计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随
同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒一般具有以下特性:
1.计算机病毒的程序性(可执行性)
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。 若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但己置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,在同一台计算机内病毒程序与正常系统程序,或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。
2.计算机病毒的传染性
传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可
得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。
3.计算机病毒的潜伏性
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
4.计算机病毒的可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发
条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
5.计算机病毒的破坏性
所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。
同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。
但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。
6.攻击的主动性
病毒对系统的攻击是主动的,不以人的意志为转移的。也就是说,从一定的程度上讲,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已。
7.病毒的针对性
计算机病毒是针对特定的计算机和特定的操作系统的。例如,有针对1BM PC机及其兼容机的,有针对App1e公司的Macintosh的,还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。
8.病毒的非授权性
病毒未经授权而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。
9.病毒的隐蔽性
病毒一般是具有很高编程技巧,短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染
后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1K字节,而 PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。
计算机病毒的隐蔽性表现在两个方面:
一是传染的隐蔽性,大多数病毒在进行传染时速度是极快的,一般不具有外部表现,不易被人发现。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。
往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。
二是病毒程序存在的隐蔽性,一般的病毒程序都夹在正常程序之中,很难被发现,而一旦病毒发作出来,往往已经给计算机系统造成了不同程度的破坏。被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了,如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。
10.病毒的衍生性
这种特性为一些好事者提供了一种创造新病毒的捷径。
分析计算机病毒的结构可知,传染的破坏部分反映了设计者的设计思想和设计目的。但是,这可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。
11.病毒的寄生性(依附性)
病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。
12.病毒的不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。新一代计算机病毒甚至连一些基本的特征都隐藏了,有时可通过观察文件长度的变化来判别。然而,更新的病毒也可以在这个问题上蒙蔽用户,它们利用文件中的空隙来存放自身代码,使文件长度不变。许多新病毒则采用变形来逃避检查,这也成为新一代计算机病毒的基本特征。
13.计算机病毒的欺骗性
计算机病毒行动诡秘,计算机对其反应迟钝,往往把病毒造成的错误当成事实接受下来,故它很容易获得成功。
14.计算机病毒的持久性
即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传播,使得病毒程序的清除非常复杂。
下面从计算机病毒的表现术角度分析计算机病毒的新特点:
1、基于"视窗"的计算机病毒越来越多
随着微软视窗--Windows操作系统的市场占有率居高不下,使得针对这些系统的计算机病毒数越来越多,近年来,攻击计算机的计算机病毒绝大多数都是针对Windows操作系统。
另外一个很重要的原因是Windows操作系统本身也存在比较多的安全漏洞,微软1999年发布的Windows补丁程序是1998年的两倍;其Internet Explorer浏览器、Web 服务器、Windows NT以及邮件系统都存在许多漏洞,而且随着新版本的不断发布,勿庸置疑的是补丁数还会不断增加。
2、新计算机病毒种类不断涌现,数量急剧增加
这两年来,基于互联网进行传播的计算机病毒出现了许多新的种类,比如包含恶意ActiveX Control和Java Applets的网页、电子邮件计算机病毒、蠕虫、黑客程序。而且,最近甚至出现了专门针对手机和掌上电脑的计算机病毒。
同时,计算机病毒的数量急剧增加,据ICSA的统计,现在每天有超过20种新计算机病毒出现,因此每年就有8000种左右的新计算机病毒出现,这个数目几乎与截至1997年为止世界上计算机病毒的总数相同。因此,计算机病毒对于计算机的威胁越来越大。
3、计算机病毒传播途径更多,传播速度更快
最初,计算机病毒主要通过软盘、硬盘等可移动磁盘传播,但随着新技术的发展,现在计算机病毒已经可以通过包括大容量移动磁盘(ZIP、JAZ)、光盘、网络、Interet、电子邮件等多种方式传播,而且仅Internet的传播方式又包括WWW浏览、IRC聊天、FTP下载、BBS论坛等。
由于互联网的触角已经遍及世界每一个角落,接入互联网的任何两台计算机都可以进行通讯,因此,也为计算机病毒的传播打开了方面之门。依赖于互联网的便利,现在的计算机病毒传播速度已远非原先可比,尤其是一些蠕虫病毒,它们借助于电子邮件系统,几乎以不可思议的速度传播,以I Love You(情书病毒)为例,2000年5月4日凌晨在菲律宾计算机病毒开始发作,到傍晚已经感染了地球另一端美国的数十万台计算机,这一点也许连计算机病毒编制者都想不到。
4、计算机病毒造成的破坏日益严重
CIH计算机病毒在全球造成的损失估计是10亿美元,而受2000年5月I Love You情书计算机病毒的影响,全球的损失预计高达100亿。 对于某个行业的用户,计算机病毒造成的损失又如何呢?
