第七章
计算机病毒防治
第 七 章 计算机病毒防治
7.1 计算机病毒的特点与分类
7.1.1 计算机病毒的发展
7.1.2 计算机病毒的特性
7.1.3 计算机病毒分类
7.1.4 计算机病毒的传播
7.1.5计算机病毒机理
7.2 计算机病毒检查与清除
7.2.1 网络病毒检查与清除方法
7.2.2 宏病毒检查与清除方法
7.2.3 典型病毒清除方法
第七章 计算机病毒防治 ( 续 )
7.3 计算机病毒防治措施
7.3.1 计算机病毒防治管理措施
7.3.2计算机病毒防治技措施
7.3.3 常用病毒防治软件简介
7.4 本章知识点小结
第 七 章 计算机病毒防治
计算机病毒的出现成为信息化社会的公害, 是
一种特殊的犯罪形式防治计算机病毒是一个系统工程,
不仅要有强大的技术支持, 而且要有完善的法律法规,
严谨的管理体系, 科学的规章制度以及系统的防范措
施 。 本章介绍了计算机病毒的基本知识包括计算机病
毒的发展历史, 病毒特性, 分类方法, 传播途径和工
作机理, 列举了典型病毒的检查和清除方法, 讨论了
关于防治计算机病毒的管理和技术措施 。
7.1 计算机病毒的特点与分类
计算机病毒也是计算机程序, 有着生物病毒相
似的特性, 病毒驻留在受感染的计算机内, 并不断
传播和感染可连接的系统, 在满足触发条件时, 病
毒发作, 破坏正常的系统工作, 强占系统资源, 甚
至损坏系统数据 。 病毒不但具有普通程序存储和运
行的特点, 还具有传染性, 潜伏性, 可触发性, 破
坏性, 针对性, 隐蔽性和衍生性等特征 。
7.1.1 计算机病毒的发展
计算机病毒是伴随计算机的发展而不断发
展变化的 。 早在 1949年计算机刚刚诞生时, 计
算机之父冯 ·诺依曼在, 复杂自动机组织论, 中便
定义了病毒的基本概念, 他提出, 一部事实上足
够复杂的机器能够复制自身,, 而能够复制自身
正是计算机病毒的本质特征之一 。
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
20世纪 60年代初 Core War 通过复制自身来摆脱对方控制
1981年 Elk Cloner 通过磁盘进行感染
1986年底 Brain 首次使用了伪装手段
1987年 Casade 自我加解密
1987年 12月 Christmas
Tree
第一个网络病毒,在 VM/CMS操作系
统下传播
1988年,耶路撒冷”病

文件型病毒
1988年 11月 2日 蠕虫程序 造成 Internet的堵塞
7.1.1 计算机病毒的发展 ( 续 )
首例能够破坏硬件的病毒CHI1998年 6月
第一个使用 FTP进行传播Homer1997年 4月
第一个 Linux环境下的病毒Bliss 1997年 2月
攻击 Windows操作系统病毒大规模出

宏病毒
Concept
1995年 8月 9日
感染 C语言和 Pascal语言
感染 OBJ文件
SrcVir
Shifter
1993,1994年
第一个多态病毒Chameleon1990年
标志着计算机病毒开始入侵我国“小球”1989年 4月
格式化硬盘Yankee1989年
特点名称时间
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
1999年 美丽杀 宏病毒和蠕虫的混合物,通过电子邮件传播
2000年 VBS/KAK 使用脚本技术
2001年 红色代码 利用微软操作系统的缓冲区溢出的漏洞传播
2001年 Nimda 利用电子邮件传播
2001年 网络神偷 木马 /黑客病毒,对本地及远程驱动器的文件进
行任何操作
2002年 6月 Perrum 第一个从程序感染转变为数据文件感染的病毒
2003年,2003蠕虫
王”
多元混合化,数小时内使全球主干网陷入瘫痪
2004年 频繁的变种病毒大量出现
7.1.2 计算机病毒的特性
1,传染性
2,潜伏性
3,可触发性
4,破坏性
5,针对性
6,隐蔽性
7,衍生性
传染性
传染性是病毒的基本特征 。 病毒通过修改磁盘扇区信息
或文件内容, 并把自身嵌入到一切符合其传染条件的未受到
传染的程序之上, 实现自我复制和自我繁殖, 达到传染和扩
散的目的 。 被感染的程序和系统将成为新的传染源, 在与其
它系统和设备接触时继续进行传播 。 其中, 被嵌入的程序叫
做宿主程序 。 病毒的传染可以通过各种移动存储设备, 如软
盘, 移动硬盘, U盘, 可擦写光盘, 手机, PDA等;病毒可以
通过有线网络, 无线网络, 手机网络等渠道迅速波及全球 。
