliz
病毒的邮件时,在预览该邮件时,就会激活病
毒,自动执行邮件的附件 Whatever.exe。一旦激
活该病毒,病毒将自动向邮件地址列表中的所
有地址自动发送病毒邮件。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
病毒名称, BadTrans.B
别名, W95/Badtrans.B@mm,W32/Badtrans-
B,W32/Badtrans@mm,BadtransII,W32.Badtrans.B@mm,
I-Worm.BadtransII,W32/BadTrans.B-mm
病毒特点, Badtrans.b是一个电子邮件蠕虫病毒,该病
毒为前一阶段出现的病毒 Badtrans的变种。该病毒在
Win32系统下传染,病毒仍利用 Outlook Express的漏洞,
发送带有染毒附件的邮件,当用户在预览带有病毒附件
的邮件时,附件就会自动执行,从而使用户受到该病毒
的感染。病毒体包含两个部分 ——蠕虫和木马,蠕虫部
分用于发送染毒信息,木马用于发送从染毒系统上窃取
的用户信息,它将被感染机器的 RAS数据、用户密码、
键盘日志等发送到指定的邮件地址。一旦遭受病毒感染,
病毒首先将自身释放到 windows的 system目录下,命名
为 Kernel32.exe,并修改注册表。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.4 计算机病毒的分类
根据多年对计算机病毒的研究,按照科学的,系统
的,严密的方法,计算机病毒可分类如下:
1,根据病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,
文件病毒,引导型病毒。
2,根据病毒传染的方法
网络病毒通过计算机网络传播感染网络中的可执行
文件,文件病毒感染计算机中的文件(如:COM,E
XE,DOC等),引导型病毒感染启动扇区( Boot)
和硬盘的系统引导扇区(MBR),还有这三种情况的
混合型 。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
3,根据病毒破坏的能力
( 1) 无害型,除了传染时减少磁盘的可用空间外,
对系统没有其它影响。
( 2) 无危险型,这类病毒仅仅是减少内存、显示图
像、发出声音及同类音响。
( 3) 危险型,这类病毒在计算机系统操作中造成严
重的错误。
( 4) 非常危险型,这类病毒删除程序、破坏数据、
清除系统内存区和操作系统中重要的信息。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
4,根据病毒特有的算法,
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法
产生 EXE文件的伴随体,具有同样的名字和不同的扩展名。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料
信息,利用网络从一台机器的内存传播到其它机器的内存,计算
网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
练习型病毒,病毒自身包含错误,不能进行很好的传播,例
如一些病毒在调试阶段。
诡秘型病毒,它们一般不直接修改 DOS中断和扇区数据,而
是通过设备技术和文件缓冲区等 DOS内部修改,不易看到资源,
使用比较高级的技术。利用 DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算
法,使自己每传播一份都具有不同的内容和长度。它们一般的作 法是一段混有无关指令的解码算法和被变化过的病毒体组成。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
5,恶意病毒“四大家族”,
宏病毒,由于微软的 Office系列办公软件和 Windows
系统占了绝大多数的 PC软件市场,加上 Windows和 Office
提供了宏病毒编制和运行所必需的库(以 VB库为主)支
持和传播机会,所以宏病毒是最容易编制和流传的病毒
之一,很有代表性。
CIH病毒, CIH是本世纪最著名和最有破坏力的病毒
之一,它是第一个能破坏硬件的病毒。
蠕虫病毒,蠕虫病毒以尽量多复制自身(像虫子一
样大量繁殖)而得名,多感染电脑和占用系统、网络资
源,造成 PC和服务器负荷过重而死机,并以使系统内数
据混乱为主要的破坏方式。它不一定马上删除你的数据
让你发现,比如著名的爱虫病毒和尼姆达病毒。
木马病毒,木马病毒源自古希腊特洛伊战争中著名
的“木马计”而得名,顾名思义就是一种伪装潜伏的网
络病毒,等待时机成熟就出来害人。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.5 计算机病毒的防范