据来自Compuware/ABC的报告,系统每当机一小时,包括证券公司、信用卡公司、电视机构、国际航运公司、邮购公司在内,其损失都在650万美元以上,而对于Internet公司,尚无人能统计其损失。
5、电子邮件成为计算机病毒传播的主要媒介
1999年ICSA的统计报告显示,电子邮件已经成为计算机病毒传播的主要媒介,其比例占所有计算机病毒传播媒介的56%。由于电子邮件可附带任何类型的文件,因此,几乎所有类型的计算机病毒都可通过它来进行快速传播。
而且,随着计算机病毒编制技术的不断发展,通过此种方式传播计算机病毒变得更加容易;不久前出现的名为BubbleBoy的计算机病毒无需用户打开附件就能够感染用户的计算机系统,事实上,该计算机病毒根本就没有附件,它是一个HTML格式的文件,如果用户的邮件可自动打开HTML格式的邮件,则该计算机病毒就会立刻感染用户的系统。
计算机病毒的分类
1.按照计算机病毒攻击的系统分类
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
2.按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。这是世界上传染是最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为小的计算机网络的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
3.按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
4.按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
5.按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括.com、.exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
6.按照计算机病毒激活的时间分类
按照计算机病毒激活时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
7.按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
8.按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间,等到它所设置的日期时才发作。有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定拒绝芫鴈图形,再不然就是放一段音乐给您听。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708等。BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区)。典型的病毒有Brain、小球病毒等。
顾名思义,文件型病毒主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引入内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。大多数的文件型病毒都会把它们自己的代码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长,但用户不一定能用DIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码,因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后,病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒,会在每次进行感染的时候,针对其新宿主的状况而编写新的病毒码,然后才进行感染。因此,这种病毒没有固定的病毒码----以扫描病毒码的方式来检测病毒的查毒软件,遇上这种病毒可就一点用都没有了。但反病毒软件随病毒技术的发展而发展,针对这种病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间,它只能针对某个具体程序,如dBASE病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒,这类病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。
混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。这种病毒透过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲,破坏性较大,但为数较少,直到90年代中期,文件型病毒还是最流行的病毒。但近几年情形有所变化,宏病毒后来居上,据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变形病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及,病毒家族又出现一种新成员,这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存在文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
单位里用电脑坚决反对安装盗版游戏,盗版游戏光盘是计算机病毒的主要携带者。一些用于教学用的游戏光盘,也一定要经过本部门专业人员查毒、杀毒后才能安装使用。
软盘必须经过查毒、杀毒才能将文件拷入硬盘使用。
Email附件中的*.exe文件,不要运行,直接将信件删除。
添置正版杀毒软件,用它的DOS版命令查杀硬盘引导区病毒。
要经常从网络中下载正版杀毒软件的升级文件,及时更新你的杀毒软件,一般每月至少一至两次。
安装实时监控杀毒软件,动态监视软盘、硬盘、网络以及Email中可能出现的病毒。这种预防方法对硬件的要求比较高,如内存、硬盘要大一些,……
安装病毒疫苗,比如安装CIH病毒疫苗,冲击波 震荡波补丁.
