病毒基础防治知识-江民提供

一 历史篇

　　关于计算机病毒的历史发展，有很多不同的说法，这里是以时间为顺序说明计算机病毒是如何发展的。

　　20世纪60年代初，美国某著名实验室里，几个年轻人试图通过复制自身以摆脱对方控

制的“磁芯大战”电脑游戏，奠定了病毒的雏形。

　　20世纪70年代，美国作家雷恩在《P1的青春》一书中，构思了能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

　　1983年，美国计算机专家首次以病毒程序进行实验，首例计算机病毒诞生。

　　20世纪80年代后期，巴基斯坦两个编软件的兄弟为打击盗版，编写了“巴基斯坦智囊”病毒，一旦有人盗版他们的软件，病毒就会发作。这是世界上流行的第一个真正的计算机病毒。

　　我国最早出现计算机病毒是在1988年和1989年。那个叫做“石头”的病毒并不破坏系统和文件， 属恶作剧病毒，主要通过软盘传播。同期还有一个“小球”病毒，它与“石头”成为早期引导区病毒的典型代表。

　　20世纪90年代初，病毒不满足于玩玩恶作剧的小把戏，开始感染系统文件。“黑色13号星期五”等病毒主要感染.COM和.EXE文件，使被感染的文件字节数增加。

　　由于以上这些病毒本身没有加密，比较容易查杀。但此后，出现了加密型病毒和引导区、加密型双料病毒。加密病毒会通过加密来防止被追踪，并试图掩盖自身的有关特征。双料病毒不但可以感染软硬盘引导区，还能感染可执行文件。

　　1996年下半年，国内现身“G2、IVP、VCL”三种“病毒生产机”，不法之徒可以用它来编出千万种新病毒，病毒发展进入批量生产时代。

　　1996年，WINDOWS病毒逐渐发展起来。同年，微软OFFICE办公软件开始流行，病毒进入“宏”病毒时代。编写容易的“宏”病毒潜伏在WORD文件中，在网上被人们传来传去，终于在第二年大规模爆发。

　　1997年以后，可以通过自动发送邮件传播自身的蠕虫病毒粉墨登场。1999年，“美丽杀”蠕虫病毒席卷欧美大陆，成为世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。病毒由此进入蠕虫时代。

　　1999年4月26日，人们上班打开电脑后发现屏幕一亮后就陷入黑暗再也启动不起来……又一次病毒大浩劫发生了，CIH给文件型病毒退出历史舞台添了一个重重的注脚。

　　从1999年以后，蠕虫是主流。2001年的“欢乐时光”、“红色代码”、“尼姆达”，2002年的“求职信”，2003年的“冲击波”，今年的“震荡波”……蠕虫病毒正借助强大的互联网平台进入鼎盛时期。

　　2005年开始，各种木马，盗号程序等开始流行，特别是一些针对QQ等即时通信工具、网上银行和重要的信息系统的木马流行。

二 技术篇

2.1 病毒的分类

　　迄今为止计算机病毒超过10万种，计算机病毒可分类如下：

2.1.1 按照病毒存在的载体分类，一般可分为4类。

1、 引导型病毒：

　　此类病毒存放在软盘引导区、硬盘主引导区和引导区。由于引导型病毒在操作系统启动前就加载到内存中，具有操作系统无关性，可以感染所有的X86类电脑。因此这类病毒将长期存在。

2、文件型病毒

　　此类病毒以文件形式存在，是病毒流行的主要形式。其中根据操作系统不同，又分很多类，如DOS类病毒、Windows类病毒、Linux类病毒等等。这些病毒跟操作系统紧密相关。DOS类病毒在DOS下面传播的很凶猛，但在Windows平台上已经很少了，最新的Windows 64已经不再支持16位程序了，这类病毒已经走到了尽头。