微机病毒随时在寻找入侵微型机的机会,
因此应提高对微机型机病毒的防范意识,不给
病毒可乘之机,在微型机应用中,应注意以下
几点;
( 1) 尊重知识产权,不使用盗版或来历不
明的软件。
( 2) 备份硬盘主引导区和引导区数据,以
备硬盘受病毒攻击后,恢复让引导区和引导区。
另外,还要经常对重要的数据备份,防患于未
然。
( 3) 经常使用杀毒软件检查硬盘和每一张
外来盘的良好习惯。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 4) 杀毒软件应定其升级。
( 5) 即使安装了实时监控防毒软件的机器也
不能掉以轻心。因为这种软件对已知的病毒的
防范有一定的作用,但对于未知的病毒,特别
是新病毒的防范可能会力不从心。
( 6) 注意微型机的各种异常现象,一旦发现
异常,应立即使用杀毒软件仔细检查。实在无法确定时,可以考虑备份重要文件并重装系统。
杀毒软件是预防病毒入侵的有效工具,建
议应预备多种杀毒软件,因各种杀毒的软件都
有各自的特点,这样可以提高杀毒的可靠性。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.6 常用杀毒软件的使用
12.6.1,金山毒霸
金山毒霸是金山公司研制开发的一套知能反羰病毒软件。它安装
方便,使用简单,查毒和杀毒技术独具特色,并且年提供非常方便的 升级功能。
( 1) 安装及运行金山毒霸
金山毒霸采用是标准安装方式,整个安装过程公需用户设置一下
安装路径,耗不到 1分钟。在安装开始时,它会先对内存在进行一遍
检测,倮证在安装过程中不会受到病毒的侵扰;在安装完成后,它会 立即启动病毒防火,开始实时监测病毒。
( 2) 查杀病毒
查杀病毒的操作是在主程序中进行的。首先选择要查杀的驱动器,
再设置是检查程序及文档文件还是检查所有文件,单击“查杀病毒” 按钮即开始查毒草。在查毒过程中,若查出系统中存在病毒,则会根
据用户的设置进行相应处理。
用户可对查毒选项和发现病毒后金山毒霸所作出的相训处理进行
设置,只需选择“实用工具” —>“选项”菜单,在打开的“选项设置”
对话杠的“查毒”选项卡中进行设置即可。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 3) 应用病毒防火墙
一旦启动了病毒防火墙,它就会驻留内存,自动运
行于后台,并对文件的操作,接收电子邮件从网络下载
文件以及打开光盘等到进病毒监控,彻底地防止病毒入
侵。如果发现病毒,它将根据自身属性的设置作出相应
的反应。
( 4) 邮件监控
金山毒霸的邮件监控程序能够在用户接收电子邮件
时,自动地对电子邮件进行病毒扫描,并根据疫置作出
相应处理,让用户可以安心阅读每一封邮件,同时防止
电子邮件病毒的传播。
若要启动邮件监控程序,可选择“实用工
具” →,邮件监控”菜单,或从击桌现上的金山霸邮件
监控图标。此时,在任务栏的右侧就会出现一个邮件监
控图标,表明邮件监控程序已经启动。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 5) 其他功能
除了上面所讲到的功能外,金山毒
霸还提代了创建应急启动盘,查毒结果和
查看日志文件等功能。用户只需在实用工
蛤菜单中选取择相应选项,并根据提示进
行操作即可。
此外,金山毒霸提供了定时查毒的
功能,用于在特定时间自动查杀系统中的
病毒。用户只需选取择查杀病毒定时查毒
菜单对话框中进行分析设置即可。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.6.2 瑞星杀毒软件
瑞星杀毒霸软件是北京瑞星科技股份有限公司针对流
行于国内外对微型机第统危害较大的病毒和有害程序,自
主研制的反病毒工具。该工具用于对已知病毒黑客等进行
查找和实时监控,清除和恢复被病毒感染的文件或系统,
维护微型机系统的安全。它能够全成清除感染系统或文件
的病互,以及危害微机系统安全的各种黑客有害程序。
( 1) 启动遭到星杀毒软件
将瑞星杀毒软件安装后,在任务栏的右侧会出现一个
瑞星反毒实时监察控图标,双击该图标,或选择开始程序
瑞星杀毒瑞星杀毒软件菜单,也可以双击桌面的快捷图标,
均可启动瑞星杀毒软件。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 2) 查杀病毒
瑞星杀毒软件可以查杀内存,本地硬盘,软盘。光驱
及网上邻居中的病毒,查杀病毒。查杀病毒时,首先选择
要查目标后,单击“杀毒”按钮可检查并清除所选目标中
的病毒,查杀结束后,会显示出查毒结果。
( 3) 病毒实时监控及邮件监控
瑞星杀毒软件提代供了病毒实时监控和邮件监控的功
能,利用这两项功能,用户可以在编辑文件或阅读邮件时,
