计算机病毒的研究与防范

龙源期刊网 http://www.qikan.com.cn

计算机病毒的研究与防范

作者：肖宏伟

来源：《电脑知识与技术》2009年第04期

摘要：该文介绍了计算机病毒的产生、定义和发展，描述了病毒的分类和危害，阐述了防御手段的发展，并通过一个实例来具体描述手动查杀病毒的方法，最后总结了病毒防范中的几点经验。

关键词：计算机病毒；木马；杀毒

中图分类号：TP393文献标识码：A文章编号：1009-3044(2009)04-0831-02 Reasurch and Defence of Computer Viruses XIAO Hong-wei

(Laboratory Apparatus Plant,Academy of Military Medical Sciences,Beijing 100850,China) Abstract: The paper introduces the origination, definition and development of computer viruses, discribes their types and harm, analyzes the development of anti-virus technologies. It also details the means of cleaning viruses through an example.Finally gives some experience to protect computers from danger.

Key words:computer virus; trojan; anti-virus 1 引言

随着互联网的普及与发展，来自互联网的各种安全问题时刻威胁着计算机的安全。10月24日凌晨，微软紧急发布了一项重要的安全更新，涉及桌面操作系统的绝大多数版本。微软公告称，黑客可以利用该漏洞向网络中的电脑发出远程的特制RPC请求，无需身份验证便可在电脑中任意执行远程代码，远程执行一段下载恶意程序的代码后，不但能随意弹出广告、盗取用户账号，还可以控制本机进而攻击其他用户，使破坏力持续放大。据安全专家分析，这一漏洞的危害极为严重，局域网的用户一旦有一个中招病毒就会迅速扩散，其危害程度毫不逊于当年波及80%以上Windows用户的“冲击波”病毒[1]。由此看出，如何切实、有效地进行计算机安全防护，保证用户能够获得完整的安全体验，已经成为当务之急。 2 计算机病毒 2.1 病毒定义及分类

龙源期刊网 http://www.qikan.com.cn

20世纪70年代中期有几位美国科普作家在他们的科幻小说中描写了计算机病毒。1983年11月3日Fred.Cohen博士研制出一种在运行过程中不断复制自身的破坏性程序，Len.Adleman将其命名为计算机病毒(Computer Viruses)[2]。所谓病毒，是指人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可以自我复制的计算机程序或者指令集合。

该文将术语\计算机病毒\用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。接下来，将介绍病毒、蠕虫以及特洛伊木马的确切含义和特征。特洛伊木马不能够自行传播，这是木马与病毒或蠕虫的根本区别。该程序看上去有用或无害，但却包含了旨在窃取信息、开放并监听后门端口的隐藏代码，通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户，也称为特洛伊代码。特洛伊木马可能在系统中提供后门，使黑客可以窃取数据或更改配置设置。常见的两种木马有：远程访问特洛伊和Rootkit。某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统，此类程序称为远程访问特洛伊 (RAT) 或后门。Rootkit 是软件程序集，黑客可用来获取计算机未经授权的远程访问权限，并发动其他攻击，包括监视击键、更改系统日志文件、在系统中创建后门以及对网络上的其他计算机发起攻击[3]。

蠕虫能够自行传播的恶意代码，其危害为消耗网络或本地系统资源。蠕虫病毒可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上，可在无须感染可执行文件的情况下进行复制或通过用户直接执行蠕虫代码传播。例如，Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统，然后使用已感染系统的网络连接来试图进行复制[3]。

病毒 病毒将其自身附加到宿主程序，宿主程序执行时病毒代码也随之运行。通过将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制，有时还会传递额外负载。它可能会损害硬件、软件、数据或消耗系统资源并占用网络带宽。 2.2 病毒的发展

计算机病毒大致可以分成几个阶段。第一个阶段为上世纪90年代之前，那时基本上是捣乱的病毒比较多，如最早的小球病毒、米开朗基罗，都是技术炫耀型的，但病毒的数量并不多，处理起来相对容易，只要是样本分析清楚后，就能处理掉。

第二个阶段与第一个阶段中传统的病毒制造不同。目前，从病毒的编写、传播到出售，整个病毒产业链已经完全互联网化。在互联网上，从挖掘漏洞、制造病毒、传播病毒到出售窃取来的具有价值的商业信息，已经形成了一个高效的流水线，黑客们各司其职，运作效率极高，这也是导致病毒数量暴增的根本原因。2008年1月至10月，瑞星公司共截获病毒样本930余万个，全国约有8100多万电脑曾被病毒感染。目前，互联网上每天新增病毒2万余种，每10个上网者中就有3人访问过带毒网站[4]。 2.3 病毒入侵方式

龙源期刊网 http://www.qikan.com.cn

虽然病毒、蠕虫以及特洛伊木马对用户电脑造成的安全威胁和危害程度不同，但它们的入侵方式却是大同小异。如图1所示，一般来说，当病毒传播到计算机后，首先做的工作就是隐藏自身，通过隐藏文件名或隐藏路径来达到不被发现的目的，通常的做法是起个极其普通的文件名，或类似于系统文件的文件名，或与系统文件重名而将系统文件改名或删除。接下来，病毒将修改注册表中某些值或添加注册表项，使得病毒能够实现随计算机的启动或应用程序的使用而运行以及自行复制等目的。隐藏自身和修改注册表后，病毒通过运行来达到其目的。 比如著名的“熊猫烧香”病毒，当用户感染此病毒后，病毒进行如下步骤来入侵电脑。 1) 隐藏文件

病毒运行后,会把自己拷贝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 2) 添加注册表自启动 病毒会添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 3) 病毒行为

病毒行为有很多，主要有以下几种：用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象；被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样；添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染， “熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

3 病毒防御

3.1 病毒防御技术的发展

传统的防病毒工作包括：收集病毒样本、开发特征码，然后迅速把这些特征码发布给用户。杀毒软件在计算机程序中寻找特征码，然后与病毒库比对。这样作有许多弊端：首先当病毒数量巨大时，杀毒软件的运行极大的消耗计算机资源；其次由于很多网络威胁都是有针对性的联合攻击，所以标准样本收集、特征码创建，以及部署不能充分发挥效用；这样的防病毒技