3、 蠕虫病毒

　　以网络为载体，如曾经流行的SQL杀手。当然，纯粹网络蠕虫病毒比较少。

4、 混合类的病毒

　　这类病毒分类没有完全清晰的划分，很多病毒为了达到广泛传播的目的，通常采用更多的方式，如3783病毒，可以感染引导区、DOS程序、Windows程序；而Winux病毒则可以感染Windows，也可以感染Linux；大部分网络蠕虫病毒也是文件型病毒。

2.1.2 按照病毒传染的方法分类

　　按此分类方法病毒可分为四种类型：入侵型病毒，嵌入式病毒，外壳类病毒，病毒生产机。

　　入侵型病毒顾名思义是通过外部媒介侵入宿主机器的；嵌入式病毒则是通过嵌入到某一正常的程序中，然后通过某一触发机制发作；加壳类病毒，此类病毒使用特殊算法把自己压缩到正常文件上，这样当被害者解压时即执行病毒程序。病毒生产机是可以“批量生产”出大量具有同一特征的“同族”病毒的特殊程序，这些病毒的代码长度各不相同，自我加密、解密的密钥也不同，发作条件和现象不同，但其主体构造和原理基本相同。

2.1.3 按照病毒自身特征分类

　　根据病毒自身存在的编码特征可以将计算机病毒分为：

  　伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随文件。

　　变型病毒：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。此类病毒通常是由一段混有无关指令的解码算法和被变化过的病毒体组成。

2.2 文件型病毒和引导型病毒

2.2.1 引导型病毒

　　这是PC机上出现的最古老的病毒，它主要感染软盘、硬盘的引导扇区或主引导扇区，系统启动时通过执行引导扇区上的引导程序加载到系统内存，然后感染其他软盘和硬盘。引导型病毒通常用汇编语言编写，所以病毒程序很短，执行速度很快。

　　我国流行较为广泛的引导型病毒是PolyBoot (也叫WYX.B)。它是典型的内存驻留型和加密引导型病毒，一旦发作，将破坏硬盘的主引导区使所有的硬盘分区及用户数据丢失。感染对象可以是任何操作平台，包括Windows、Unix、Linux、Macintosh等。

2.2.2 文件型病毒

　　文件型病毒感染可执行文件（对于DOS或WINDOWS来说是感染*COM和*EXE等可执行文件）。被感染的可执行文件在被执行时，病毒被加载到内存上，并向其他正常的可执行文件传染。一般来说，DOS的命令解释器COMMAND.COM文件最容易被传染。

　　文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行程序中，并等待可执行程序运行，然后病毒会驻留在内存中，企图感染其他文件并破坏系统。当病毒完成工作后，其宿主程序才被运行，使系统看起来一切正常。和引导区病毒不同，文件型病毒把自己附着或追加在*.EXE和*.COM这样的可执行文件上。

　　典型的文件型病毒是Win32/ Foroux，该病毒在系统启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K、WinXP的系统认证保护的文件，所以在病毒感染系统目录时，系统不会弹出报警对话框提醒用户。让人担扰的是，虽然单纯的文件型病毒已得到有效的控制，但近年来发生的网络蠕虫病毒挟带文件型病毒传播的现象引起了反病毒专家的注意，2002年，求职信（Klez）变种L挟带Win32/ Foroux，通过邮件疯狂传播，在人们预览邮件时即可中毒，传播及感染速度百倍于单纯的文件型病毒。该病毒也因此成为2002年的十大“毒王”之一。

2.3 典型病毒介绍

　　在林林总总的病毒中，有三种是比较典型的：宏病毒、网络病毒和混合型病毒。

什么是宏病毒？

　　宏病毒是第一种跨平台的计算机病毒，它与其他病毒有很大区别，是利用高级程序设计语言——宏或Visual Basic编制的病毒，因此可实现某些涉及系统底层操作的破坏。宏病毒仅向WORD、EXECL和ACCESS编制的文档进行传染，而不会传染给可执行文件。但由于全球用户频繁使用WORD、EXECL和ACCESS编制文档、电子表格和数据库，并通过软盘和互联网进行交换，所以宏病毒的传播十分迅速和广泛。

什么是网络病毒? 