例如,, 爱虫, 病毒在两天内迅速传播到世界的主要计算机
网络, 并造成欧, 美国家的计算机网络瘫痪 。
潜伏性
病毒在进入系统之后通常不会马上发作, 可长期隐藏
在系统中, 除了传染外不做什么破坏, 以提供足够的时间
繁殖扩散 。 病毒在潜伏期, 不破坏系统, 因而不易被用户
发现 。 潜伏性越好, 其在系统中的存在时间就会越长, 病
毒的传染范围就会越大 。 病毒只有在满足特定触发条件时
才启动其破坏模块 。 例如, PETER-2病毒在每年的 2月 27
日会提三个问题答错后会将硬盘加密 。 著名 CIH病毒在每
月的 26日发作 。
可触发性
病毒因某个事件或数值的出现, 激发其进行传染,
或者激活病毒的表现部分或破坏部分的特性称为可触发
性 。 计算机病毒一般都有一个或者多个触发条件, 病毒
的触发机制用来控制感染和破坏动作的频率 。 病毒具有
的预定的触发条件可能是敲入特定字符, 使用特定文件,
某个特定日期或特定时刻, 或者是病毒内置的计数器达
到一定次数等 。 病毒运行时, 触发机制检查预定条件是
否满足, 满足条件时, 病毒触发感染或破坏动作, 否则
继续潜伏 。
破坏性
病毒是一种可执行程序, 病毒的运行必然要占用系统资
源, 如占用内存空间, 占用磁盘存储空间以及系统运行时间等 。
病毒的破坏性主要取决于病毒设计者的目的 。 良性病毒可能只
是干扰显示屏幕, 显示一些乱码或无聊的语句, 或者根本无任
何破坏动作, 只是占用系统资源, 如 FENP病毒, 小球病毒,
W-BOOT病毒等 。 恶性病毒则有明确的目的, 它们破坏数据,
删除文件, 加密磁盘甚至格式化磁盘, 破坏硬件, 对数据造成
不可挽回的破坏 。 另外, 病毒的交叉感染, 也会导致系统崩溃
等恶果 。
针对性
病毒是针对特定的计算机, 操作系统, 服务软件, 甚
至特定的版本和特定模版而设计的 。 例如:小球病毒是针
对 IBM PC 机及其兼容机上的 DOS 操作系统的 。
,CodeBlue ( 蓝色代码 ), 专门 攻击 WINDOWS
2000操作系统 。 英文 Word中的宏病毒模板在同一版本
的中文 Word中无法打开而自动失效 。 2002年 1月 8日 出
现 的感染 SWF 文 件的 SWF.LFM.926 病 毒由于 依 赖
Macro-media独立运行的 Flash播放器, 而不是依靠安
装在浏览器中插件, 使其传播受到限制 。
隐蔽性
大部分病毒都设计得短小精悍, 一般只有几百 K甚
至几十 K字节, 并且, 病毒通常都附在正常程序中或磁盘
较隐蔽的地方 ( 如引导扇区 ), 或以隐含文件形式出现,
目的是不让用户发现它的存在 。 如果不经过代码分析,
病毒程序与正常程序是不容易区别开的 。 病毒在潜伏期
并不恶意破坏系统工作, 受感染的计算机系统通常仍能
正常运行, 用户不会感到任何异常, 从而隐藏病毒的存
在, 使病毒可以在不被察觉的情况下, 感染尽可能多的
计算机系统 。
隐蔽性 ( 续 )
? 传染的隐蔽性 。 大多数病毒在进行传染时速度极快, 一般不
具有外部表现, 不易被发现 。 PC机对 DOS文件的存取速度
可达每秒几百 KB以上, 几百字节的病毒可在转瞬间附着在
正常的程序之中, 不易被人察觉 。
? 存在的隐蔽性 。 病毒一般都附着在正常程序之中, 正常程序
被计算机病毒感染后, 其原有功能基本上不受影响, 使病毒
在正常程序的工作过程中不断得到运行, 传染更多的系统和
资源, 与正常程序争夺系统的控制权和磁盘空间, 不断地破
坏正常的系统 。
衍生性
很多病毒使用高级语言编写, 如, 爱虫, 是脚本语
言病毒,, 美丽杀, 是宏病毒,通过分析计算机病毒的
结构可以了解设计者的设计思想, 从而衍生出各种新的
计算机病毒, 称为病毒变种 。 这就是计算机病毒的衍生
性 。 变种病毒造成的后果可能比原版病毒更为严重 。
,爱虫, 病毒在十几天中, 出现三十多种变种 。, 美丽
杀, 病毒也有多种变种, 并且此后很多宏病毒都使用了
,美丽杀, 的传染机理 。 这些变种的主要传染和破坏的
机理与母体病毒基本一致, 只是改变了病毒的外部表象 。
其他特性
随着计算机软件和网络技术的发展, 网络时
代的病毒又具有很多新的特点如主动通过网络和
邮件系统传播, 传播速度极快, 变种多;病毒不
但能够复制自身给其他的程序, 而且具有了蠕虫
的特点, 可以利用网络进行传播;具有了黑客程
序的功能, 一旦侵入计算机系统后, 病毒控制可
以从入侵的系统中窃取信息, 远程控制这些系统 。
病毒的功能呈现多样化, 也更具有危害性 。
