病毒基础防治知识－赛门铁克提供(2)

　　常见表现特征：

¾ 类似常见的普通可执行程序¾ 不会感染其它程序¾ 不会造成直接破坏¾ ¾ 可能不容易中断和停止¾ 某些设备（例如鼠标或键盘）可能会暂时工作反常

　　用于生成病毒或恶意程序的计算机程

　　后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略

　　DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。
 
 　　威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。
. 网络攻击的程序可以通过病毒经由多种渠道广泛传播序的搜查. 病毒的潜伏性和可触发性使网络攻击防不胜防. 许多病毒程序可以直接发起网络攻击. 植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统

• 电脑运行比平常迟钝
• 程序载入时间比平常久
• 对一个简单的工作，磁盘似乎花了比预期长的时间
• 不寻常的错误信息出现
• 硬盘的指示灯无缘无故的亮了
• 系统内存容量忽然大量减少
• 可执行程序的大小改变了
• 内存内增加来路不明的常驻程序
• 文件奇怪的消失
• 文件的内容被加上一些奇怪的资料
• 文件名称，扩展名，日期，属性被更改过
• 文件传输介质例如CIH病毒，通过复制感染程序传播
• 电子邮件例如梅丽莎病毒，第一个通过电子邮件传播的病毒
• 网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播
• 文件共享软件

　　例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播

　　为什么有些病毒清除不了（非运行中），只能隔离而不能清除？

　　所谓的杀病毒,就防毒软件而言有两种情况:

　　¾ 一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K, 经过杀毒之后,恢复成10K的正常档案) ，这就是所谓的清除¾ 一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码) 这种情况特别容易发生在特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施发现病毒时，趋势科技的防毒软件是怎么处理的？

　　发现病毒时，趋势科技的防毒软件通常可以采取的措施有：¾ 清除¾ 隔离¾ 删除¾ 重命名¾ 通过（即不做处置）
 
　　如果客户怀疑自己的系统中感染了未知病毒，可以请他将可疑文件压缩成zip文件，并且在压缩时使用密码virus，然后发送至邮箱：virus_doctor@trendmicro.com.cn进行分析。

　　对于隔离区的清除不了病毒的文件，是否可以等到新的解药出来后，清除文件中的病毒就可以了？
清除不了病毒的文件可能有以下两种情况：

　　¾ 该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施，因为文件中包含的只有病毒代码，不存在清除的问题。

　　¾ 病毒在感染文件时采取了一些特殊的方法，对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是，并不排除随着防病毒软件的改进而可以清除的可能。

　　病毒码更新，扫描引擎不更新的话，会不会继续中病毒？病毒码中包含的是病毒的具体特征，而扫描引擎就是使用这些特征对文件进行比对，以确定被扫描的文件是否为病该病毒即可被检测到。

　　为什么现在有很多木马程序杀不

　　造成这个问题是以下原因：在Windows操作系统下运行的程序，其执行的原始文件往往会处在一个受保护的状态，使

 　　文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目，因此往往系统已启动木马已在系统中运行，造成防病毒软件无法对木马程序进行有效处理。

　　各类病毒的传播方式

　　病毒的常见传播方式有：¾ 通过电子邮件¾ 通过网络共享¾ 通过点对点的文件共享软件¾ 以磁盘之类的介质对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？不会。有些病毒或是木马后门之类的恶意程序会在系统中