硬盘尽量要分区,主区(C盘)最好划成5G以内,平时的工作数据一定要存放在硬盘的扩展分区内(如D盘)。即便是CIH病毒发作,现有的技术还是可以将硬盘数据予以恢复。当然恢复的程度,视具体的情况而定。
检测软件
手工检测是指通过一些软件工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 进行病毒的检测。
计算机病毒的预防措施
当系统可能或者已经染有病毒时,需要检测病毒。系统和文件染毒以后,需要消毒。但是,破坏性病毒一旦沾染了没有副本的程序,便无法医治,隐蔽性病毒和多态性病毒使人难以检测,在与病毒的对抗中,如果能采取有效的预防措施,就能使系统不染毒,或者染毒后能减少损失,是上策。像对待生物病毒一样,应以预防为主,防患于
未然,避免染毒以后被动地打针吃药。
通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有计算机操作系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,使病毒能够一时得以在某一台计算机机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,
这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。这类病毒一旦被捕捉到,反病毒防御系统就可以立即改进性能,提供对计算机的进一步保护功能。这与人类对于生物病毒的防疫方法是多么相像!新出现的生物病毒会使某些人致病,但医务工作者和研究人员在实验室里对病毒进行分析,搞清致病机理及其防治措施,通过广为宣
传可使更多的人免受其害,而研究人员在仅靠防护措施的情况下进行研究却不会被病毒传染,关键就是靠最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害:轻则影响工作,重则将磁盘中存储的无法以价格来衡量的数据和程序全破坏掉,使用于实时控制的计算机瘫痪,造成无法估计的损失。
同样是对于计算机病毒,有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。例如对于反病毒研究人员,机器内存储的上千种病毒不会随意进行破坏,所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员,可能连计算机显示屏上出现的病毒信息都不去仔细观察一下,任其在磁盘中进行破坏。其实,只要稍有
警惕,病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。再运用病毒检测程序和 DEBUG进行人工检测是完全可以提前发现病毒,或在病毒进行传染的过程中就能发现它。
1999年4月26日CIH病毒的发作,造成全球70万台计算机损坏的恶果。其主要原因是用户防毒意识淡漠。因为从CIH 病毒的出现已有近1年的时间,而且所有反病毒产品都能杀灭CIH病毒,但用户常常认为我的计算机不会染毒,就忽视了对病毒的警觉,甚至有的用户说身边就有反病毒软件而未使用,真是后悔莫及。
从以上可见,使用计算机的个人用户和单位领导都应保持忧患意识,提高对病毒的警觉,制定一套严格的防病毒管理措施。
可供采用的管理措施执行起来并不困难,困难的是坚持下去,始终一贯地执行和根据实际情况不断地进行调整和监督。
计算机病毒的预防措施是安全使用计算机的要求,计算机病毒的预防措施有:
1.对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破坏迹象再实际用。新购置的计算机中是可能携带有病毒的。
2.新购置的硬盘或出厂时已格式化好的软盘中都可能有病毒。对硬盘可以进行检测或进行低级格式化,因对硬盘只做DOS的FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做DOS的FORMAT格式化可以去除病毒。
3.新购置的计算机软件也要进行病毒检测。有些著名软件厂商在发售软件时,软件已被病毒感染或存储软件的磁盘已受感染,这在国内外都是有实例的。检测方法要用软件查已知病毒,也要用人工检测和实际实验的方法检测。
4.在保证使盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动。在不联网的情况下,软盘是传染病毒的最主要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。这是因为有些软驱缺乏保养,门虽然打开了,但磁头仍然锁定着,启动时还会从软盘引导,将病毒带人系统中。即使在启动不成功的情况下,只要软盘在
启动时被读过,病毒仍然会进入内存进行传染。很多人认为,软盘上没有COMMAND.COM等系统启动文件, 就不会带病毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
5.假如您的计算机的CMOS设置中具有不可从软盘启动而直接从硬盘引导系统的功能,请立即启用这项功能,即便是在一定要从干净软盘启动的情形之下(如查毒、杀毒),也要在之后立刻再设置回不从软驱引导启动。这可以避免整整一大类病毒(即引导型病毒)对系统(硬盘)的感染。还有将保护启动扇区之功能设成Enable。
6.定期与不定期地进行磁盘文件备份工作,确保每一过程和细节的准确、可靠,在万一系统崩溃时最大限度地恢复系统原样,减少可能的损失。不要等到由于病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。重要的数据应当时进行备份。当然备份前要保证没有病毒,不然也会将病毒备份。很难想象,用户数据没有备份的
机器在发生灾难后会造成什么影响。系统程序和应用程序用经费是可以买到的,而用户数据是无法用钱买到的。
