計算機木馬病毒的普遍特征及其解決方案

【摘 要】本文介紹了計算機病毒的發(fā)展歷史，感染用戶計算機的的方式。針對目前流行的木馬病毒，介紹了其普遍特征，并以“COOL-GAMESETUP病毒為例，描述了主要特點和完整解決方案。闡述了計算機用戶針對病毒做好防范的重要性和具體方法。

【關(guān)鍵詞】COOL—GAMESETUP 計算機病毒 系統(tǒng)注冊表 可執(zhí)行文件

隨著計算機科學技術(shù)的高速發(fā)展，計算機系統(tǒng)功能日漸復雜，對社會及人們的生活產(chǎn)生了巨大的影響，由于計算機用戶對病毒了解知識層次高低不同，病毒本身的復雜和隱蔽性，加上現(xiàn)在大部分計算機都連結(jié)在網(wǎng)絡中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴散、各種計算機病毒層出不窮，計算機病毒造成的安全問題越來越嚴峻。因此，如何提高計算機用戶的防御病毒能力，增強安全意識，已成為當前急需解決的問題。否則計算機病毒會大面積傳播，給企業(yè)及個人的財產(chǎn)、隱私造成極大損失。

從1986年美國學生弗里德一科恩以測試計算機安全為目的編寫首個電腦病毒以來，目前世界上約有6萬多種電腦病毒，它們已經(jīng)從最初給用戶帶來小麻煩發(fā)展到嚴重威脅電腦和網(wǎng)絡的安全。隨著用戶操作系統(tǒng)、使用軟件的更新?lián)Q代，計算機病毒的發(fā)展也經(jīng)歷了從簡單到復雜的過程。從計算機病毒的發(fā)展過程，可以將計算機病毒分為以下幾個階段：

一、DOS時期命令行用戶界面下的病毒

DOS時期的計算機病毒主要是引導型病毒和文件感染病毒。DOS病毒出現(xiàn)在早期，當時計算機功能比較單一，DOS引導病毒利用軟盤等移動介質(zhì)啟動計算機時插入，破壞計算機分區(qū)表信息、修改系統(tǒng)自動扇區(qū)等，導致系統(tǒng)無法啟動。文件感染型病毒一般感染exe、com、bat等文件，導致文件無法正常運行?，F(xiàn)在絕大多數(shù)用戶使用的是Windows操作系統(tǒng)。DOS病毒已經(jīng)成為歷史，現(xiàn)在基本已經(jīng)無法對用戶計算機造成損害了。

二、Windows可視化界面下的病毒

隨著Windows可視化操作系統(tǒng)的出現(xiàn)和普及，計算機病毒也隨即發(fā)展到一個新階段，此階段的病毒可分為Office文檔類宏病毒、文件類PE病毒。宏病毒是專門針對微軟MS Office軟件的一種病毒，它由MS Office的宏語言編寫，只感染MS Office文檔，其中以MSWord文檔為主。用戶在打開含有宏病毒的Office文檔后，宏病毒就會自動運行，使計算機中病毒。PE是windows32位系統(tǒng)的一種文件格式，能感染這種文件的病毒都叫PE病毒。PE病毒較以往病毒更加復雜，往往調(diào)用Windows系統(tǒng)API函數(shù)接口，解決方法也比較復雜。此外，Linux也是操作系統(tǒng)之一，但其桌面易用性不為大多數(shù)用戶所接受，Linux環(huán)境下的病毒也比較少，此處就不做敘述。