   近年来，计算机网络发展很快，而计算机病毒制造者也开始尝试让病毒和网络紧密地结合在一起，形成传播速度更快、危害性更大的计算机网络病毒。如前面所说的“美丽杀”病毒，就显示了攻击手段的新特征：利用人们最常用的网络服务——电子邮件和文字处理软件WORD进行攻击。“美丽杀”病毒的传播途径已不再是像从前那样通过软盘拷贝，而是通过在网络上传递的电子邮件所带的附件极快地在网络上传播。当用户打开邮件并激活它时，该病毒就在用户计算机的通信地址簿中收集前50个地址，然后向外发送邮件。这一点非同小可。它虽然看上去还只是一种病毒恶作剧的做法，但实际上只须稍加改造，就完全有可能搜集到用户计算机内的机密信息，并通过邮件发送出去。

什么是混合型病毒？ 

   混合型病毒是指引导型病毒、文件型病毒、宏病毒的混合体，是既能感染引导区，又能感染文件的病毒。混合型病毒综合利用了以上三种病毒的传染渠道，其传染能力很有点“东边不亮西边亮”的味道。但它并不是文件型病毒和引导区病毒的简单叠加，其中有一个转换过程。一般采取以下方法：在文件中的病毒执行时将病毒写入引导区；染毒硬盘启动时，用引导型病毒的方法驻留内存。这也是混合型病毒的关键之处。

   随着网络病毒的发展，引导区、文件型、宏病毒的混合型病毒也渐渐退出历史舞台，混合型病毒的定义也产生了变化，最新混合型病毒定义是集黑客程序、木马、蠕虫特征于一体的混合型恶意代码。典型的病毒如“超级密码杀手”，这种病毒集蠕虫、黑客、木马、后门程序特征于一体，传播速度快，途径广泛，潜在危害十分巨大。其不但带有自发信模块向外狂发带毒邮件，而且能破解系统弱口令，并通过各种网络共享传播自身，更人严重的是，病毒入侵后，还会在电脑上开一个后门，黑客可以远程操纵进行任意操作。

三 解决方案篇

3.1 病毒感染后的通常症状

　　如果你的计算机出现如下症状之一，就要注意了。

　　系统运行速度减慢甚至死机。像“新快乐时光”病毒，会感染HTM、ASP、PHP、HTML、VBS、HTT 等网页文件，被感染的逻辑盘的每个目录都被生成desktop.ini、folder.htt 文件，病毒交叉感染使得操作系统速度变慢。而像冲击波等蠕虫病毒，由于病毒发作后会开启上百线程扫描网络，或是利用自带的发信模块向外狂发带毒邮件，大量消耗系统资源，因此会使操作系统运行得很慢，严重时甚至死机。

   文件型病毒感染文件后会增加文件长度，如果发现文件长度莫名其妙地发生了变化，就可能是感染了病毒。同时，病毒在感染文件过程中不断复制自身，占用硬盘的存储空间，如果你发现在没有安装任何文件的情况下，硬盘容量不断减少（一些系统中存在的缓存文件和网页残留信息不是病毒）。除了以上常见的一些现象外，如果电脑出现以下的症状之一，也可能是感染了病毒。

   丢失文件或文件损坏；计算机屏幕上出现异常显示；计算机系统的蜂鸣器出现异常声响；磁盘卷标发生变化；系统不识别硬盘；有不明程序对存储系统异常访问；键盘输入异常；文件的日期、时间、属性等发生变化；文件无法正确读取、 复制或打开；命令执行出现错误；系统虚假报警；系统时间倒转，逆向计时；WINDOWS操作系统无故频繁出现错误；系统异常重新启动；一些外部设备工作异常，如打印机常打出一些乱码；系统或是打开文件时异常要求用户输入密码；WORD或EXCEL提示执行"宏"等等。

3.2 病毒如何截获

　　现在网上的病毒越来越多，经常上网的电脑用户稍不留神就"中招"。遇到病毒，人们最先想到的解决办法就是安装一款最新的杀毒软件。作为电脑的治病良药，大部分杀毒软件可以做到"药"到病除。那么，平时反病毒专家们是怎样工作的呢？病毒是怎么样被截获的，又是怎样及时被反病毒专家破译后加入杀毒软件病毒库的呢？