7.确认您手头常备一张真正“干净”的引导盘,在使用您所能获得的最新最好的反病毒软件检测证明无毒之后,将其写保护,尽可能做几个备份,在以后准备查、杀病毒或相应场合时用这张干净引导盘启动您的计算机。带有各种DOS命令文件的系统启动软盘有了CHKDSK.COM、FDlSK.COM、DEBUG和COMP等,可用于清除病毒和维护系统。
8.在别人的机器上使用过自己的已打开了写保护签的软盘,再在自己的机器上使用,就应进行病毒检测。在自己的机器上用别人的软盘时也应进行检查。对重点保护的机器应做到专机、专人、专盘、专用,封闭的使用环境中是不会自然产生计算机病毒的。
9.对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。
10.用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考。
11.对于多人共用一台计算机的环境,例如实验室这种情况,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。
12.确认您的工作用计算机或家用计算机设置了使用权限及专人使用的保护机制,禁止来历不明的人和软件进入您的系统。
13.在引人和使用任何新的系统和应用软件之前,使用您可能获得的最新、最好的反毒软件检测之。
14.选择使用公认质量最好、升级服务最及时、对新病毒响应和跟踪最迅速有效的反病毒产品,定期维护和检测您的计算机系统及软盘等。如果您使用的是免费、共享的反病毒软件而厂家还提供正式版,应努力争取该项开支去购买正版,因为这不仅仅使得厂家能由于您的投入而获得继续开发研究升级版本的资金支持,更重要的是,您将
因此而获得售后服务和技术支持等一系列正版软件用户的合法权益。
15.永远不要使用任何解密版的反毒软件,盗版者不可能全面照顾因为解密而可能产生的任何后果,更无法保证被破坏了原软件完整性检测的盗版软件自身的干净和无毒,他们无需担负任何责任和风险。同样,遭受侵权盗版损失的原版软件的研制单位和研究亦无任何义务为此担负任何责任。
16.使用一套公认最好的驻留式防毒产品,以便在进行磁盘及文件类操作时有效、及时地控制和阻断可能发生的病毒入侵、感染行为,尤其是上网的计算机更应安装具有实时防病毒功能的防病毒软件或防病毒卡。
17.如果您不仅使用oo已而且还安装和使用着Windows3.x 、Win95等操作环境及应用程序,选择一个同时具备DOS及Windows的32位反毒软件产品套件将有助于提供更为可靠有效的安全保护。
18.从信誉好、口碑佳的软件来源(厂家、销售商、供货商)获得您所需要的软件产品。民间多次经手及来历不明的软件最有可能因缺少检测而成为各种病毒的绝好载体和传染源。另外要说明的是,并非带有漂亮包装和封面的软件就一定未经使用或干净元毒,著名公司的著名产品在不知不觉中成为病毒的传播媒体,这种先例以前有过,
以后也不敢断定再不会发生。
19.在确认当前系统环境无毒的情况下制作、格式化空白盘,然后将其写保护并妥善保护,在以后使用时将数据拷贝、转存完毕后,务必重新置回写保护状态。任何软盘都有可能受到引导型病毒的攻击并染毒而成为下个过程的传染源,而不只系统引导盘。
20.不管您安装和使用了什么软件,正版的或是免费的、共享的,始终应制作和保留一套(或以上)软盘或其他方式的“硬”备份,以防系统在遭受彻底崩溃和硬盘数据的永久性损失时而可能导致的任何无法挽回的局面。
21.仔细研究您所使用的反病毒软件的各项功能,不同模块,各担负什么样的职责,都有哪些应用组合,不同的运行命令行(或选项设置)参数具有怎样不同的查杀效果等,最大限度地发挥该反病毒工具的作用。另外,需要告诉用户的是,不同厂家的不同产品肯定有各自的强项和长处,经济状况允许的条件下,建议用户使用不只一种反病毒产品(技术),通常使用一种以上具有互补特点的反毒工具往往收到事半功倍的最佳效果,这种策略对于企业计算机环境的防毒更为重要。
22.及时、可靠升级反病毒产品。因为病毒以每日4-6个的速度产生, 反病毒产品必须适应病毒的发展,不断升级,才能识别和杀灭新病毒,为系统提供真正安全环境。
23.无论您只是使用家用计算机的发烧友,还是每天上班都要面对屏幕工作的计算机一族,都将无一例外地、毫无疑问地会受到病毒的感染和侵扰,只是或迟或早而已。因此,一定要学习和掌握一些必备的相关知识,如果您是企业和单位里工作的计算机用户,更需要总结和烙守一套合理有效的防范策略,并且要为计算机系统感染病毒做
出一些应变计划,您将会在无形中获益非凡。
24.当您怀疑面临病毒入侵的危机时,向最好、最容易联系的反病毒产品的厂家求助,切勿因为犹豫、迟疑和盲动而遭受无可挽回的损失。
25.作为一个单位组织,建议专门安排一台独立的计算机供检测病毒,给无法确认是否被病毒感染的新软件操作使用,或者检查磁盘是否带毒等。这种安排尤其对于那些保密要求较高的单位更重要,用这台计算机上网工作,在计算机上不存放任何保密文件。
26.建立严密的病毒监视体系,及早发现病毒,及时杀灭。经常注意系统的工作状况,特别留心与病毒症状相似的异常现象。及时发现异常情况,不使病毒传染到整个磁盘,传染到相邻的计算机。发现异常现象,进行分析,当认为有染毒可能时,采用反病毒产品检测或手工检测,确保将病毒杀灭于“萌芽”状态。
计算机病毒的预防技术
说到预防计算机病毒,正如不可能研究出一种像能包治人类百病的灵丹妙药一样,研制出万能的防计算机病毒程序也是不可能的。但可针对病毒的特点,利用现有的技术,开发出新的技术,使防御病毒软件在与计算机病毒的对抗中不断得到完善,更好地发挥保护计算机的作用。
计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻止病毒的入侵或立即报警,目前在预防病毒工具中采用的技术主要有:
1.将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是:对变种或未知病毒无效;系统开销大,常驻内存,每次扫描都要花费一定时间,已知病毒越多,扫描时间越长。
2.检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒行为。其缺点是:无法准确识别正常程序与病毒程序的行为,常常报警,而频频误报警的结果是使用户失去对病毒的戒心。