7.1.3 计算机病毒分类
1,按照计算机病毒的危害程度分类
2,按照传染方式分类
3,按照计算机病毒的寄生方式分类
4,其他一些分类方式
按照计算机病毒的危害程度分类
? 良性病毒是指不对计算机系统和数据进行彻底破坏的病毒 。
这类病毒占用系统资源, 会导致整个系统运行效率降;与
操作系统和应用程序争抢 CPU的控制权, 导致整个系统死
锁, 妨碍正常的系统操作 。 在多个病毒交叉感染时也可造
成系统崩溃 。 如小球病毒, 1575/1591病毒, 救护车病毒,
扬基病毒, Dabi病毒 。
? 恶性病毒是指能够损伤和破坏计算机系统及其数据, 在其
传染或发作时对系统产生彻底破坏作用的病毒 。 目的明确,
破坏数据, 删除文件, 加密磁盘, 甚至格式化磁盘 。 米开
朗基罗病毒发作时, 硬盘的前 17个扇区将被彻底破坏, 使
整个硬盘上的数据无法被恢复 。
按照传染方式分类
? 引导型病毒是指寄生在磁盘引导区或主引导区的计算机
病毒。按照引导型病毒在硬盘上的寄生位置可细分为主
引导记录病毒和分区引导记录病毒。
? 文件型病毒是指能够寄生在文件中的计算机病毒。这类
病毒程序感染可执行文件或数据文件。
? 混合型病毒是指具有引导型病毒和文件型病毒两种寄生
方式的计算机病毒。这种病毒既感染磁盘的引导区,又
感染可执行文件,增加了病毒的传染性及存活率。
按照计算机病毒的寄生方式分类
? 源码型病毒是用高级语言编写的, 攻击用高级语言编写
的程序 。 这种病毒若不进行汇编, 链接, 就无法传染扩
散 。
? 嵌入型病毒是将自身嵌入到现有程序中, 把计算机病毒
的主体程序与其攻击的对象以插入的方式链接 。 技术难
度较大, 一旦侵入后也较难消除 。
? 外壳型病毒寄生在宿主程序的前面或后面, 并修改程序
的第一条执行指令, 使病毒先于宿主程序执行 。 易于编
写, 易于发现, 通过文件的大小判别 。
其他分类方式
? 按照攻击的操作系统可分为:攻击 DOS操作系统的,
攻击 Windows系统的, 攻击 UNIX系统的, 攻击 OS/2
系统的病毒 。
? 按照计算机病毒激活的时间可分为:定时发作的病毒和
不由时钟来激活的随机病毒 。
? 按照传播媒介可分为:以磁盘为载体的单机病毒和以网
络为载体的网络病毒 。
? 按攻击的机型还可将病毒分为:攻击微型机的病毒, 攻
击小型机的病毒和攻击工作站的病毒 。
7.1.4 计算机病毒的传播
? 第一种途径,通过不可移动的计算机硬件设备进行传
播 。 设备中有计算机的专用 ASIC( Application
Specific Integrated Circuit,特定用途集成电路 )
芯片和硬盘等 。 这种病毒极少, 破坏力极强 。
? 第二种途径:通过移动存储设备传染 。 如软盘, U盘,
可擦写光盘, MP3,存储卡, 记忆棒等 。
? 第三种途径:通过计算机网络传播, 是传播的主流途
径, 也是危害最大的传播途径 。
? 第四种途径:通过点对点通信系统和无线通道传播 。
7.1.5 计算机病毒机理
? 下面通过例 1 介绍计算机病毒的结构。 文件名为,autoexec.bat,其内容如下:
@echo off #关闭回显功能
echo This is a virus demonstration program,#病毒示例程序
if exist b:\autoexec.bat goto virus #检查时机
goto no-virus #时机不成熟则继续潜伏
:virus #时机成熟
b,#到 b:盘
rename autoexec.bat auto.bat #修改原文件名字
copy a:\autoexec.bat b,#复制自身
echo You have a virus! #表现症状
:no-virus #正常程序入口
a:
\auto.bat #执行正常程序
7.1.5 计算机病毒机理
由例 1可见, 病毒一般包含 3个模块:引导模块, 感
染模块和表现模块 ( 或破坏模块 ) 。 引导模块将病毒程
序引入内存并使其后面的两个模块处于激活状态;感染
模块在感染条件满足时把病毒感染到所攻击的对象上;
表现模块 ( 破坏模块 ) 在病毒发作条件满足时, 实施对
系统的干扰和破坏活动 。 并不是所有计算机病毒都由这 3
大模块组成, 有的病毒可能没有引导模块, 如, 维也纳,
病毒;有的可能没有破坏模块, 如, 巴基斯坦, 病毒;
而有的病毒在 3个模块之间可能没有明显的界限 。
7.1.5计算机病毒机理
1,引导型病毒
2,外壳型病毒
3,宏病毒
引导型病毒
