·病毒预防
·问答
·相关常见病毒
·相关链接:
病毒定义一、计算机病毒(computervirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
二、计算机病毒的长期性:病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
三、计算机病毒的产生:病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.
四、计算机病毒的特点,计算机病毒具有以下几个特点:
(1)寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2)传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;
(3)潜伏性有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等;
(4)隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
(5)破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏;
(6)计算机病毒的可触发性病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
五、计算机病毒分类,根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
按照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:com,exe,doc等),引导型病毒感染启动扇区(boot)和硬盘的系统引导扇区(mbr),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(ram)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。根据病毒破坏的能力可划分为以下几种:
无害型
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型,这类病毒在计算机系统操作中造成严重的错误。
非常危险型
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的dos、windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“denzuk”病毒在360k磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。根据病毒特有的算法,病毒可以划分为:
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生exe文件的伴随体,具有同样的名字和不同的扩展名(com),例如:xcopy.exe的伴随体是xcopy.com。病毒把自身写入com文件并不改变exe文件,当dos加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的exe文件。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改dos中断和扇区数据,而是通过设备技术和文件缓冲区等dos内部修改,不易看到资源,使用比较高级的技术。利用dos空闲的数据区进行工作。
变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
六、计算机病毒的发展,在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
dos引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播;
1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”;
dos可执行阶段
1989年,可执行文件型病毒出现,它们利用dos系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改dos中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。
1990年,发展为复合型病毒,可感染com和exe文件。
伴随、批次型阶段
1992年,伴随型病毒出现,它们利用dos加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染exe文件时生成一个和exe同名但扩展名为com的伴随体;它感染文件时,改原来的com文件为同名的exe文件,再产生一个原名的伴随体,文件扩展名为com,这样,在dos加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非dos操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在dos下的和“海盗旗”病毒类似的一类病毒。
幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器,变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机”vcl,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。
网络,蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非dos操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段
1996年,随着windows和windows95的日益普及,利用windows进行工作的病毒开始发展,它们修改(ne,pe)文件,典型的代表是ds.3873,这类病毒的机制更为复杂,它们利用保护模式和api调用接口工作,解除方法也比较复杂。宏病毒阶段1996年,随着windowsword功能的增强,使用word宏语言也可以编制病毒,这种病毒使用类basic语言、编写容易、感染word文档等文件,在excel和amipro出现的相同工作机制的病毒也归为此类,由于word文档格式没有公开,这类病毒查解比较困难;
互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒;
爪哇(java),邮件炸弹阶段
1997年,随着万维网(woldwideweb)上java的普及,利用java语言进行传播和资料获取的病毒开始出现,典型的代表是javasnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如mail-bomb病毒,它会严重影响因特网的效率。
七、其他的破坏行为,计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全面的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:攻击系统数据区,攻击部位包括:硬盘主引寻扇区、boot扇区、fat表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。攻击文件,病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。攻击内存,内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较的大程序难以运行。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。干扰系统运行,此类型病毒会干扰系统的正常运行,以此作为自己的破坏行为,此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。速度下降,病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。攻击磁盘,攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。扰乱屏幕显示病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。键盘病毒,干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒,许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。攻击cmos,在机器的cmos区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对cmos区进行写入动作,破坏系统cmos中的数据。干扰打印机,典型现象为:假报警、间断性打印、更换字符等。
八、计算机病毒的危害性,计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的cih、美丽杀等病毒更是给社会造成了很大损失。
病毒预防首先,在思想上重视,加强管理,止病毒的入侵。凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。思想重视是基础,采取有效的查毒与消毒方法是技术保证。检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的?
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现;
(2)计算机软硬件产品的脆弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便;
(3)微机的普及应用是计算机病毒产生的必要环境。
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。目前,在ibmpc系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
预防病毒的八点注意事项
1、备好启动软盘,并贴上写保护。检查电脑的问题,最好应在没有病毒干扰的环境下进行,才能测出真正的原因,或解决病毒的侵入。因此,在安装系统之后,应该及时做一张启动盘,以备不时之需。
2、重要资料,必须备份。资料是最重要的,程序损坏了可重新拷贝或再买一份,但是自己键入的资料,可能是三年的会计资料或画了三个月的图纸,结果某一天,硬盘坏了或者因为病毒而损坏了资料,会让人欲哭无泪,所以对于重要资料经常备份是绝对必要的。
3、尽量避免在无防毒软件的机器上使用可移动储存介质。一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。
4、使用新软件时,先用扫毒程序检查,可减少中毒机会。
5、准备一份具有杀毒及保护功能的软件,将有助于杜绝病毒。
6、重建硬盘是有可能的,救回的机率相当高。若硬盘资料已遭破坏,不必急着格式化,因病毒不可能在短时间内将全部硬盘资料破坏,故可利用杀毒软件加以分析,恢复至受损前状态。
7、不要在互联网上随意下载软件。病毒的一大传播途径,就是internet。潜伏在网络上的各种可下载程序中,如果你随意下载、随意打开,对于制造病毒者来说,可真是再好不过了。因此,不要贪图免费软件,如果实在需要,请在下载后执行杀毒软件彻底检查。
8、不要轻易打开电子邮件的附件。近年来造成大规模破坏的许多病毒,都是通过电子邮件传播的。不要以为只打开熟人发送的附件就一定保险,有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。最妥当的做法,是先将附件保存下来,不要打开,先用查毒软件彻底检查。
问答计算机病毒寄生方式有哪几种?
