网络病毒：认识与预防

任务描述

计算机病毒对计算机系统及网络所产生的破坏效应，使人们清醒地认识到它所带来的危害。目前，每年的新病毒数量呈指数级增长，而且由于Internet的日益普及，病毒借助于计算机网络可以传播到计算机世界的每个角落，并大肆破坏计算机数据、更改操作程序、干扰正常显示、摧毁系统，甚至对硬件系统都能产生一定的破坏作用。本任务主要介绍病毒基本知识及常用杀毒的软件的使用方法。

任务实施

1.网络病毒的基本概念

计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒越来越高级，情况就变得更是如此。目前，几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此，了解和控制病毒威胁显得格外重要，任何有关网络数据完整性和安全的讨论都应考虑病毒。

（1）计算机病毒的定义

计算机病毒从不同角度大致有3种定义。一种定义是通过磁盘和网络等作为媒介传播扩散，能“传染”其他程序的程序；另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序；还有一种定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里，当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等。

综上，计算机病毒是人为编写的，具有自我复制能力，是未经用户允许而执行的代码。一般来说，凡是能够引起计算机故障，能够破坏计算机中的资源（包括硬件和软件）的代码，统称为计算机病毒。

（2）计算机病毒的危害

1）病毒激发对计算机数据信息的直接破坏作用。大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或用无意义的“垃圾”数据改写文件、破坏CMOS设置等。

2）占用磁盘空间和对信息的破坏。寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位。所以，在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长，就造成磁盘空间的严重浪费。

3）抢占系统资源。除少数病毒外，其他大多数病毒在动态下是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。

病毒进驻内存后不仅干扰系统运行，而且影响计算机速度，主要表现在以下方面。

①病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。

②有些病毒为了保护自己，不仅对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处于加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。

③病毒在进行传染时同样要插入非法的额外操作，特别是传染磁盘时不仅计算机速度明显变慢，而且磁盘正常的读写顺序被打乱，发出刺耳的噪声。

2.计算机病毒的特征

要做好反病毒技术的研究，首先要认清计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。

（1）繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行自身复制，是否具有繁殖、感染的特征是判断某段程序是否为计算机病毒的首要条件。

（2）传染性

计算机病毒不仅本身具有破坏性，而且具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

（3）潜伏性

有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。例如，黑色星期五病毒，不到预定时间用户一点都觉察不出来，等到条件具备的时候，其会瞬间就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘中待上几天，甚至几年，一旦时机成熟得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标志，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘，以及使系统死锁等。

（4）隐蔽性

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本无法查出，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（5）破坏性

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为增、改、移、删。

（6）可触发性

因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染计算机也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，则启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，则使病毒继续潜伏。

3.使用杀毒软件查杀病毒

以360安全卫士领航版V10.1为例，介绍病毒的查杀。360安全卫士的下载与安装与360杀毒的方法基本一致，这里不再详细介绍。运行360安全卫士领航版V10.1后，将打开图7.16所示的“电脑体检”界面。

图7.16　360安全卫士(www.xing528.com)

（1）360安全卫士的使用

1）查杀木马。单击图7.16中的“查杀修复”按钮，打开图7.17所示的“查杀木马”界面。

图7.17　“查杀木马”界面

2）选择扫描方式，这里选择“快速扫描”方式（即单击“快捷扫描”图标），开始扫描，如图7.18所示，耐心等待360软件扫描完，单击“一键处理”按钮，进行处理。

图7.18　查杀木马正在扫描

3）系统修复。单击“返回”按钮，返回“查杀木马”界面，单击“常规修复”按钮，系统开始修复检查，检查结果如图7.19所示。

图7.19　常规修复检查结果

4）选中想要修复的项目，单击“立即修复”按钮，完成修复。

5）查找插件。返回360安全卫士的“电脑体检”界面，单击“电脑清理”按钮，打开图7.20所示的“电脑清理”界面。

6）单击“一键扫描”按钮，开始扫描本机，等待扫描结束，扫描结果如图7.21所示。

图7.20　“电脑清理”界面

图7.21　360安全卫士找到的清理对象

需要注意的是，有些比较顽固的插件程序在卸载之后需要重新启动计算机，才能完成清除工作。

7）单击“可选清理插件”下的“详情”按钮，打开图7.22所示的可选清理插件界面。选中图中的待清理插件，单击“清理”按钮，完成清理插件的操作。需要注意的是，有些比较顽固的插件程序在卸载之后需要重新启动计算机，才能完成清理工作。

图7.22　可选清理插件界面

8）查看启动项状态单。在“电脑体检”界面单击“优化加速”按钮，打开“优化加速”界面。单击“开始扫描”按钮，开始进行“开机加速”“系统加速”等优化的扫描，扫描结果如图7.23所示。单击“立即优化”按钮，完成优化操作。

图7.23　优化加速扫描结果

9）单击图7.23中的“启动项”按钮，打开启动项设置界面，如图7.24所示，此时可以查看启动项状态。单击想要禁止启动项后的“禁止启动”按钮，完成启动项设置。

图7.24　启动项设置界面

10）完成任务要求后，关闭360安全卫士窗口。

不同版本的360安全卫士操作可能存在细微的差别，这里给出的步骤供参考。

任务评价

任务评价单