引导型病毒是一种在 ROM BIOS之后, 系统引导时出
现的病毒, 它先于操作系统, 依托的环境是 BIOS中断服务
程序 。 引导型病毒利用操作系统的引导模块放在固定的位置,
并且控制权的转交方式是以物理地址为依据, 而不是以操作
系统引导区的内容为依据 。 因而, 引导型病毒改写磁盘上的
引导扇区 ( BOOT SECTOR) 的内容或改写硬盘上的分区表
( FAT), 占据该物理位置即可获得控制权 。 病毒将真正的
引导区内容搬家转移或替换, 待病毒程序被执行后, 再将控
制权交给真正的引导区内容, 使得带病毒的系统看似运转正
常, 从而隐藏病毒的存在, 伺机传染, 发作 。
外壳型病毒
作为典型的文件型病毒, 外壳型病毒需要
寄生的宿主程序, 并修改宿主程序的第一条执
行指令, 使病毒先于宿主程序执行, 随着宿主
程序的使用而传染扩散 。 下面的例子中, 将修
改 windows下的可执行文件 more.com,在
more.com文件末尾添加新的代码, 使程序一
运行便执行该代码段, 并使得 more.com在执
行时必须按下 Escape键才能正常运行 。
外壳型病毒 ( 续 )
例 2:修改 more.com文件, 使得 more.com在执行时必须先按下
Escape键才能继续执行 。
C:\WINDOWS\COMMAND>debug more.com
#使用 debug工具编辑 more.com
-r #查看寄存器状态, 其中 CX指示了 16进制表示的文件长度
AX=0000 BX=0000 CX=2967 DX=0000 SP=FFFE
BP=0000 SI=0000 DI=0000 DS=128C ES=128C
SS=128C CS=128C IP=0100 NV UP EI PL NZ NA PO NC
128C:0100 E85A10 CALL 115D
#此处显示了该程序的第一条汇编语句
外壳型病毒 ( 续 )
通过上述操作可以获得该程序的基本信息,
包括该文件的大小 (这里是 2967)和第一条汇编
语句的 16进制编码 (这里是 E85A10)。 由于文件
大小为 2967,而文件起始位置为 128C:0100,
所以, 从地址为 2967+100=2A67开始添加新
的代码 。
2,外壳型病毒 ( 续 三 )
? -a 2A67 #从地址 2A67处添加代码
? 128C:2A67 mov ah,0
? 128C:2A69 int 16 #触发中断 16,且 ah=0,系统等待按键
? 128C:2A6B cmp al,1b #判断是否是
Escape键
? 128C:2A6D jnz 2A67 #若非 Escape键, 循环等待
? 128C:2A6F mov word ptr[100],5AE8 #恢复开始的 3个字节
? 128C:2A75 mov byte ptr[102],10
? 128C:2A7A push cs #将程序入口地址 cs:100进栈
? 128C:2A7B mov si,100
? 128C:2A7E push si
? 128C:2A7F retf #回到 cs:100程序入口处
? 128C:2A80
外壳型病毒 ( 续 )
? -a 100 #修改文件第一句语句为:跳转到, 病毒, 代


? 128C:0100 jmp 2A67
? 128C:0103
? -r cx #更改文件的大小为
2A80- 100=2970
? CX 2967
?,2980
? -w #写文件
? Writing 02980 bytes
? -q #退出 debug
外壳型病毒 ( 续 )
? 此后, 当 使 用 more.com 时, 例 如 使 用, dir/s
|more分页显示所在目录及其子目录内容时, 只有按
下 Escape键才能使程序正常执行 。
? 通过上面的例子可以看到, 病毒可以在文件的前面,
后面, 甚至文件内部的空白处添加新的代码, 在程序
正常运行的基础上实现新的功能 。 病毒将自身附加在
宿主程序上, 并通过修改宿主程序的第一条指令, 使
病毒先于正常程序执行 。 当然, 病毒要实现自我复制,
自动传播和破坏系统, 其程序要复杂得多 。
宏病毒
Word的工作模式是当载入文档时, 就先执行起始的宏,
再载入资料内容, 目的是为了使 Word能够根据资料的不同
需要, 使用不同的宏工作 。 Word为普通用户事先定义一个
共用的范本文档 Normal.dot,里面包含了基本的宏 。 只要
一启动 Word,就会自动运行 Normal.dot文件 。 类似的电
