计算机病毒：了解与应对

1.计算机病毒的定义

计算机病毒是一种人为编写的、隐藏在计算机系统（如软件、磁盘、文件、网络）中的、能通过计算机系统数据的交换和共享不断复制自身进行传播，并能影响计算机系统正常工作的一段特殊计算机指令或程序代码。

2.计算机病毒的基本特征

①隐蔽性：病毒代码短小，潜伏在计算机系统里，平时普通用户察觉不到病毒的存在。

②传染性：是病毒的基本特性，病毒传染是通过自我复制方式实现的。

③破坏性：病毒总是会对计算机系统造成不同程度的破坏。其造成的影响表现为：破坏系统和用户数据、删除文件、格式化磁盘、占用内存、影响系统运行甚至对计算机硬件造成破坏。

④可触发性：因某个设定的事件的出现，诱使病毒实施感染或进行攻击的特性。病毒预定的触发条件可能是时间、日期、文件类型、特定数据或事件。

3.计算机病毒类型

根据计算机病毒的特点及特性，计算机病毒分类方法有许多种，分述如下。

（1）按寄生方式和传染途径分类

①引导型病毒：引导型病毒隐藏在硬盘的第一个区。病毒可以针对操作系统的各类中断、系统调用得到完全的控制权，并且有更多的机会和更大的能力去进行传染和破坏。

②文件型病毒：传染磁盘上的程序文件（扩展名是“.com”或“.exe”或“.dll”）或可嵌入宏（脚本）指令的文档（Office 文档、网页或模板）。其特点是依附于正常磁盘文件中。

③混合型病毒：兼有引导型病毒和文件型病毒的特点。

（2）按照病毒攻击的系统分类

①DOS 下的病毒：这类病毒出现最早，是在DOS 环境下流行的病毒，1996年前出现的计算机病毒基本上都是这类病毒。

②Windows 下的病毒：在Windows 操作系统环境流行的病毒。

③UNIX 下的病毒：当前，UNIX 系统应用非常广泛，并且许多大型操作系统均采用UNIX 作为其主要的操作系统，所以UNIX 病毒的出现，对于信息处理是一个严重的威胁。

④OS/2 下的病毒：目前已经发现攻击OS/2 系统的病毒，虽然简单，但是恐将会被改成复杂险恶的代码。

（3）按照病毒的链接方式分类

计算机病毒本身必须有一个攻击对象以实现其对计算机系统的攻击目的，因而计算机病毒所攻击的对象是计算机系统的可执行部分，有以下4 种。

①源码型病毒：该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入源程序中，经编译成为合法程序的一部分。

②嵌入型病毒：这种病毒是将自身嵌入现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是比较难编写的，而且一旦侵入程序体后也比较难消除。

③外壳型病毒：外壳型病毒将其自身包围在主程序的四周，对原来的程序不做修改。这种病毒最为常见，易于编写，也易于发现。一般通过测试文件的大小即可知。

④操作系统型病毒：这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统瘫痪。

（5）按照病毒的破坏程度分类

①良性计算机病毒：指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。

②恶性计算机病毒：恶性病毒是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。

（6）按照传播媒介分类

①单机病毒：单机病毒的载体是磁盘，常见的是病毒从U 盘传入硬盘，感染系统，然后再传染其他U 盘，U 盘再传染其他系统。这种病毒现在已不多见。

②网络病毒：其传播媒介不再只是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大，目前大多数病毒属于这种类型。

4.计算机病毒的传播途径

计算机病毒传播的主要途径如下。

①通过不可移动的计算机硬件设备进行传播。这些设备通常有计算机的专用芯片和硬盘等。这种病毒虽然极少，但破坏力极强，目前尚无较好的检测对付手段。

②通过移动存储设备来传播。这些设备包括U 盘、光盘、磁盘等。在移动存储设备中，U 盘和光盘是使用最广泛、移动最频繁的存储介质。

③通过计算机网络进行传播。计算机病毒可以附着在正常文件中通过网络进入一个个系统。如Happy99、Melissa。

④通过点对点通信系统和无线通信传播。手机病毒就属于这一类。目前，这种传播途径还不是十分广泛，但随着信息时代的发展，这种传播方式极有可能和网络传播一样，成为病毒传播扩散的重要途径。