   杀毒软件公司首先最需要的是尽可能多的病毒样本，这是反病毒工作的基础。首先我们反病毒专家会发动所有的电脑爱好者参予到反病毒大军中。对于电脑爱好者首次发现并上报的病毒，杀毒软件公司收到并确认后，会给予上报者一定的奖励，其次，杀毒公司还与国内外反病毒监测机构建立了广泛的合作关系。以江民为例，已在全球建立了数千家病毒监测中心，不论世界哪个地方，只要有一处病毒冒出苗头，江民公司都能在第一时间获得样本，并立即提出解决方案，对KV系列杀毒软件进行升级更新，此外，杀毒厂商还与国内计算机反病毒主管部门以及相关反病毒机构进行了充分合作，织成了一张全球反病毒监测大网。

   截获病毒后，反病毒专家立即使用专用分析工具对病毒源代码进行分析，撰写病毒技术分析报告，同时提取病毒特征码。反病毒专家每天需要分析几百上千个病毒，工作量很大，一般都是集中分析一批病毒后，然后打成一个病毒库包，再交由专职人员放到服务器上，供用户升级下载。

   日复一日，年复一年，反病毒专家不停地对病毒进行分析——升级，再分析，再升级，从1989第一个计算机病毒在我国出现，迄今为止，我国反病毒专家已截获了超过10万多种病毒，正是反病毒专家们默默无闻的幕后工作为电脑用户们提供了坚实的安全保障。

3.3 个人病毒的防治 

    一是建立正确的防毒观念，学习有关病毒与反病毒知识。二是不随便下载网上的软件。尤其是不要下载那些来自无名网站的免费软件，因为这些软件无法保证没有被病毒感染。三是不要使用盗版软件。四是不要随便使用别人的软盘或光盘。尽量做到专机专盘专用。五是使用新设备和新软件之前要检查。六是使用反病毒软件。及时升级反病毒软件的病毒库，开启病毒实时监控。七是有规律地制作备份。要养成备份重要文件的习惯。八是制作一张无毒的系统软盘。制作一张无毒的系统盘，将其写保护，妥善保管，以便应急。九是制作应急盘/急救盘/恢复盘。按照反病毒软件的要求制作应急盘/急救盘/恢复盘，以便恢复系统急用。在应急盘/急救盘/恢复盘上存储有关系统的重要信息数据，如硬盘主引导区信息、引导区信息、CMOS的设备信息等以及DOS系统的COMMAND.COM和两个隐含文件。此外，还应有用于系统恢复和查杀病毒的DOS版反病毒软件。十是一般不要用软盘启动。如果计算机能从硬盘启动，就不要用软盘启动，因为这是造成硬盘引导区感染病毒的主要原因。十一是注意计算机有没有异常症状。十二是发现可疑情况及时通报以获取帮助。十三是重建硬盘分区，减少损失。若硬盘资料已经遭到破坏，不必急着格式化，因病毒不可能在短时间内将全部硬盘资料破坏，故可利用“灾后重建”程序加以分析和重建。

    随着互联网的快速发展，宽带的越来越普及，网络病毒逐渐成为主流，此类病毒集黑客、木马、病毒特征于一体，通过邮件、网页、系统漏洞等多种途径入侵。针对网络环境下计算机病毒的新特点，清理和防治网络病毒主要从以下几个方面入手。