子表格软件 Excel 也支持宏, 但 它 的 范 本 文 件 是
Personal.xls。 这就为宏病毒在每次启动 Word时能够取得
系统控制权提供了机会, 使用染毒的模板对文档进行操作 。
宏病毒 ( 续 )
感染了 Word宏病毒的文档运行时, 实现了病毒的自动
运行, 病毒把带病毒的宏移植到通用宏的代码段, 实现对其
它文件的感染 。 在 Word退出系统时, 它会自动地把所有的
通用宏, 包括感染病毒的宏保存到模板文件中, 当 Word系
统再一次启动时, 它又会自动地把所有的通用宏从模板中装
入 。 因此, 一旦 Word系统受到宏病毒的感染, 则以后每当
系统进行初始化时, 系统都会随着 Normal.dot的装入而成
为带毒的 Normal.dot系统, 进而在打开和创建任何文档时
感染该文档 。 当然, 这只是宏病毒传播的一个基本途径 。
7.2 计算机病毒检查与清除
根据计算机病毒的特点, 人们找到了许多
检测计算机病毒的方法 。 但是由于计算机病毒
与反病毒是互相对抗发展的, 任何一种检测方
法都不可能是万能的, 综合运用这些检测方法
并且在此基础上根据病毒的最新特点不断改进
或发现新的方法才能更准确地发现病毒 。
7.2.1 网络病毒检查与清除方法
1 检查注册表。大多数病毒都会修改注册表,使得每一
次机器启动时都能够得到自动执行。
2 检查磁盘文件 。 有些网络病毒会在磁盘上留下自己的
文件, 如木马病毒 Netbus;有些修改或覆盖原有系
统的文件, 如外壳型病毒;有些则以系统文件的命名
方式来命名自己, 以迷惑用户, 如本文中的示例 。
3 检查共享文件夹 。 为实现远程访问的目的, 病毒可将
服务程序放在共享目录中 。
7.2.1 网络病毒检查与清除方法 ( 续 )
4 检查进程 。 网络病毒在发作时会占用系统资源, 自动
产生正常系统运行时没有的进程, 甚至关闭一些正常
系统运行的进程 。
5 检查端口 。 网络病毒要与外界进行联系或传播病毒,
必然要开启通讯端口, 自动发送垃圾信息, 感染其它
系统或接受远程控制, 窃取系统资料 。
6 其它异常症状 。 如系统性能下降, 浏览器被修改, 出
现乱码, 无法正常使用邮件系统等等 。
7.2.2 宏病毒检查与清除方法
1 检查通用模板中出现的宏 。 大多数宏病毒是通过感染通用模板
Normal.dot进行传播的, 而通常通用模板中是没有宏的, 所以,
通过菜单, 工具 /宏,, 如果发现有 AutoOpen等自动宏,
FileSave
等标准宏或一些怪名字的宏, 而用户又没有使用特殊的宏的时候,
用户文档很可能感染上了宏病毒了 。
2 无故出现存盘操作 。 当打开一个 Word文档, 并且文档没有经过任
何改动, 立刻就有存盘操作 。
3 Word功能混乱, 无法使用 。 宏病毒能够破坏 Word的运行机制,
使文档的打开, 关闭, 存盘等操作无法正常进行 。 如 Word
的,doc文档文件无法另存为其它格式的文件, 而只能以模板文件
方式存盘 。
7.2.2 宏病毒检查与清除方法 ( 续 )
4 Word 菜单命令消失 。 一些病毒感染系统时, 会关闭
Word菜单的某些命令, 以隐藏和保护自己 。 如
Phardera病毒在其发作时只弹出一个对话框, 干扰用
户的正常操作, 同时, 病毒去掉, 工具, 菜单中的, 宏,

,自定义, 命令, 阻止手工查杀病毒 。
5 Word文档的内容发生变化 。 例如,Wazzu病毒感染
文档后, 会打乱原格式, 并在文档中加入, Wazzu”;
Concep.F病毒则将原文档中的,,,,, e”,,not”
替换
7.2.2 宏病毒检查与清除方法
? 在没打开任何文件 ( 文档文件或模板文件 ) 的情况下, 启
动 Word;
? 选择菜单, 工具 /模板和加载项, 中的, 管理器 /宏方案,
项, 删除左右两个列表框中除了自己定义的之外的所有宏;
? 关闭对话框;
? 选择菜单, 工具 /宏,, 若有 AutoOpen,AutoNew、
AutoClose等宏, 则删除 。
? 由于 Word宏病毒会寄生在任何,doc文档中, 可在打开,doc
文件后, 重复上面 2~4步骤, 然后将文件存盘, 以清
除,doc文档中的病毒 。
7.2.3 典型病毒清除方法
1,Sircam蠕虫病毒
2,圣诞节病毒
3.,欢乐时光, 病毒
4.,冰河, 木马病毒
Sircam 蠕虫病毒
? 清空回收站, 因为病毒将自身隐藏在回收站;
? 删除 Autoexec.bat文件中的 "@win ecycledsirc32.exe";