二、網(wǎng)絡環(huán)境下的病毒

在Internet大面積普及的今天，大部分計算機都已經(jīng)成為了網(wǎng)絡世界中的一個節(jié)點。網(wǎng)絡的流行使得人們交換信息變得更加便捷，同時也給計算機病毒的傳播提供了更多的途徑。網(wǎng)絡環(huán)境下的病毒主要傳播途徑有網(wǎng)絡郵件、WEB頁面?zhèn)鞑ズ途钟蚓W(wǎng)內(nèi)傳播。不明身份者發(fā)來的郵件，不明下載點的軟件都有可能成為病毒的載體。病毒往往偽裝成郵件附件，文件名含以計算機中常用文件后綴名，加以各類命名誘使使用者打開 WEB頁面中藏有JS、VBS等惡意代碼，使用者一打開該網(wǎng)頁，代碼立即運行，使使用者計算機病毒。局域網(wǎng)也是病毒傳播的溫床，公司網(wǎng)絡中一旦一臺機器中毒，馬上蔓延到局域網(wǎng)中其他機器。網(wǎng)絡病毒種類繁多，主要以蠕蟲類病毒和木馬類病毒為主。蠕蟲類病毒善于復制自身，能迅速感染到網(wǎng)絡類所有計算機，利用操作系統(tǒng)的漏洞等，容易突然爆發(fā)，大面積波及。木馬類病毒主要插種在軟件中，容易導致計算機用戶私人隱私外泄，造成個人網(wǎng)絡賬號、密碼、網(wǎng)銀賬戶等的財產(chǎn)損失。

計算機木馬病毒在網(wǎng)絡條件下傳播速度尤其快，一般會導致用戶感染后無法使用注冊表編輯器、無法查看隱藏文件，無法格式化硬盤，分區(qū)格式化也不能操作，無法進入安全模式進行病毒查殺。以“COOL—GAMESETUP”病毒為例，它是一個熊貓燒香的變種，容易偽裝成應用程序的圖標來迷惑用戶，它會下載其他病毒并執(zhí)行，使得計算機內(nèi)所有可執(zhí)行文件（.exe）無法運行，用戶計算機感染該病毒后具有以下特征：

（一）病毒會刪除安全軟件的開機啟動項目和服務項目

（二）每1秒添加自己的啟動項，并將文件隱藏顯示注冊表鍵值破壞。

（三）每隔6秒在每個驅(qū)動器下（A和B驅(qū)動器除外），刪除所在的autorun.inf文件或文件夾，并創(chuàng)建autorun.inf和對應的（空格）.exe文件。

（四）每隔6秒停止部分安全軟件服務，刪除部分安全軟件的服務和開機自啟動項目。

（五）每3O分鐘會檢測用戶是否聯(lián)網(wǎng)，從指定網(wǎng)站下載一次木馬。

（六）病毒會感染擴展名為exe、pf、com、sic的文件，把自己附加到文件的頭部，并在擴展名為htm、html、asp、php、Jsp、aspx的文件中添加一網(wǎng)址，用戶一旦打開了該文件，IE就會不斷的在后臺點擊寫入的網(wǎng)址，達到增加點擊量的目的。且該網(wǎng)頁有漏洞，新變種的病毒會被下載并運行。

（七）感染后會在感染目錄下創(chuàng)建Desktop～.ini文件，其內(nèi)寫入當前系統(tǒng)時間，減緩計算機運行速度。針對木馬病毒的特征和發(fā)作嚴重程度，可執(zhí)行以下解決方案：

1、拔掉計算機的網(wǎng)線，斷開網(wǎng)絡連接。將計算機的共享目錄設置密碼或者取消網(wǎng)絡用戶的寫權(quán)限。

2、如計算機已經(jīng)無法進入安全模式，即進入安全模式就藍屏，使用U盤啟動盤或光盤啟動盤啟動，進行純DOS方式下查殺病毒。另外一種方式是直接使用安裝盤進行重新安裝或者純凈的Ghcst鏡像進行恢復。

3、純DOS方式查殺病毒結(jié)束或重新安裝結(jié)束后，進入Win—dows界面。對于“COOL—GAMEsETuP”病毒，需要制作一個bat文件進行運行，

殺毒軟件并不是萬能的，最主要的是計算機用戶養(yǎng)成良好的使用習慣，這樣，才能真正做到計算機病毒的防范。

隨著計算機和網(wǎng)絡技術(shù)的不斷發(fā)展，計算機病毒還將會長期存在，如何做好計算機病毒的防治，是一個永恒的課題。計算機用戶只有提高自身的計算機水平，培養(yǎng)規(guī)范的操作方法，才能從根本上防范病毒的入侵。