    一是防病毒感染。首先需要安装病毒防火墙，尽快升级病毒库。其次要安装最新的系统漏洞补丁程序。

    二是要防止来自网络上的攻击。首先，上网时最好在IE中隐藏自己的IP，其它在QQ聊天时也要隐藏IP，最后将多余的网络协议关闭。

    三是搞好重要信息的安全防护。及时给注册表备份，学会手工或利用一些工具软件为注册表解锁。

3.4 企业防病毒策略

一是要有防毒于未然的意识。不要等中了病毒才想起防杀毒。

二是要变被动为主动。

三是要构建多层防御体系。

四是要实现集中控管。统一查毒、统一杀毒、统一设置、统一升级。

五是反毒不息，升级不止。及时升级病毒库。

六是防毒和杀毒相统合。

七是要注意重要数据的备份。

3.5 对付木马

　　木马到底是什么？其实"木马"就是"特洛伊木马"的简称，是目前比较流行的非病毒程序，而且它还有个英文名字 "Trojan horse" ，这个名称来源于希腊神话《木马屠城记》中那只木马的名字。如今黑客程序借用其名，"木马"成为了一种远程控制的黑客工具。

　　"木马" 程序文件，与一般的病毒不同，它不会自我繁殖，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行，如果我们不小心将木马程序下载到自己的计算机里，那就等于我们为黑客打开了电脑大门，黑客就可以任意访问、毁坏、窃取电脑文件，在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。常见的木马有：NetSpy、BO、冰河、YAI、毒针、"广外女生"……

　　通常我们所接触到的木马有两种传播方式：一种是通过电子邮件，黑客将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些黑客将木马程序捆绑在有些免费的软件安装程序上，在下载这些软件的同时，也将木马程序安装到自己的计算机里。

　  知道了木马的传播途径，要防范木马就容易了，最简单和最直接的办法就是装上防火墙；现在越来越多的杀毒软件也可以查杀木马，因此还需安装杀毒软件；平时不要执行任何来历不明的软件或程序；下载新的软件先用杀毒软件检查一遍，确定软件不带病毒后再执行 、使用下载软件。

3.6 对付 IM病毒

　　MSN、QQ、泡泡、Skype、UC……即时通信软件(IM)以其沟通快速便捷并且能够实现语音、视频等功能，受到越来越多的网友的青睐，成了网友必备的通信工具。可正因为如此，聊天工具也成了"黑客"、"病毒制造者"的重点攻击目标，各种IM病毒由此产生。

    所谓IM病毒，即以即时通讯软件（IM）为传播途径的病毒。最早的IM病毒是2003年7月被反病毒厂商截获的MSN-Worm/Sinmsn，此后，此类病毒便不发不可收，典型的如QQ病毒“武汉男生”，2004年一年中产生了数百个变种。进入2005以后，IM病毒先后两次集中爆发，2月3日,MSN“性感鸡”爆发，当日即有数千人感染病毒，许多单位局域网因此瘫痪，工作无法正常开展。3月7日，一个通过MSN和P2P软件快速传播的蠕虫病毒“好快”（I-Worm/MSN.Sofast）再次爆发，病毒借助即时通讯软件，再次刷新了病毒传播速度新纪录。

　　IM病毒感染症状大致有如下特点，传播快速、添加“尾巴”、自动发送带毒文件等。被感染者使用即时通信工具向在线好友发送信息时，病毒会自动在聊天信息中附带一个网址作为“尾巴”，这个网址一般是含有病毒的恶意网站；除此之外，一些IM病毒会自动向所有在线好友发送信息或是文件，导致系统资源被大量占用，最终网络瘫痪或死机。这些只是IM病毒比较常见的症状，近期发现的IM病毒已经出现“毒中有毒”的新特征，病毒在通过IM软件迅速传播后，一旦被运行，会释放出一些后门或木马病毒，黑客通过它能够远程控制电脑，对染毒电脑进行任意操作。典型的如“MSN幽灵”，该病毒通过MSN传播，可以释放出"罗伯特"后门病毒的最新变种Backdoor/RBot.yi。黑客利用此病毒可以大量制造“僵尸电脑”，从而肆意操纵这些僵尸网络对任一目标发起网络洪水攻击。

　　对付IM病毒,重点在于用户要随时提高警惕,务必不要随意点击“好友”发来的不明链接，对通过即时通讯软件传播的任何可执行程序文件（.exe .bat等），在未落实真实来源地和用途时，务必不要盲目打开，对不明来源的可执行程序应立即删除，以防患于未然。此外，最好安装一款带有“即时通讯监视”的杀毒软件，这样,在病毒文件进入电脑硬盘之前会被杀毒软件自动过滤掉。

