项目4计算机病毒及防治项目1双机互连对等网络的组建4.1项目提出有一天,小李在QQ聊天时,收到一位网友发来的信息,如图4-1所示,出于好奇和对网友的信任,小李打开了网友提供的超链接,此时突然弹出一个无法关闭的窗口,提示系统即将在一分钟以后关机,并进入一分钟倒计时状态,如图4-2所示。小李惊呼上当受骗,那么小李的计算机究竟怎么了?4.2项目分析小李的计算机中了冲击波(Worm.Blaster)病毒。2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows2000或XP的计算机,找到后就利用RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重新启动、甚至导致系统崩溃。另外,该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。病毒手动清除方法:用DOS系统启动盘启动进入DOS环境下,删除C:\windows\msblast.exe文件;也可安全模式下删除该文件。预防方法:打上RPC漏洞安全补丁。据北京江民新科技术有限公司统计,2011年上半年最为活跃的病毒类型为木马病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,如图4-3所示,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。防范计算机病毒等的有效方法是除了及时打上各种安全补丁外,还应安装反病毒工具,并进行合理设置,比较常见的工具有360杀毒软件、360安全卫士等。4.3相关知识点4.3.1计算机病毒的概念1.计算机病毒的定义计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。2.计算机病毒的产生与发展随着计算机应用的普及,早期就有一些科普作家意识到可能会有人利用计算机进行破坏,提出了“计算机病毒”这个概念。不久,计算机病毒便在理论、程序上都得到了证实。1949年,计算机的创始人冯·诺依曼发表《复杂自动装置的理论及组织的进行》的论文,提出了计算机程序可以在内存中进行自我复制和变异的理论。1959年,美国著名的AT&T贝尔实验室中,三个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做磁芯大战(corewar)的游戏,进一步将电脑病毒感染性的概念体现出来。1975年,美国科普作家约翰·布鲁勒尔写了一本名为《震荡波骑士》的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。1977年夏天,托马斯.捷.瑞安的科幻小说《P-1的青春》成为美国的畅销书,轰动了科普界。作者幻想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了7000台计算机,酿成了一场灾难。1983年,FredCohen博士研制出一种在运行过程中可以复制自身的破坏性程序。并在全美计算机安全会议上提出和在VAXII/150机上演示,从而证实计算机病毒的存在,这也是公认的第一个计算机病毒程序的出现。世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(Brain)病毒,又称“巴基斯坦”病毒。1988年,罗伯特·莫里斯(RobertMorris)制造的蠕虫病毒是首个通过网络传播而震撼世界的“计算机病毒侵入网络的案件”。1998年,台湾大学生陈盈豪研制的迄今为止破坏性最严重的病毒——CIH病毒,也是世界上首例破坏计算机硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统的BIOS,导致主板损坏。1999年,Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。2003年,冲击波病毒利用了Microsoft软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。冲突域和广播域2007年,“熊猫烧香”病毒会使所有程序图标变成熊猫烧香,并使它们不能应用。2009年,木马下载器病毒会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前三名。2011年,U盘寄生虫病毒利用自动播放特性激活自身,运行后可执行下载其它恶意程序、感染存储设备根目录等功能。冲突域和广播域计算机病毒的主要发展趋势有以下6个方面。①网络成为计算机病毒传播的主要载体,局域网、Web站点、电子邮件、P2P、IM聊天工具都成为病毒传播的渠道。②网络蠕虫成为最主要和破坏力最大的病毒类型,此类病毒的编写更加简单。③恶意网页代码、脚本及ActiveX的使用,使基于Web页面的攻击成为破坏的新类型。病毒的传播方式以网页挂马为主。交换机的互连方式④出现带有明显病毒特征的木马或木马特征的病毒,病毒与黑客程序紧密结合。病毒制造、传播者在巨大利益的驱使下,利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多。⑤病毒自我防御能力不断提高,难于及时被发现和清除。此外,病毒生成器的出现和使用,使得病毒变种更多,难于清除。⑥跨操作系统平台病毒出现,病毒作用范围不仅限于普通计算机。2000年6月,世界上第一个手机病毒VBS.Timofonica在西班牙出现。3.计算机病毒发作的症状①计算机系统运行速度减慢,计算机运行比平常迟钝,程序载入时间比平常久。②磁盘出现异常访问,在无数据读写要求时,系统自动频繁读写磁盘。③屏幕上出现异常显示。④文件长度、日期、时间、属性等发生变化。⑤系统可用资源(如内存)容量忽然大量减少,CPU利用率过高。⑥系统内存中增加一些不熟悉的常驻程序,或注册表启动项目中增加了一些特殊程序。⑦文件奇怪地消失,或被修改,或用户不可以删除文件。⑧WORD或EXCEL提示执行“宏”。⑨网络主机信息与参数被修改,不能连接到网络。