(1)寄生在磁盘引导扇区中:任何操作系统都有个自举过程,例如dos在启动时,首先由系统读入引导扇区记录并执行它,将dos读入内存。病毒程序就是利用了这一点,自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间,并给这些扇区标志为坏簇。这样,系统的一次初始化,病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围,然后置触发条件如int13h中断(磁盘读写中断)向量的修改,置内部时钟的某一值为条件等,最后引入正常的操作系统。以后一旦触发条件成熟,如一个磁盘读或写的请求,病毒就被触发。如果磁盘没有被感染(通过识别标志)则进行传染。
(2)寄生在可执行程序中:这种病毒寄生在正常的可执行程序中,一旦程序执行病毒就被激活,于是病毒程序首先被执行,它将自身常驻内存,然后置触发条件,也可能立即进行传染,但一般不作表现。做完这些工作后,开始执行正常的程序,病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部,但都要修改源程序的长度和一些控制信息,以保证病毒成为源程序的一部分,并在执行时首先执行它。这种病毒传染性比较强。
(3)寄生在硬盘的主引导扇区中:例如大麻病毒感染硬盘的主引导扇区,该扇区与dos无关。
病毒是怎么命名的?
很多时候大家已经用杀毒软件查出了自己的机子中了例如backdoor.rmtbomb.12、trojan.win32.sendip.15等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀trojan,蠕虫病毒的前缀是worm等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前着名的cih病毒的家族名都是统一的“cih”,振荡波蠕虫病毒的家族名是“sasser”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如worm.sasser.b就是指振荡波蠕虫病毒的变种b,因此一般称为“振荡波b变种”或者“振荡波变种b”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的windows操作系统):
(1)系统病毒
系统病毒的前缀为:win32、pe、win95、w32、w95等。这些病毒的一般共有的特性是可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如cih病毒。
(2)蠕虫病毒
蠕虫病毒的前缀是:worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
(3)木马病毒、黑客病毒
木马病毒其前缀是:trojan,黑客病毒前缀名一般为hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如qq消息尾巴木马trojan.qq3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如trojan.lmir.psw.60。这里补充一点,病毒名中有psw或者什么pwd之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(hack.nether.client)等。
(4)脚本病毒
脚本病毒的前缀是:script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(script.redlof)。脚本病毒还会有如下前缀:vbs、js(表明是何种脚本编写的),如欢乐时光(vbs.happytime)、十四日(js.fortnight.c.s)等。
(5)宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:macro,第二前缀是:word、word97、excel、excel97(也许还有别的)其中之一。凡是只感染word97及以前版本word文档的病毒采用word97做为第二前缀,格式是:macro.word97;凡是只感染word97以后版本word文档的病毒采用word做为第二前缀,格式是:macro.word;凡是只感染excel97及以前版本excel文档的病毒采用excel97做为第二前缀,格式是:macro.excel97;凡是只感染excel97以后版本excel文档的病毒采用excel做为第二前缀,格式是:macro.excel,以此类推。该类病毒的共有特性是能感染office系列文档,然后通过office通用模板进行传播,如:着名的美丽莎(macro.melissa)。
(6)后门病毒
后门病毒的前缀是:backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
(7)病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(dropper.binghe2.2c)、msn射手(dropper.worm.smibag)等。
(8)破坏性程序病毒
破坏性程序病毒的前缀是:harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化c盘(harm.formatc.f)、杀手命令(harm.command.killer)等。
(9)玩笑病毒
玩笑病毒的前缀是:joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(joke.girlghost)病毒。
(10)捆绑机病毒
捆绑机病毒的前缀是:binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如qq、ie捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑qq(binder.qqpass.qqbin)、系统杀手(binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
dos:会针对某台主机或者服务器进行dos攻击;
exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于hacking的溢出工具;
hacktool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
计算机病毒的工作过程应包括哪些环节?
