計算機病毒的研究與防范

摘要：該文介紹了計算機病毒的產生、定義和發(fā)展，描述了病毒的分類和危害，闡述了防御手段的發(fā)展，并通過一個實例來具體描述手動查殺病毒的方法，最后總結了病毒防范中的幾點經驗。

關鍵詞：計算機病毒；木馬；殺毒

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2009)04-0831-02

Reasurch and Defence of Computer Viruses

XIAO Hong-wei

(Laboratory Apparatus Plant，Academy of Military Medical Sciences，Beijing 100850，China)

Abstract: The paper introduces the origination， definition and development of computer viruses， discribes their types and harm， analyzes the development of anti-virus technologies. It also details the means of cleaning viruses through an example.Finally gives some experience to protect computers from danger.

Key words:computer virus; trojan; anti-virus

1 引言

隨著互聯(lián)網(wǎng)的普及與發(fā)展，來自互聯(lián)網(wǎng)的各種安全問題時刻威脅著計算機的安全。10月24日凌晨，微軟緊急發(fā)布了一項重要的安全更新，涉及桌面操作系統(tǒng)的絕大多數(shù)版本。微軟公告稱，黑客可以利用該漏洞向網(wǎng)絡中的電腦發(fā)出遠程的特制RPC請求，無需身份驗證便可在電腦中任意執(zhí)行遠程代碼，遠程執(zhí)行一段下載惡意程序的代碼后，不但能隨意彈出廣告、盜取用戶賬號，還可以控制本機進而攻擊其他用戶，使破壞力持續(xù)放大。據(jù)安全專家分析，這一漏洞的危害極為嚴重，局域網(wǎng)的用戶一旦有一個中招病毒就會迅速擴散，其危害程度毫不遜于當年波及80%以上Windows用戶的“沖擊波”病毒[1]。由此看出，如何切實、有效地進行計算機安全防護，保證用戶能夠獲得完整的安全體驗，已經成為當務之急。

2 計算機病毒

2.1 病毒定義及分類

20世紀70年代中期有幾位美國科普作家在他們的科幻小說中描寫了計算機病毒。1983年11月3日Fred.Cohen博士研制出一種在運行過程中不斷復制自身的破壞性程序，Len.Adleman將其命名為計算機病毒(Computer Viruses)[2]。所謂病毒，是指人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數(shù)據(jù)的可以自我復制的計算機程序或者指令集合。

該文將術語\"計算機病毒\"用作一個集合名詞，來指代故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。接下來，將介紹病毒、蠕蟲以及特洛伊木馬的確切含義和特征。特洛伊木馬不能夠自行傳播，這是木馬與病毒或蠕蟲的根本區(qū)別。該程序看上去有用或無害，但卻包含了旨在竊取信息、開放并監(jiān)聽后門端口的隱藏代碼，通常通過沒有正確說明此程序的用途和功能的電子郵件傳遞給用戶，也稱為特洛伊代碼。特洛伊木馬可能在系統(tǒng)中提供后門，使黑客可以竊取數(shù)據(jù)或更改配置設置。常見的兩種木馬有：遠程訪問特洛伊和Rootkit。某些特洛伊木馬程序使黑客或數(shù)據(jù)竊取者可以遠程地控制系統(tǒng)，此類程序稱為遠程訪問特洛伊 (RAT) 或后門。Rootkit 是軟件程序集，黑客可用來獲取計算機未經授權的遠程訪問權限，并發(fā)動其他攻擊，包括監(jiān)視擊鍵、更改系統(tǒng)日志文件、在系統(tǒng)中創(chuàng)建后門以及對網(wǎng)絡上的其他計算機發(fā)起攻擊[3]。

蠕蟲能夠自行傳播的惡意代碼，其危害為消耗網(wǎng)絡或本地系統(tǒng)資源。蠕蟲病毒可以通過網(wǎng)絡連接自動將其自身從一臺計算機分發(fā)到另一臺計算機上，可在無須感染可執(zhí)行文件的情況下進行復制或通過用戶直接執(zhí)行蠕蟲代碼傳播。例如，Sasser 蠕蟲依賴服務的安全漏洞最初感染一個系統(tǒng)，然后使用已感染系統(tǒng)的網(wǎng)絡連接來試圖進行復制[3]。

病毒 病毒將其自身附加到宿主程序，宿主程序執(zhí)行時病毒代碼也隨之運行。通過將其自身的副本添加到文件、文檔或磁盤驅動器的啟動扇區(qū)來進行復制，有時還會傳遞額外負載。它可能會損害硬件、軟件、數(shù)據(jù)或消耗系統(tǒng)資源并占用網(wǎng)絡帶寬。