3.7 对付间谍软件

　　经常上网的电脑用户可能会遇到这样的情况--新装的操作系统，在上网一段时间后变得越来越慢。用最新版本的杀毒软件也查不出病毒来，用软件对系统进行全面优化、对硬盘进行碎片整理仍然解决不了问题。这时，你要注意了，你的电脑很有可能被植入了间谍软件！那间谍软件到底是什么呢，如何避免被植入间谍软件呢？

　　什么是间谍软件？目前还没有一个很明确的概念。间谍软件和我们通常意义上的“木马程序”、“特洛伊木马程序”有类似之处，但是还是有很大的不同，间谍软件通常具有以下三大特征：

1、 “间谍软件”能够在用户不知情的情况下，将用户个人计算机的识别信息发送到互连网的某处，当然也可能包括一些敏感的个人隐私信息。

2、“间谍软件”没有病毒的传染性，同时不象病毒隐藏那么深，更不会感染文件。

3、“间谍软件” 能监视用户在网络上进行的一些操作、活动等，甚至访问了哪些网站都能监视到。

　　从以上特征来讲，所谓间谍软件，就是在用户不知情的情况下，搜集并发送计算机信息或是个人隐私，从而给用户网络安全带来风险的程序。

　　间谍软件的界定比较模糊，有些含有“间谍软件”网站，可能会事先声明，用户访问该网站需要向该网站发送一些个人信息。这时的“间谍软件”就是公开的了。此类搜集用户资料的网站有很多，这也是为什么许多用户反映上网时间长了以后系统逐渐变慢的原因之一。但可以放心的是，目前大部分信誉良好的网站收集用户的资料只用作统计用，不用作其他商业目的。

　　与间谍软件类似的有“广告软件部件”，后者只是能给某些特定的网站做宣传，自动弹出一些用户并不想访问的网站。

　　目前对付间谍软件还没有十分有效的办法，国内反病毒厂商会将一些危害特征明显的间谍软件加入杀毒软件病毒库，而大部分“良性间谍软件”并没有被当作病毒查杀。国外一些安全厂商推出了反间谍软件程序，如微软收购Giant公司后推出的Windows AntiSpyware，也只能清除部分间谍软件，该软件在2005年7月份以前是免费的，用户可以到网上下载使用，解决部分间谍软件难题。

　　有专家建议电脑用户可以使用一款免费的火狐浏览器（Firefox），他认为该浏览器是一个比较安全的浏览器，能够解决电脑用户面临的间谍软件难题。

3.8 对付信使广告 

　　我们已经知道，间谍程序会在用户不知情的情况下，搜集并发送计算机信息或是个人隐私，包括IP址、电子信箱地址等。这些信息除了被一些正规网站用来做客户分析外，相当一部分被搜集者用来发送商业广告，发送方式除了人们熟知的垃圾邮件外，其中一种就是信使广告。

　　信使广告并非黑客所为，而是非法广告发送者利用“间谍软件”搜集到的IP地址，应用WIN NT/2000/XP系统自带的一种信使服务功能发送的。这三种操作系统会在电脑开启时自动启动“信使服务”功能，广告发送者利用一种信使广告发送软件，导入非法搜集的IP地址，可以在很短的时间内发送成千上万条信使广告，让人不胜其烦。

　　了解了信使广告的发送原理，防范就很容易了。一种方法是关闭操作系统“信使服务”功能（最新的Windows XP SP2 已经自动禁止了该服务），并将其启动性质由“自动”改为“手动”，那么下次系统重启时该项服务就会被禁止，也就堵住了信使广告的入口；另外一种方法是不使用固定的IP地址，也可有效防范信使软件。在设置上网方式时选择“动态分配IP地址”，这样每一次上网时IP地址都不一样，信使广告也就失去了发送的对象。