计算机病毒的完整工作过程应包括以下几个环节:
(1)传染源:病毒总是依附于某些存储介质,例如软盘、硬盘等构成传染源。
(2)传染媒介:病毒传染的媒介由工作的环境来定,可能是计算机网,也可能是可移动的存储介质,例如软磁盘等。
(3)病毒激活:是指将病毒装入内存,并设置触发条件,一旦触发条件成熟,病毒就开始作用--自我复制到传染对象中,进行各种破坏活动等。
(4)病毒触发:计算机病毒一旦被激活,立刻就发生作用,触发的条件是多样化的,可以是内部时钟,系统的日期,用户标识符,也可能是系统一次通信等等。
(5)病毒表现:表现是病毒的主要目的之一,有时在屏幕显示出来,有时则表现为破坏系统数据。可以这样说,凡是软件技术能够触发到的地方,都在其表现范围内。
(6)传染:病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。
不同种类的计算机病毒的传染方法有何不同?
从病毒的传染方式上来讲,所有病毒到目前为止可以归结于三类:感染用户程序的计算机病毒;感染操作系统文件的计算机病毒;感染磁盘引导扇区的计算机病毒。这三类病毒的传染方式均不相同。
感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权,同时扫描计算机系统在硬盘或软盘上的另外的应用程序,若发现这些程序时,就链接在应用程序中,完成传染,返回正常的应用程序并继续执行。
感染操作系统文件的计算机病毒的传染方式,是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的,所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传染。
感染磁盘引导扇区的病毒的传染方式,从实质上讲boot区传染的病毒是将其自身附加到软盘或硬盘的boot扇区的引导程序中,并将病毒的全部或部分存入引导扇区512b之中。这种病毒是在系统启动的时候进入内存中,并取得控制权,在系统运行的任何时刻都会保持对系统的控制,时刻监视着系统中使用的新软盘。当一片新的软盘插入系统进行第一次读写时,病毒就将其传输出该软盘的0扇区中,而后将传染下一个使用该软盘的系统。通过感染病毒的软盘对系统进行引导是这种病毒传染的主要途径。
计算机病毒传染的先决条件是什么?
计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件计算机病毒是不会传染的,因为计算机不启动不运行时就谈不上对磁盘的读写操作或数据共享,没有磁盘的读写,病毒就传播不到磁盘上或网络里。所以只要计算机运行就会有磁盘读写动作,病毒传染的两个先条件就很容易得到满足。系统运行为病毒驻留内存创造了条件,病毒传染的第一步是驻留内存;一旦进入内存之后,寻找传染机会,寻找可攻击的对象,判断条件是否满足,决定是否可传染;当条件满足时进行传染,将病毒写入磁盘系统。
计算机病毒的传染通过哪些途径?
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种:
(1)通过软盘:通过使用外界被感染的软盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘,使机器感染病毒发病,并传染给未被感染的“干净”的软盘。大量的软盘交换,合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘:通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散。
(3)通过光盘:因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。
(4)通过网络:这种传染扩散极快,能在很短时间内传遍网络上的机器。
随着internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
计算机病毒的传染是否一定要满足条件才进行?
不一定。
计算机病毒的传染分两种。一种是在一定条件下方可进行传染,即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒来看所谓条件传染,是指一些病毒在传染过程中,在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时,发现有自己的标志则不再进行传染,如果是一个新的系统或软件,首先读特定位置的值,并进行判断,如果发现读出的值与自己标识不一致,则对这一系统或应用程序,或数据盘进行传染,这是一种情况;另一种情况,有的病毒通过对文件的类型来判断是否进行传染,如黑色星期五病毒只感染.com或.exe文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘,又可以感染软盘,但对b驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.exe文件就进行一次传染,再运行再进行传染反复进行下去。
可见有条件时病毒能传染,无条件时病毒也可以进行传染。
微型计算机病毒对系统的影响表现在哪些方面?
计算机病毒对微型计算机而言,它的影响表现在:
(1)破坏硬盘的分区表,即硬盘的主引导扇区。
(2)破坏或重写软盘或硬盘dos系统boot区即引导区。
(3)影响系统运行速度,使系统的运行明显变慢。
(4)破坏程序或覆盖文件。
(5)破坏数据文件。
(6)格式化或者删除所有或部分磁盘内容。
(7)直接或间接破坏文件连接。
(8)使被感染程序或覆盖文件的长度增大。
计算机病毒传染的一般过程是什么?