5.木马病毒(www.xing528.com)

木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan 一词的本意是特洛伊，即代指特洛伊木马，也就是木马计的故事）。木马程序是目前比较流行的病毒文件，它与普通计算机病毒的区别在于：它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统。木马的设计者为了防止木马被发现而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

6.蠕虫病毒

蠕虫病毒是自包含的程序（或是一套程序），它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中（通常是经过网络连接）。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入另外的主机后，就会终止它自身（因此在任意给定的时刻，只有一个蠕虫的拷贝运行），这种蠕虫有时也叫“野兔”。蠕虫病毒一般是通过1434 端口漏洞传播。近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一类病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

7.计算机史上影响较大的病毒事件

（1）“勒索病毒”事件

勒索病毒是源自美国国安局的一种计算机病毒。近百国中招，其中英国医疗系统陷入瘫痪，大量病人无法就医。中国的高校校内网也被感染。受害机器的磁盘文件会被加密，只有支付赎金才能解密恢复。勒索金额为5 个比特币，折合人民币为5 万多元。据最新的报道称勒索病毒事件幕后黑客已收到8.2 个比特币。

（2）“CIH 病毒”事件

CIH 病毒是一位名叫陈盈豪的中国台湾大学生于1998年所编写的，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，后来经互联网各网站互相转载，得以迅速传播。在那个年代这可算是一宗大灾难了，全球不计其数的电脑硬盘被垃圾数据覆盖，这个病毒甚至会破坏电脑的BIOS，最后连电脑都无法启动。

（3）“梅利莎病毒”事件

1998年，大卫·L.史密斯运用Word 软件里的宏运算编写了一个电脑病毒，这种病毒是通过微软的Outlook 传播的。史密斯把它命名为梅丽莎，一位舞女的名字。一旦收件人打开邮件，病毒就会自动向50 位好友复制发送同样的邮件。史密斯把它放在网络上之后，这种病毒开始迅速传播。直到1999年3月，梅利莎登上了全球报纸的头版。据当时统计，梅利莎感染了全球15%～20%的商用PC。病毒传播速度之快令美国联邦政府很重视这件事，还迫使Outlook 中止了服务，直到病毒被消灭。而史密斯也被判了20 个月的监禁，同时被处5000 美元罚款。这也是第一个引起全球社会关注的电脑病毒。

（4）“冲击波病毒”事件

冲击波病毒是利用在2003年7月21日公布的RPC 漏洞进行传播的，该病毒于当年8月爆发。它会使系统操作异常、不停重启，甚至导致系统崩溃。另外该病毒还有很强的自我防卫能力，它还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统，使电脑丧失更新该漏洞补丁的能力。而这一病毒的制造者居然只是个18 岁的少年，这个名叫杰弗里·李·帕森的少年最后被判处了18 个月的徒刑。这个病毒的变种至今仍有存活，小心中招哦。

（5）“爱虫病毒”事件

爱虫跟梅利莎类似，也是通过Outlook 电子邮件系统传播，不过邮件主题变为了“I LoveYou”，打开病毒附件后，就会自动传播。该病毒在很短的时间内就袭击了全球无以计数的电脑，并且，它还是个很挑食的病毒，专喜欢那些具有高价值IT 资源的电脑系统：比如美国国安部门、CIA、英国国会等政府机构，股票经纪及那些著名的跨国公司等。爱虫病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒。

（6）“震荡波病毒”事件

震荡波于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失，也让所有人记住了2004年的4月。电脑一旦中招就会莫名其妙地死机或重新启动计算机；而在纯DOS 环境下执行病毒文件，则会显示出谴责美国大兵的英文语句。