? 恢复注册表:
? 将 regedit.exe改名为 regedit.com因为该病毒关联 exe文件;
? 打开注册表编辑器, 查找主键:
HKEY_CLASSES_ROOT\exefile\shell\open\command将其键值
改为, %1”%*;
? 删除主键 HKEY_LOCAL_MACHINE\Software\SirCam;
? 删除键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
Current
Version\Run Services\Driver32;
? 将 regedit.com改回为 regedit.exe。
圣诞节病毒 ( 蠕虫病毒 )
? 通过开始 /程序, 进入 MS-DOS模式;
? 将 DOS指令 regedit.exe重新命名为 regedit.com;
? 打开注册表编辑器, 查找主键:
? HKEY_CLASSES_ROOT\exefile\shell\open\co
mmand将其键值改为 "%1" %*;
? 删除键值
? HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\Win32BaseSer
viceMOD;
? 将 regedit.com重新命名为 regedit.exe。
“欢乐时光, 病毒 ( 邮件病毒 )
? 检查 C:\Help.htm,C,盘第一个子目录下的 Help.vbs 和 Help.hta、
Windows目录下的 Help.htm 或者与原桌面背景文件名相同的
html 格式文件, 若其中 含有, Rem I am sorry! happy time”字
符串, 则删除该文件;
? 检查 C,盘上所有 vbs,html 或者 asp 文件, 若含有, Rem I am
sorry! happy time”字符串, 则删除该文件;
? 检查 WindowsWeb 目录下所有 vbs,html,htt 和 asp 文件, 若
含有, Rem I am sorry! happy time”字符串, 则删除该文件;
? 删除 HKEY_CURRENT_USER\Software 下 Help 项;
? 删除收件箱中所有带有 Untitled.htm 附件的不明邮件 。
“冰河, 木马病毒
? 删除 C:\Winnt\system32下的 Kernel32.exe和
Sysexplr.exe文件;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run下的键值
WINDOWS\SYSTEM\Kernel32.exe;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Runservices下的键值
WINDOWS\SYSTEM\Kernel32.exe;
“冰河, 木马病毒 ( 续 )
? 修改注册表
HKEY_CLASSES_ROOT\txtfile\shell\open
\command 下的默认值, 由被病毒感染后的
Sysexplr.exe %1改为正常情况下的 notepad.exe
%1
? 重新启动, 在纯 Dos模式中删除冰河以及它的关联程
序, 默认是 C:\WINDOWS\SYSTEM\
Kernel32.exe 和 sysexplr.exe。
7.3 计算机病毒防治措施
作为信息时代的主要载体,网络和计算机成为人类
工作、生活不可或缺的一部分,也必将为社会的发展进
一步带来巨大的变革。由于网络和计算机的开放性和共
享性,病毒也将伴随网络和计算机的发展而不断升级,
因此,病毒和反病毒之间的对抗将是长期的。为防患于
未然,以最大限度地减少计算机病毒的发生和危害,必
须采取有效的预防措施,使病毒的波及范围、破坏作用
减到最小。
7.3.1 计算机病毒防治管理措施
? 1994年颁布了, 中华人民共和国计算机信息系统安
全保护条例,,其中规定:故意输入计算机病毒以
及其他有害数据,危害计算机信息安全的要对个人
和单位处以高额罚款,并依法追究刑事责任。
? 1997年出台的新, 刑法, 中增加了有关对制作、传
播计算机病毒进行处罚的条款。
? 2000年 5月,公安部颁布实施了, 计算机病毒防治
管理办法, 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 备好启动盘, 并设置写保护 。
? 尽量不用软盘, U盘, 移动硬盘或其他移动存储设备启