2.2 病毒的發(fā)展

計算機病毒大致可以分成幾個階段。第一個階段為上世紀90年代之前，那時基本上是搗亂的病毒比較多，如最早的小球病毒、米開朗基羅，都是技術炫耀型的，但病毒的數(shù)量并不多，處理起來相對容易，只要是樣本分析清楚后，就能處理掉。

第二個階段與第一個階段中傳統(tǒng)的病毒制造不同。目前，從病毒的編寫、傳播到出售，整個病毒產業(yè)鏈已經完全互聯(lián)網(wǎng)化。在互聯(lián)網(wǎng)上，從挖掘漏洞、制造病毒、傳播病毒到出售竊取來的具有價值的商業(yè)信息，已經形成了一個高效的流水線，黑客們各司其職，運作效率極高，這也是導致病毒數(shù)量暴增的根本原因。2008年1月至10月，瑞星公司共截獲病毒樣本930余萬個，全國約有8100多萬電腦曾被病毒感染。目前，互聯(lián)網(wǎng)上每天新增病毒2萬余種，每10個上網(wǎng)者中就有3人訪問過帶毒網(wǎng)站[4]。

2.3 病毒入侵方式

雖然病毒、蠕蟲以及特洛伊木馬對用戶電腦造成的安全威脅和危害程度不同，但它們的入侵方式卻是大同小異。如圖1所示，一般來說，當病毒傳播到計算機后，首先做的工作就是隱藏自身，通過隱藏文件名或隱藏路徑來達到不被發(fā)現(xiàn)的目的，通常的做法是起個極其普通的文件名，或類似于系統(tǒng)文件的文件名，或與系統(tǒng)文件重名而將系統(tǒng)文件改名或刪除。接下來，病毒將修改注冊表中某些值或添加注冊表項，使得病毒能夠實現(xiàn)隨計算機的啟動或應用程序的使用而運行以及自行復制等目的。隱藏自身和修改注冊表后，病毒通過運行來達到其目的。

比如著名的“熊貓燒香”病毒，當用戶感染此病毒后，病毒進行如下步驟來入侵電腦。

1) 隱藏文件

病毒運行后，會把自己拷貝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

2) 添加注冊表自啟動

病毒會添加自啟動項

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

3) 病毒行為

病毒行為有很多，主要有以下幾種：用戶電腦中毒后可能會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象；被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣；添加病毒網(wǎng)址，導致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，并且利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe可執(zhí)行文件并感染， “熊貓燒香”還可以通過共享文件夾、系統(tǒng)弱口令等多種方式進行傳播。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導致用戶瀏覽這些網(wǎng)站時也被病毒感染。

3 病毒防御

3.1 病毒防御技術的發(fā)展

傳統(tǒng)的防病毒工作包括：收集病毒樣本、開發(fā)特征碼，然后迅速把這些特征碼發(fā)布給用戶。殺毒軟件在計算機程序中尋找特征碼，然后與病毒庫比對。這樣作有許多弊端：首先當病毒數(shù)量巨大時，殺毒軟件的運行極大的消耗計算機資源；其次由于很多網(wǎng)絡威脅都是有針對性的聯(lián)合攻擊，所以標準樣本收集、特征碼創(chuàng)建，以及部署不能充分發(fā)揮效用；這樣的防病毒技術只能防范已知病毒，而對新出現(xiàn)的病毒沒有防御能力。所以，在這種形勢下，研發(fā)和推出更高水平的計算機反病毒技術比任何時候都顯得更加迫切和重要。

2008年，許多防病毒廠商紛紛推出自己的“云安全”戰(zhàn)略。所謂“云計算”是指終端用戶連接到互聯(lián)網(wǎng)后，與云端的服務器保持實時聯(lián)絡，當發(fā)現(xiàn)異常行為或病毒等風險后，自動提交到云端的服務器群組中，由云計算技術進行集中分析和處理。然后，“云計算“技術會生成一份對風險的處理意見，同時對全世界的客戶端進行統(tǒng)一分發(fā)，客戶端可以自動地進行阻斷攔截、查殺等操作[5]。

通過“云計算”實現(xiàn)病毒查殺，主要有兩個好處：一個是客戶端可以不保留病毒特征庫。相對于動輒上百兆的防病毒軟件安裝程序來說，利用“云計算”技術，安裝程序的體積可以縮小很多；第二個是“云計算”的安全體系中集合了數(shù)萬臺計算機，擁有強大的計算能力，在傳統(tǒng)的防病毒方法已經達到能力極限的情況下，“云計算”為病毒防范找到了一條新的出路。