（7）“MyDoom 病毒”事件

MyDoom 是一种通过电子邮件附件和P2P 网络Kazaa 传播的病毒，在2004年1月28日爆发，在高峰时期，导致网络加载时间减慢50%以上。它会自动生成病毒文件，修改注册表，通过电子邮件进行传播。芬兰的一家安全软件和服务公司甚至将其称为病毒历史上最厉害的电子邮件蠕虫。据估计，这个病毒的传播占爆发当日全球电子邮件通信量的20%～30%，全球有40 万～50 万台电脑受到了感染。

（8）美国1.3 亿张信用卡信息被盗事件

28 岁的美国迈阿密人冈萨雷斯从2006年10月开始到2008年1月期间，利用黑客技术突破电脑防火墙，侵入5 家大公司的电脑系统，盗取大约1.3 亿张信用卡和借计卡的账户信息，造成了美国司法部迄今起诉的最大身份信息盗窃案，也直接导致支付服务巨头Heartland 向Visa、万事达卡、美国运通以及其他信用卡公司支付超过1.1 亿美元的相关赔款。2010年3月，冈萨雷斯被判两个并行的20年刑期，这是美国史上对计算机犯罪判罚刑期最长的一次。正因为这次事件，冈萨雷斯被称为美国史上最大的黑客。

（9）索尼影业遭袭事件

2014年11月24日，黑客组织“和平卫士”公布索尼影业员工电邮，内容涉及公司高管薪酬和索尼非发行电影拷贝等。据估计此次行动与即将上映的电影《采访》有关。虽然索尼影业最终决定取消影片的发行，但在此次袭击事件发生数月后，其影响依然在持续发酵，电脑故障频发、电邮持续被冻结等。因涉及诸多影视界明星及各界名人，该公司联席董事长艾米·帕斯卡被迫引咎辞职。索尼遭黑客入侵并不是头一次，2011年，索尼PSN网络上就有百万用户信息曾被窃取。

（10）“熊猫烧香病毒”事件

相信在2006年年末至2007年年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒。它于2007年1月初开始肆虐网络，主要通过下载的档案传染，受到感染的机器文件因为被误携带，间接对其他计算机程序、系统破坏严重。在短短的两个多月时间里，该病毒不断入侵个人电脑，给上百万个人用户、网吧及企业局域网用户带来无法估量的损失，被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。不过，熊猫烧香作者只为炫技，并没有像勒索病毒一样为了要钱。2007年9月24日，“熊猫烧香”案一审宣判，主犯李俊被判刑4年。

8.计算机病毒发展趋势

从近来病毒的特点和它们采用的新技术可以看出，随着网络的日益普及，计算机病毒的传播和攻击方式也在发生变化。计算机病毒具有如下的发展趋势。

①传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型。随着网络日益普及，病毒减少了对传统传播介质的关注，网络蠕虫成为病毒设计者的首选。除了网络具有传播广、速度快的优点以外，蠕虫的一些特征也促使病毒制造者特别青睐这种病毒类型。

②蠕虫病毒主要利用系统漏洞进行传播，在控制系统的同时，为系统打开后门，因此，病毒制造者，特别是一些“黑客”更倾向于使用这种病毒。

蠕虫病毒编写简单，不需要复杂的学习。如欢乐时光病毒就是使用简单的脚本语言编写的，只要研究一下这些病毒的源代码，很容易编出一个相似的病毒，甚至可以编写出专门的病毒生产机，批量生成变种病毒。

③病毒呈现多样化的趋势。较早的病毒发作仍很普遍，并向卡通图片、ICQ、OICQ 等方面发展。而新病毒更善于伪装，如主题会在传播中改变，许多病毒会伪装成常用程序、图片、文本文件，或者将病毒代码写入文件内部而长度不发生变化，用来麻痹计算机用户。

④许多新病毒具备了一定的反防病毒技术能力。

⑤网络成为计算机病毒传播的主要载体。

⑥频度高且危害巨大。几乎每个月都有新的病毒疫情出现。据报道，造成较大影响的计算机病毒达到百余种之多，几小时即可传遍全球，并造成巨额经济损失。

病毒有向非计算机设备领域扩散的趋势。目前新一代的上网手机将面临可怕的病毒入侵，这类病毒比个人计算机病毒更厉害，其传播速度甚至会比爱虫病毒更快。