切实有效地保护微型机系统不受病毒的破坏。在按照默认
方式安装了瑞星杀毒软件后,微型机就处于瑞星杀毒软件
的实时监控保护之下,此时任务栏的右侧显示图标,且每
次启动微型机算机时,均会启动该程序。瑞星杀毒软件还
提供了邮件监控的功能。以默认方式安装了瑞星杀毒软件
后,邮件监控程序就会运行。如果用户的微型机安装好了
或等邮件系统,其邮件监控程序将自动对所接收的邮件进
行监控,使微型机系统免受电子邮件所传播的病毒的侵害。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
( 4) 查毒功能设置
通过点击,设置”按钮,就弹出设置窗口,
在窗口可以进行杀毒设置,微型机监控设置,
监控设置时查杀以及一些其他设置。
在该项目中,用户可以设置所要进杀的文件
类型,是否查杀邮件和压缩文件,杀毒时是否
备份染毒文件到“病毒隔离系统”,是否查杀
子文件夹,查杀病毒完万里后的动作(返回主
程序,退出程序功重新启动微机等),发现病
毒后的处理方式(询问后处理,直接清除,删
除文件或忽咯等)以及清除失败后的处理方式
等。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.7 病毒发作的现象及处理
12.7.1 计算机病毒的表现现象
计算机病毒 是客观存在的,客观存在的事物
总有它的特性,计算机病毒也不例外。从实质上
说,计算机病毒是一段程序代码,虽然它可能隐
藏得很好,但也会留下许多痕迹。通过对这些蛛
丝马迹的判别,我们就能发现计算机病毒的存在
了。
根据计算机病毒感染和发作的阶段,可以将
计算机病毒的 表现现象分为三大类,即,计算机
病毒发作前, 发作时 和 发作后 的表现现象。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
1、计算机病毒发作前,是指从计算机病毒感染计算
机系统,潜伏在系统内开始,一直到激发条件满足,计算
机病毒发作之前的一个阶段。
在这个阶段,计算机病毒的行为主要是以潜伏、传播
为主。计算机病毒会以各式各样的手法来隐藏自己,在不
被发现同时,又自我复制,以各种手段进行传播。
以下是一些 计算机病毒发作前常见的表现现象,
( 1) 平时运行正常的计算机突然经常性无缘无故地死
机。 ( 2) 操作系统无法正常启动。 ( 3) 运行速度明显
变慢。 ( 4) 以前能正常运行的软件经常发生内存不足的
错误。 ( 5) 打印和通讯发生异常。 ( 6) 无意中要求对
软盘进行写操作。 ( 7) 以前能正常运行的应用程序经常
发生死机或者非法错误。 ( 8) 系统文件的时间、日期、
大小发生变化。 ( 9)运行 Word,打开 Word文档后,该
文件另存时只能以模板方式保存。 ( 10) 磁盘空间迅速
减少。 ( 11) 网络驱动器卷或共享目录无法调用。 ( 12)
基本内存发生变化。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
2,计算机病毒发作时的常见表现现象
( 1) 提示一些不相干的话。
( 2) 发出一段的音乐。
( 3) 产生特定的图象。
( 4) 硬盘灯不断闪烁。
( 5) 进行游戏算法。
( 6) Windows桌面图标发生变化。
( 7) 计算机突然死机或重启。
( 8) 自动发送电子函件。
( 9) 鼠标自己在动。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
3,计算机病毒发作后的表现现象大多数计算机病毒都是
属于 "恶性 "计算机病毒。 "恶性 "计算机病毒发作后往往会
带来很大的损失,以下列举了一些 恶性计算机病毒发作
后所造成的后果,
( 1) 硬盘无法启动,数据丢失 。
( 2) 系统文件丢失或被破坏 。
( 3) 文件目录发生混乱 。
( 4) 部分文档丢失或被破坏 。
( 5) 部分文档自动加密码 。
( 6) 修改 Autoexec.bat文件,增加 Format C:一项,导致
计算机重新启动时格式化硬盘。
( 7) 使部分可软件升级主板的 BIOS程序混乱,主板被破坏。
( 8) 网络瘫痪,无法提供正常的服务。
,计算机组装与维护, 讲义
兰州石化职业技术学院计算机系应用教研室
单
元
十
二
计
算
机
病
毒
防
治
12.7.2 计算机病毒的处理
如果微型机病毒发作了,首先应确定损失
的范围;主机板是否被改写,各个分区上否被
格式化,重要文件是否被破坏。
如果开机时无启动微机,显示器也没有任
何显示,这有可能是主机板上的已经被改写,
只能重写 BIOS或更换主机板。
如果微机能够启动但是找不到硬盘,可能
是主引导区和分区表,也可使用相关的工具软
件来恢复,如果是重要的文件被删除或者硬盘
被格式化,则得看实际被破坏程度,使用等工
具软件进行尝尝性恢复。一般除以外的其他逻
辑分区可被完全恢复。