用户连接网络时,莫名其妙地连接到其他站点,一般钓鱼网站病毒与ARP病毒会产生此类现象。⑩杀毒软件被自动关闭或不能使用。4.3.2计算机病毒的特征①传染性。计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。这些媒介可以是程序、文件、存储介质、网络等。②隐蔽性。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区分的。在没有防护措施的情况下,计算机病毒程序一经运行并取得系统控制权后,可以迅速感染给其他程序,而在此过程中屏幕上可能没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。③潜伏性。病毒具有依附其他媒介寄生的能力,它可以在磁盘、光盘或其他介质上潜伏几天,甚至几年。不满足其触发条件时,除了感染其他文件以外不做破坏;触发条件一旦得到满足,病毒就四处繁殖、扩散、破坏。④触发性。计算机病毒发作往往需要一个触发条件,其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。如CIH病毒在每年4月26日发作,而一些邮件病毒在打开附件时发作。⑤破坏性。当触发条件满足时,病毒在被感染的计算机上开始发作。根据计算机病毒的危害性不同,病毒发作时表现出来的症状和破坏性可能有很大差别。从显示一些令人讨厌的信息,到降低系统性能、破坏数据(信息),直到永久性摧毁计算机硬件和软件,造成系统崩溃、网络瘫痪等。⑥不可预见性。病毒相对于杀毒软件永远是超前的,从理论上讲,没有任何杀毒软件可以杀除所有的病毒。为了达到保护自己的目的,计算机病毒作者在编写病毒程序时,一般都采用一些特殊的编程技术,例如:①自加密技术。就是为了防止被计算机病毒检测程序扫描出来,并被轻易地反汇编。计算机病毒使用了加密技术后,对分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。②采用变形技术。当某些计算机病毒编制者通过修改某种已知计算机病毒的代码,使其能够躲过现有计算机病毒检测程序时,称这种新出现的计算机病毒是原来被修改前计算机病毒的变形。当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时,就称为是其父本计算机病毒的一个变种。③对抗计算机病毒防范系统。计算机病毒采用对抗计算机病毒防范系统技术时,当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名称时,就会删除这些杀毒软件或文件,造成杀毒软件失效,甚至引起计算机系统崩溃。④反跟踪技术。计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。常规程序使用的反跟踪技术在计算机病毒程序中都可以利用。4.3.3计算机病毒的分类1.按病毒存在的媒体分网络病毒,文件型病毒,引导型病毒网络病毒通过计算机网络传播感染网络中的可执行文件文件型病毒感染计算机中的文件(如:.com、.exe和.bat文件等)引导型病毒感染启动扇区(Boot)和硬盘的系统主引导记录(MBR)。2.按病毒传染的方法分驻留型病毒和非驻留型病毒驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。3.按病毒破坏的能力分无害型、无危险型、危险型和非常危险型。①无害型。除了传染时减少磁盘的可用空间外,对系统没有其它影响。②无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。③危险型。这类病毒在计算机系统操作中造成严重的错误。④非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。4.按病毒链接的方式分①源码型病毒。该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到源程序中,经编译成为合法程序的一部分。②嵌入型病毒。这种病毒是将自身嵌入到现有程序中,把病毒的主体程序与其攻击的对象以插入的方式链接。这种病毒是难以编写的,一旦侵入程序体后也较难消除。③外壳型病毒。该病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知道。④操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作,具有很强的破坏性,可以导致整个系统的瘫痪。5.按病毒激活的时间分①定时型病毒。定时型病毒是在某一特定时间才发作的病毒,它以时间为发作的触发条件,如果时间不满足,此类病毒将不会进行破坏活动。②随机型病毒。与定时型病毒不同的是随机型病毒,此类病毒不是通过时间进行触发的。4.3.4宏病毒和蠕虫病毒1.宏病毒宏(Macro)是Microsoft公司为其Office软件包设计的一项特殊功能,Microsoft公司设计它的目的是让人们在使用Office软件进行工作时避免一再地重复相同的动作。利用简单的语法,把常用的动作写成宏,在工作时,可以直接利用事先编写好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作,让用户文档中的一些任务自动化。使用Word软件时,通用模板(Normal.dot)里面就包含了基本的宏,因此当使用该模板时,Word为用户设定了很多基本的格式。宏病毒是用VisualBasic语言编写的,这些宏病毒不是为了方便人们的工作而设计的,而是用来对系统进行破坏的。当含有这些宏病毒的文档被打开时,里面的宏病毒就会被激活,并能通过DOC文档及DOT模板进行自我复制及传播。以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了“数据文件不会传播病毒”的错误认识。宏病毒会感染Office的文档及其模板文件。宏病毒防范措施①提高宏的安全级别。目前,高版本的Word软件可以设置