3.2 手動清除病毒的一般方法

知道病毒的傳播、隱藏與運行后，就能有針對的列出相關應對措施。當懷疑計算機感染病毒時，可以先進行病毒排查，找到引起計算機故障的根源。如圖2所示，首先查看可疑進程，因為大多數(shù)情況下病毒只要運行了，一般會在進程中有所體現(xiàn)，比如當用戶感染“熊貓燒香”病毒時，會關閉Ravmond.exe\\Ccenter.exe\\RavTask.exe\\Rav.exe\\Ravmon.exe\\RavmonD.exe等進程，打開任務管理器，若發(fā)現(xiàn)可疑進程，可以通過搜索，輸入進程名，搜索相關文件，也可通過監(jiān)測程序查看隱藏的惡意進程。同時到注冊表中全盤搜索注冊表啟動項，這樣便可以找到在注冊表中被修改的地方，然后根據(jù)具體情況選擇修改或刪除。一般病毒的手工查殺的步驟如下。

1) 同時按下“Ctrl+Alt+Del”鍵調出任務管理器，強行關閉病毒進程。

2) 從注冊表中刪掉病毒相關的自啟動項和關聯(lián)項。

3) 到相應的目錄下刪掉病毒文件。

4) 重啟計算機。

3.3 手動清除病毒的實例

接下來將介紹在工作中遇到的一個計算機病毒的實例，用戶的計算機配置為Windows XP系統(tǒng)，打印機型號為HP 1200。用戶反映計算機突然不能打印，打印機在控制面板中消失了，單擊添加打印機，系統(tǒng)提示：操作無法完成，打印后臺程序服務沒有運行。打開“組件”中的“服務”，試圖啟動打印后臺程序“Print Spool服務”，發(fā)現(xiàn)服務無法啟動。這是由于病毒程序將啟動打印服務的必要文件刪除，致使由于無法找到文件不能啟動，因此也無法安裝打印驅動。

按照手動清除病毒的一般方法，首先查找病毒相關信息。在Google中輸入“打印后臺程序服務無法運行“，搜索發(fā)現(xiàn)，病毒文件為文件夾spoolsv和miscn以及1116，病毒的動作有：刪除系統(tǒng)文件夾下system32\\spoolsv.exe文件，在system32\\spoolsv下面創(chuàng)建spoolsv.exe，注冊表相應項也被破壞。

解決方法：首先從其他沒有中毒的相同版本的計算機上拷貝spoolsv，exe文件到system32系統(tǒng)目錄。然后，將spool文件夾下面的PRINT子文件夾里面所有文件刪除，因為沒有中病毒的這個文件夾應該是空的，同時將病毒文件文件夾spoolsv和miscn以及1116也刪除。

最后修復注冊表。從一臺沒有中病毒的計算機上，在命令行中輸入命令“regedit”，打開注冊表，導出分支HKEY_LOCAL_MACHINE\\System\\CurrentControlset\\Services\\Spooler，然后導入到已中毒計算機的注冊表內。

接下來開始安裝打印驅動。在“我的電腦”上單擊鼠標右鍵，單擊“管理”。 在“計算機管理“窗口中，單擊服務和應用程序→服務→Print Spooler，在Print Spooler上單擊右鍵→啟動，服務被啟動后，即可安裝驅動。值得注意的是，驅動安裝成功后，“打印機和傳真“里面顯示可用的打印機，需要將打印機從“脫機”改為“共享打印”，選擇好端口（一般選擇USB端口），這時就可以打印了。

4 經驗總結

要減少計算機受到病毒的侵害，至少需要做到以下幾點：

1) 打開系統(tǒng)的自動更新功能，或使用“360安全衛(wèi)士”等軟件，及時修補系統(tǒng)漏洞。

2) 安裝正版殺毒軟件，定時更新掃描并實時監(jiān)控，動態(tài)監(jiān)視軟盤、硬盤、網(wǎng)絡以及Email中可能出現(xiàn)的病毒。

3) 關閉無關服務，微軟中有很多服務都不是必須的，若打開則容易被攻擊。

4) 下載的軟件一定要經過本部門專業(yè)人員查毒、殺毒后才能安裝使用。

5) 不要隨意點擊別人發(fā)來的網(wǎng)址和文件（尤其是QQ中），Email附件中的*.exe文件，不要運行，直接將信件刪除。

5 結論

計算機和網(wǎng)絡給我們生活提供的便利，遠非計算機病毒帶來的不便所能比擬的。只要我們了解病毒的傳播方式，依靠專業(yè)人員的支持，就可以抵御病毒帶來的各種危害，從而更為有效地利用計算機網(wǎng)絡技術改進我們的生活。

參考文獻：

[1] Microsoft 安全公告MS08-067， http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx.

[2] 高志海.病毒是什么[OL].http://www.mwr.gov.cn/，2008，1.

[3] 什么是惡意軟件及其特征[OL].http://zhangyazhou128.blog.163.com/blog.

[4] 劉歡.病毒互聯(lián)網(wǎng)化導致數(shù)量暴增[N].北京日報，2008，11.

[5] 邊欽.防病毒的未來在“云”中[J].網(wǎng)絡世界，2008，10(40).