动计算机, 而用本地硬盘启动 。
? 定期对重要的资料和系统文件进行备份 。 可以通过比照
文件大小, 检查文件个数, 核对文件名字来及时发现病
毒 。
? 重要的系统文件和磁盘可以通过赋予只读功能, 避免病
毒的寄生和入侵 。 也可以通过转移文件位置, 修改相应
的系统配置来保护重要的系统文件 。
? 重要部门的计算机, 尽量专机专用与外界隔绝 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 尽量避免在无防毒措施的机器上使用软盘, U盘, 移
动硬盘, 可擦写光盘等可移动的储存设备 。
? 使用新软件时, 先用杀毒程序检查 。
? 安装杀毒软件, 防火墙等防病毒工具, 并准备一套具
有查毒, 防毒, 解毒及修复系统的工具软件 。 并定期
对软件进行升级, 对系统进行查毒 。
? 经常升级安全补丁 。
? 使用复杂的密码 。 有许多网络病毒是通过猜测简单密
码的方式攻击系统的, 因此使用复杂的密码, 可大大
提高计算机的安全系数 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 不要在 Internet上随意下载软件 。 如果特别需要,
须在下载软件后进行杀毒 。
? 不要轻易打开电子邮件的附件 。 较妥当的做法是先
将附件保存下来, 待杀毒软件检查后再打开 。
? 不要随意借入和借出移动存储设备, 在使用借入或
返还的这些设备时, 一定要通过杀毒软件的检查 。
? 了解一些病毒知识。这样就可以及时发现新病毒并
采取相应措施,在关键时刻使自己的计算机免受病
毒破坏。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 一旦发现病毒, 迅速隔离受感染的计算机, 避免
病毒继续扩散 。 并使用可靠的查杀工具, 必要时
需向国家计算机病毒应急中心和当地公共信息网
络安全监察部门报告, 请专家协助处理 。
? 若硬盘资料已遭破坏, 应利用灾后重建的解毒程
序和恢复工具加以分析, 重建受损状态, 而不要
急于格式化 。
7.3.2 计算机病毒防治技措施
1,系统安全
2,软件过滤
3,文件加密
4,备份恢复
系统安全
许多计算机病毒都是通过系统漏洞进行传播的。
有效的杀毒软件可以防御病毒的侵害。除软件防病毒
外,采用防病毒卡和防病毒芯片也是十分有效的方法。
防病毒卡和芯片可与系统结合成一体,系统启动后,
在加载执行前获得控制权并开始监测病毒,使病毒一
进入内存即被查出。同时自身的检测程序固化在芯片
中,病毒无法改变其内容,可有效地抵制病毒对自身
的攻击。
软件过滤
软件过滤的目的是识别某一类特殊的病毒, 以防止
它们进入系统和复制传播, 已被用来保护一些大, 中型
计算机系统 。 如国外使用的一种 T-cell程序集, 对系统
中的数据和程序用一种难以复制的印章加以保护, 如果
印章被改变, 系统就认为发生了非法入侵 。 又如 Digital
公司的一些操作系统采用 CA-examine程序作为病毒检
测工具主要用来分析关键的系统程序和内存常驻模块,
能检测出多种修改系统的病毒 。
文件加密
文件加密是将系统中可执行文件加密, 以避免病毒的
危害 。 可执行文件是可被操作系统和其它软件识别和执行
的文件 。 若病毒不能在可执行文件加密前感染该文件, 或
不能破译加密算法, 则混入病毒代码的文件不能执行 。 为
减小开销, 文件加密也可采用另一种方法:可执行程序作
为明文, 并对其校验和进行单向加密, 形成加密的签名块,
并附在可执行文件之后 。 加密的签名块在文件执行前用公
钥解密, 并与重新计算的校验和相比较, 如有病毒入侵,
造成可执行文件改变, 则校验和不符, 应停止执行并进行
检查 。
备份恢复
数据备份是保证数据安全的重要手段, 可以通
过与备份文件的比较来判定是否有病毒入侵 。 当系
统文件被病毒侵染, 可用备份文件恢复原有的系统 。
数据备份可采用自动方式, 也可采用手动方式;可
定期备份和也可按需备份 。 数据备份不仅可用于被
病毒侵入破坏的数据恢复, 而且可在其它原因破坏
了数据完整性后进行系统恢复 。
7.3.3 常用病毒防治软件简介
各种防病毒软件通常具有如下一些功能:按照用
户要求对系统进行定期查毒、杀毒;对系统进行文件
级、邮件级、内存级、网页级的实时监控;定期或智
能化的升级病毒库;硬盘数据的保护、备份和恢复;
注册表的维护和修复;多种压缩格式的查毒、杀毒;
多种安全策略的选择和用户自定义安全规则的设置。
