大学计算机基础：认识计算机病毒

任务情境

小明买了一台笔记本电脑，非常开心，但新电脑在使用了一段时间后，小明发现自己的电脑经常莫名其妙地重启，而且存储在硬盘上的很多文件也不见了，小明非常着急，找到计算机专业的同学小刚寻求帮助，小刚经过初步检查，发现小明的电脑硬件并没有任何问题，是小明的电脑感染了计算机病毒，病毒将小明电脑上的文件隐藏了，接下来小刚该如何为小明恢复被隐藏的文件，小明在今后又该如何防范病毒呢？

知识准备

1.什么是计算机病毒？

按照《中华人民共和国计算机信息系统安全保护条例》的定义，计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

2.计算机病毒的特点

1）传染性

传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其他无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件，传染是病毒最重要的特点之一。

2）隐蔽性

隐蔽是病毒存在和非法活动的手段，它一般依附在某种介质中，发作之前很难发现，一旦发现，系统实际上已被感染，数据已被破坏。

3）破坏性

计算机感染病毒后，可能会导致正常程序无法运行，文件、数据损坏或丢失，计算机系统无法启动运行。严重者甚至会损坏硬件系统，造成系统全面瘫痪，对社会秩序造成重大威胁。

4）针对性

打针对性是指病毒感染的目会针对特定的目标和对象，如某些病毒只针对Windows系统，某些病毒只针对特定的程序如Outlook、IIS，某些病毒只针对特定类型的文件如exe、com、dll等。

5）可触发性

可触发性是指某些病毒的发作需要达到一定触发条件，如到了特点的日期或时间、用户运行了某个特定的程序、打开了某种特定类型的文件等等。

6）不可预见性

不同种类的病毒，其代码千差万别，但有些操作是共有的，如驻留内存，改中断。大多安全软件就是根据这些特征来进行病毒的检测。但是，由于目前软件种类繁多、数量庞大，某些正常程序也使用了类似病毒的操作，甚至借鉴了某些病毒的技术，使用这种方法对病毒进行检测，势必会产生许多误报。而且病毒的制作技术也在不断地提高，病毒对反病毒软件一直是超前的。

3.计算机病毒的分类

计算机病毒种类繁多，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。根据不同的分类方法，同一种计算机病毒又可以归属于不同的计算机病毒种类。

1）按照破坏性分类

按照病毒对计算机系统的破坏性程度，病毒分为：良性病毒、恶性病毒、极恶性病毒、灾难性病毒。良性病毒一般为一些人的恶作剧，对计算机系统和数据不造成破坏，通常只是会降低计算机的工作性能，给用户使用计算机造成一些干扰。恶性病毒则是以破坏计算机系统和数据为目的，这种病毒危害性极大，往往会给用户造成不可挽回的损失。

2）按照传染方式分类

按照计算病毒的传染方式，病毒分为：引导区型病毒、文件型病毒、混合型病毒、宏病毒。

*引导型病毒—这种病毒利用系统启动引导时，不对主引导区的内容正确与否进行判别的缺点，在引导系统启动的过程中侵入系统，装入内存，监视系统运行，伺机传染和破坏。

*文件感染型病毒—这种病毒通常感染可执行文件或数据文件。

*复合型病毒—同时具有引导型病毒和文件型病毒两种特性的计算机病毒。

*宏病毒—宏病毒由BASIC语言编写并寄存在Office文档上，是一种主要针对Word文档的病毒。

3）按照连接方式分类

按照连接方式，病毒分为操作系统型病毒、外壳型病毒、入侵型病毒、源码型病毒。

*操作系统型病毒—操作系统型病毒可用其自身部分加入或替代操作系统的部分功能，由于其直接感染操作系统，当系统启动时，病毒即随着引导程序装入系统内存，这种病毒最常见，危害性也较大。

*外壳型病毒—外壳型病毒通常将自身附在正常程序的开头或结尾，这种病毒容易编写，同时也容易检查和删除。

*入侵型病毒—这种病毒通常用自身代替正常程序中的部分模块或堆栈区，因此这类病毒只攻击某些特定程序，针对性较强。一般情况下难以被发现，而且清除起来也比较困难。

*源码型病毒—这种病毒直接攻击由高级语言编写的源程序，是在源程序被编译前，将病毒程序自身插入到高级语言的源程序中，随源文件一起编译生成合法的可执行程序，这种病毒编写难度较大，危害也较大。