3.监测写盘操作,对引导区BR或主引导区MBR的写操作报警。若有一个程序对可执行文件进行写操作, 就认为该程序可能是病毒,阻止其写操作,并报警。其缺点是:一些正常程序与病毒程序同样有写操作,因而被误报警。
4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。其优点是:易于早发现病毒,对已知和未知病毒都有防止和抑制能力。
5.智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与病毒程序行为,是否误报警取决于知识库选取的合理性。其缺点是:单一的知识库无法覆盖所有的病毒行为,如对不驻留内存的新病毒,就会漏报。
6.智能监察型:设计病毒特征库(静态)、病毒行为知识库(动态)、受保护程序存取行为知识库(动态)等多个知识库及相应的可变推理机。通过调整推理机,能够对付新类型病毒,误报和漏报较少。这是未来预防病毒技术发展的方向。
计算机的破坏行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
1.攻击系统数据区,攻击部位包括:
硬盘主引寻扇区、Boot扇区、FAT表、文件目录
一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件
病毒对文件的攻击方式很多,可列举如下:
删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
3.攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。
病毒攻击内存的方式如下:
占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
4.干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:
不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
5.速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
7.扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:
字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。
8.键盘
病毒干扰键盘操作,已发现有下述方式:
响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。
9.喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:
演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10.攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11.干扰打印机
假报警、间断性打印、更换字符。
单位里用电脑坚决反对安装盗版游戏,盗版游戏光盘是计算机病毒的主要携带者。一些用于教学用的游戏光盘,也一定要经过本部门专业人员查毒、杀毒后才能安装使用。
软盘必须经过查毒、杀毒才能将文件拷入硬盘使用。
Email附件中的*.exe文件,不要运行,直接将信件删除。
添置正版杀毒软件,用它的DOS版命令查杀硬盘引导区病毒。
要经常从网络中下载正版杀毒软件的升级文件,及时更新你的杀毒软件,一般每月至少一至两次。
安装实时监控杀毒软件,动态监视软盘、硬盘、网络以及Email中可能出现的病毒。这种预防方法对硬件的要求比较高,如内存、硬盘要大一些,……
安装病毒疫苗,比如安装CIH病毒疫苗,冲击波 震荡波补丁.
硬盘尽量要分区,主区(C盘)最好划成5G以内,平时的工作数据一定要存放在硬盘的扩展分区内(如D盘)。即便是CIH病毒发作,现有的技术还是可以将硬盘数据予以恢复。当然恢复的程度,视具体的情况而定。
病毒名称:“欢乐时光”(VBS_Happytime)
病毒类型:脚本类病毒
发作日期:1月12日
危害程度:病毒感染计算机系统后,会主动向外发送带有病毒附件的电子邮件,并在该日删除受感染计算机系统硬盘中的可执行(后缀名为.exe)文件和动态连接库(后缀名为.dll)文件。
“网游大盗”(Trojan_PSW.OnlineGames)及其他变种
它是一个盗号木马程序,专门盗取网络游戏玩家的游戏帐号、游戏密码、装备信息、角色等级、仓库密码、金钱数量、游戏区服等信息资料,并将这些机密信息资料在被感染计算机的后台发送到骇客指定的远程服务器站点中或邮箱里。
Worm_Mytob.X
该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。
“U盘杀手”
该病毒是一个利用U盘等移动设备进行传播的蠕虫。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
“网络天空”变种(Worm_Netsky.D)
该病毒通过邮件传播,使用UPX压缩。运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。
我谈计算机病毒解决方案以及保护措施
(单打独行)
1、不要轻易打开来历不明的邮件,尤其是邮件的附件。
2、不要随便登录不明网站。
3、使用U盘、软盘进行数据交换前,先对其进行病毒检查。
4、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢 复。
5、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。
最近经常在网上寻找点什么……也许是那么一种内心孤独的释放
天还是一样的下雨 07.10.19
| 分类: | 访问量:464