有些还提供了硬盘恢复工具、系统漏洞扫描工具、系
统优化工具等。
国际上流行的防病毒软件
1.卡巴斯基
2,诺顿
3,NOD32
4,McAfee
卡巴斯基
卡巴斯基 (Kaspersky)杀毒软件来源于俄罗斯,
是世界上优秀的网络杀毒软件, 查杀病毒性能较高 。
卡巴斯基杀毒软件具有较强的中心管理和杀毒能力;
提供了各种类型的抗病毒防护解决方案:抗病毒扫描
仪, 监控器, 行为阻段和完全检验 。 它支持几乎是所
有的操作系统, E-mail通路和防火墙 。 卡巴斯基控制
所有可能的病毒进入端口, 它强大的功能和局部的灵
活性以及网络管理工具为自动信息搜索, 中央安装和
病毒防护控制提供了便利 。
诺顿
赛门铁克 (Symantec)的诺顿品牌是个人用
户安全和解决方案领域的全球零售市场的领导者 。
它通过无缝集成的产品, 保护个人计算机免受病
毒爆发或恶意黑客的攻击 。 全球 500强企业中的
454家和, 财富, 杂志 500强中的 489家企业都
在使用赛门铁克解决方案 。
NOD32
Eset公司的 NOD32是全球较为流行的防毒软件
之一, 产品深受用户欢迎 。 NOD32在准确度及速度上
均打破多项世界纪录 。 NOD32在全球共获得 40多个
奖项, 包括 Virus Bulletin,PC Magazine,ICS认
证, Checkmark认证等, 并且是全球唯一通过 26次
VB100% 测试的防毒软件 。 NOD32提供多种操作系
统 平台 的产 品, 包括 DOS, Windows9x/Me,
WindowsNT/XP/2000,Novell Netware Server、
Linux,BSD等 。
McAfee
McAfee防毒软件也是全球畅销的杀毒软件之一,
它能够自动监视系统, 自动侦测文件的安全性, 可使
用密码将个人的设置锁定, 能够对所有可能的病毒来
源进行默认监控, 包括软盘, CD-ROM,Internet下
载, 电子邮件附件, 已访问的服务器, 共享文件以及
在线服务等 。 一旦检测到病毒, 能够自动将其清除,
删除, 或者隔离起来, 以便进一步分析并找出病毒的
根源 。
国产反病毒软件
1,江民 KV系列
2,金山毒霸
3,瑞星杀毒软件
4,熊猫卫士
江民 KV系列
江民科技致力于研发和经营范围涉及单机, 网络反病
毒软件;单机, 网络黑客防火墙;邮件服务器防病毒软
件等一系列网络安全产品 。 江民 KV系列产品在单机版
防杀毒市场上占有一定优势, 在国内防杀毒业界保持着
一定的领先地位 。 江民系列产品的特点是:与操作系统
结合紧密, 节约系统资源, 不影响系统的稳定性和客户
的正常操作;其界面风格简洁, 可操作性强, 易于用户
的使用;在查毒率方面, 查杀压缩格式和加壳格式文件
的支持方面, 江民都表现得很出色 。
金山毒霸
金山公司是中国领先的应用软件产品和服务
供应商,其金山毒霸系列杀毒软件产品是国内较
有影响的防杀毒品牌之一。金山公司在积极推广
金山毒霸和金山网镖的同时,还积极推动反垃圾
邮件活动。金山毒霸的查杀毒速度快是其产品的
一大特点;在精细查毒方式下,其查毒率也较高;
金山毒霸可以对多种压缩格式进行病毒查杀;在
清除病毒方面,金山毒霸也有很好的表现。
瑞星杀毒软件
瑞星公司是从事计算机病毒防治与研究的专业软
件公司, 研制生产涉及计算机反病毒和信息安全相关
的系列产品, 开发基于多种操作系统的瑞星杀毒软件
单机版, 网络版, 企业级防火墙, 入侵检测, 漏洞扫
描等系列信息安全产品 。 瑞星杀毒软件具有智能反病
毒引擎, 对未知病毒, 变种病毒, 黑客木马, 恶意网
页程序, 间谍程序有快速查杀的能力, 并拥有及时便
捷的升级服务和技术支持 。
熊猫卫士
熊猫卫士是 Panda 软件公司在中国推出的
反病毒产品, 方正科技于 2002年初正式入资熊
猫中国, 成为熊猫软件国内的主要股东, 并成
为一个拥有核心本土技术的国际化厂商 。 熊猫
卫士可以抵御病毒, 蠕虫和特洛依木马, 防护
新的网络病毒的攻击, 如垃圾邮件, 间谍程序,
拨号器, 黑客工具和恶作剧 。
7.4 本章知识点小结
1 计算机病毒的特点与分类
(1)计算机病毒的发展
(2)计算机病毒的特性
(3)计算机病毒的分类
(4)计算机病毒的传播
(5)计算机病毒的机理
2 计算机病毒检查与清除
(1)网络病毒检查与清除方法
(2)宏病毒检查与清除方法
(3)典型病毒清除方法
7.4 本章知识点小结 ( 续 )
3 计算机病毒防治措施
(1)计算机病毒防治管理措施
(2)计算机病毒防治技术措施
(3)常用病毒防治软件简介