在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统int13h读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。
可执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件.com或.exe感染上了病毒,例如黑色星期五病毒,它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足,利用int13h将病毒链接到可执行文件的首部或尾部或中间,并存大磁盘中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
正常的pcdos启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入boot引导程序到内存的0000:7c00处;
(3)转入boot执行;
(4)boot判断是否为系统盘,如果不是系统盘则提示;
non-systemdiskordiskerror
replaceandstrikeanykeywhenready
否则,读入ibmbio.com和ibmdos.com两个隐含文件;
(5)执行ibmbio.com和ibmdos.com两个隐含文件,将command.com装入内存;
(6)系统正常运行,dos启动成功。
如果系统盘已感染了病毒,pcdos的启动将是另一番景象,其过程为:
(1)将boot区中病毒代码首先读入内存的0000:7c00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存,监视系统的运行;
(3)修改int13h中断服务处理程序的入口地址,使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作,修改int13h中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的boot内容到内存的0000:7c00处,进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象,病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存,对该盘进行判别是否传染了病毒;
(2)当满足传染条件时,则将病毒的全部或者一部分写入boot区,把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的int13h中断服务处理程序,完成了对目标盘的传染。
操作系统型病毒在什么情况下对软、硬盘进行感染?
操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒,但并不从它上面引导系统,则病毒不会进入内存,也就不能活动。例如圆点病毒感染软盘、硬盘的引导区,只要用带病毒的盘启动系统后,病毒便驻留内存,对哪个盘进行操作,就对哪个盘进行感染。
操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?
因为操作系统型病毒只有在系统引导时才进入内存,开始活动,对非系统盘感染病毒后,不从它上面引导系统,则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来,然后将带毒盘重新格式化即可。
目前发现的计算机病毒主要症状有哪些?
从目前发现的病毒来看,主要症状有:
(1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。
(2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增大。
(3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
(4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。
(5)由于病毒程序的异常活动,造成异常的磁盘访问。
(6)由于病毒程序附加或占用引导部分,使系统导引变慢。
(7)丢失数据和程序。
(8)中断向量发生变化。
(9)打印出现问题。
(10)死机现象增多。
(11)生成不可见的表格文件或特定文件。
(12)系统出现异常动作,例如:突然死机,又在无任何外界介入下,自行起动。
(13)出现一些无意义的画面问候语等显示。
(14)程序运行出现异常现象或不合理的结果。
(15)磁盘的卷标名发生变化。
(16)系统不认识磁盘或硬盘不能引导系统等。
(17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。
(18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。
(19)异常要求用户输入口令
相关常见病毒backdoor,危害级别:1,
说明:中文名称—“后门”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
worm,危害级别:2,
说明:中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:msn、oicq、irc等)、可移动存储介质(如:u盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
mail,危害级别:1说明:通过邮件传播
im,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
msn,危害级别:3,说明:通过msn传播
qq,危害级别:4,说明:通过oicq传播
icq危害级别:5,说明:通过icq传播
p2p,危害级别:6,说明:通过p2p软件传播
irc,危害级别:7,说明:通过icr传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
trojan,危害级别:3,说明:中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
spy,危害级别:1,说明:窃取用户信息(如文件等)
psw,危害级别:2,说明:具有窃取密码的行为
dl,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:trojan.dl
事件2.下载的文件是病毒,操作准则:下载的文件是病毒,确定为:trojan.dl
immsg,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
msnmsg,危害级别:5,说明:通过msn传播即时消息
qqmsg,危害级别:6,说明:通过oicq传播即时消息
icqmsg,危害级别:7,说明:通过icq传播即时消息
ucmsg,危害级别:8,说明:通过uc传播即时消息
proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
clicker,危害级别:10,说明:点击指定的网页,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:trojan.clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
dialer,危害级别:12,说明:通过拨号来骗取money的程序,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
aol、notifier,按照原来病毒名命名保留。
virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:pe文件、dos下的com文件、vbs文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。操作准则:释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:droper
事件2:释放的文件是病毒。操作准则:释放的文件是病毒,确定该文件为:droper
hack,危害级别:无,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
exploit,漏洞探测攻击工具
ddoser,拒绝服务攻击工具
flooder,洪水攻击工具,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
spam,垃圾邮件
nuker、sniffer、spoofer、anti,说明:免杀的黑客工具
binder,危害级别:无,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
js说明:javascript脚本文件
vbs说明:vbscript脚本文件
html说明:html文件
java说明:java的class文件
com说明:dos下的com文件
exe说明:dos下的exe文件
boot说明:硬盘或软盘引导区
word说明:ms公司的word文件
excel说明:ms公司的excel文件
pe说明:pe文件
winreg说明:注册表文件
ruby说明:一种脚本
python说明:一种脚本
bat说明:bat脚本文件
irc说明:irc脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”agent”来代替主名称,小于10k大小的文件可以命名为“samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
client说明:后门程序的控制端
key_hook说明:用于挂接键盘的模块
api_hook说明:用于挂接api的模块
install说明:用于安装病毒的模块
dll说明:文件为动态库,并且包含多种功能
(空)说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
相关链接:国家计算机病毒应急处理中心(http://www.antivirus-china.org.cn/)