4.计算机病毒的传播途径

传染性是计算机病毒最基本的特性，是病毒赖以生存繁殖的条件，如果病毒没有传播渠道，则其破坏性小，扩散面窄，难以造成大面积流行。目前，计算机病毒的传播途径主要有以下几种：(www.xing528.com)

1）通过不可移动的计算机硬件设备传播

例如通过计算机硬盘在计算机内部进行传播。另外还有利用专用集成电路芯片（ASIC）进行传播的病毒，这种计算机病毒虽然极少，但破坏力却极强。

2）通过U盘等移动存储设备进行传播

可移动存储设备如早期的软盘，如今广泛使用的U盘、移动硬盘等，对病毒的传播发挥了巨大的作用，病毒通过这些介质快速地将病毒从一台设备带到另外一台设备，可移动存储设备成为计算机病毒寄生的主要“温床”。

3）通过网络进行传播

网络是当前病毒传播的最主要途径之一。现代通信技术的巨大进步，互联网的出现，已使空间距离不再遥远，数据、文件可以方便地在网络上进行快速的传播，网络方便了人们的生活，但也为计算机病毒的传播提供了更快的通道。

5.计算机感染病毒后的常见症状

计算机感染病毒后，通常会表现出一些很明显症状，常见的有：

*系统运行速度减慢

*文件长度发生变化

*经常无故蓝屏、死机或重启

*存储设备容量异常减少

*系统启动引导速度变慢

*文件丢失或者损坏

*屏幕上出现异常显示

*磁盘卷发生变化

*文件无法正确读取，复制，或者打开

*操作系统无故频繁出现错误信息提示

6.典型计算机病毒介绍

虽然病毒有很多种类型，但其原理大致一致，即通过篡改计算机正常启动方式，添加、释放病毒代码（文件），关闭、禁止运安全软件的办法，达到其隐蔽运行的目的。

以下是一些典型的计算机病毒：

1）勒索病毒

勒索病毒，是近年来非常活跃的一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒利用各种加密算法对文件进行加密，随后病毒会在桌面等显眼位置生成勒索提示文件，要求用户交纳一定数量的比特币作为赎金。计算机感染该病毒后，虽然可以通过重装操作系统的方式解除勒索行为，但用户重要数据文件不能直接恢复，必须拿到解密的私钥才行。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

图6-1-1　感染勒索病毒后出现的“勒索”提示信息

2）熊猫烧香

熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒计算机中的可执行程序文件图标会变为“熊猫烧香”的图案，所以被称为“熊猫烧香”。2006年10月，该病毒由25岁的湖北武汉新洲区人李俊编写，2007年1月初在网络上大规模爆发，它主要通过网站带毒的方式感染用户，同时还会在局域网中快速传播。熊猫烧香是一款具有自动传播、自动感染硬盘、具有强大破坏能力的病毒，它不但能感染系统中exe、com、pif、src、html、asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。

图6-1-2　感染熊猫烧香病毒后被修改的图标

3）AV终结者

该病毒使用重定向劫持技术，用户计算感染该病毒后，系统内的大多数杀毒软件和安全工具无法正常运行，而且用户在点击相关安全软件后，实际上运行的确是病毒文件，同时病毒还会破坏安全模式，即使用户进入安全模式，也无法正常运行杀毒软件并清除病毒。该病毒自动连接到某网站，大量下载木马病毒，各类盗号木马、广告木马、风险程序，使得用户的网银、网游、社交等账号密码以及重要、私密信息都处于极度危险之中。

4）CIH

CIH病毒是由一名台湾大学生陈盈豪所编写，主要通过Internet和电子邮件进行传播，该病毒最大的特点是能够破坏计算机的硬件系统。用户计算机感染CIH病毒后，会造成硬盘数据全部丢失，主板BIOS中的内容被彻底破坏，主机无法启动。当时恢复的方法，除了彻底清除硬盘数据外，只有更换BIOS，或是使用专门的工具重写主板上的BIOS程序，才能解决问题。

任务实施

根据所学知识，解释什么是计算机病毒？回忆自己遇到过的至少一种病毒，以及这种病毒的特点？