　　从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。

　　为什么有时候有些防病毒软件认为一个文件是病毒，而有些防病毒软件却认为不是病毒？

　　各防病毒厂商在对病毒的认定标准上存在一些细小的差异果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。

　　对于被隔离的病毒文件如果是系统文件的话，应该如何处理？

　　由于系统文件是操作系统的一部分，建议客户使用原始的

　　病毒发作有的有周期的，是否本机时间改掉就可以了？修改系统时间确实可以阻止一些周期性发作的病毒的发作
，但是并不是绝对可行。有些病毒由于其触发机制的复杂

　　蠕虫、病毒的特征和区别

　　计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的

　　不同的病毒生成的文件是什么类型的要视病毒具体感染的文件类型而定，宏病毒通常会感染Word文档文件以及Excel电子数据表文件；脚本病毒通常会exe文件。

　　如果遇到病毒感染了系统文件怎么办？如果删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决？

　　碰到这种情况，请记录相关的文件名称，并使用原始的操

　　哪些病毒有潜伏期的病毒是否具有潜伏期要视病毒的具体触发条件而定，只有那些触发条件是使用特定时间的病毒才具有潜伏期。
 
• 清除从被感染文件中清除病毒代码。
• 隔离加密无法清除的文件并将它存放到某个特定的位置，以避免该文件中的病毒代码的运行。
• 删除直接删除被感染的文件。
• 当载体文件被PE病毒、宏病毒或脚本病毒感染时，清除功能可以将病毒从被感染文件中除去。
• 如果恶意程序的类型是蠕虫、特洛伊木马或后门程序时，由于这一类型的病毒本身就是一个病毒程序，不会感染其他文件，因此需要备份的情况下，请采取隔离的方式，否则直接删除即可。
• 病毒只会感染程序文件或带有可执行代码的文件，任何支持可执行命令的文件格式都有可能被病毒感染。
• 病毒不会感染纯粹的数据文件——只会破坏它们。尽管病毒能够成功的将指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出来，而不会执行这些指令。
• 不会。计算机的系统信息存在的区域一般是通过输入/输出（I/O）端口进行访问的，不能被直接访问。当然，恶意程序可以更改CMOS中的数据，但不会通过其传播。
• 任何隐藏在CMOS中的病毒都会找机会去感染可执行体  ，然后将写在CMOS中的内容执行起来。
• 是的，有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。因此，尽量使用可信的介质或防毒软件安装程序。
• 如果你只是一个家庭用户，并且与其他用户的文件交换频率比较低的话，使用一种防毒软件就足够了。否则，可以使用多种防毒软件来检查系统以降低感染病毒的几率
• 相对于某些已经被控制，只在实验室里才有的病毒而言，有些病毒是在真实的系统中存在的、是在正在传播的。一般来说，一段已经被公布出来的病毒程序，但并没有真正的流行的话，我们不称其为“正在流行”（in the wild)病 

　　companion病毒是指病毒并不修改被感染的文件，而是创建一个新的文件。当用户执行原先的程序时，病毒程序就会被调用。当病毒程序退出时，再执行原程序，给用户造成一种正常的假象。

　　某些只检查现有文件的完整性（是否被改动）的防毒软件可能会检测不到这种病毒。

　　cavity病毒是指病毒会覆盖目标文件中的某些部分（通常是空数值），通过这种方式将自己隐藏在目标文件中，而不增加文件的长度。

　　纯粹的黑客程序（也称远程访问木马程序）是一种客户机——服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。
 
　　服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。
 
 　　分区扇区，又称主引导记录，是硬盘物理上的第一扇区(track 0, head 0, sector 1)。通常包含了分区表，硬盘的一些信息和一个小程序。分区表是一个64字节的数据结构，定义了计算机硬盘如何划  分为多个逻辑硬盘。
软盘没有分区表。

　　FDISK /MBR会清除主引导区记录。一般来说不一定会更改分区信息，但对普通用户而言，通常会造成严重后果。如果主引导区记录的最后两个字节不是55 AA的话，  FDISK /MBR这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话，请不要轻易使用FDISK /MBR 命令，因为你会丢失数据。

　　有两种方法：使用防毒软件或者运行FDISK /MBR命令。

　　大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑  运行FDISK /MBR。但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行FDISK /MBR命令后，你有可能无法访问硬盘上的数据。不一定。格式化（FORMAT）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。

　　大部分引导型病毒会感染硬盘的主引导记录。格式  化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。

　　可以。所有格式化过的磁盘都可以携带引导型病毒，因为任何正确格式化过的DOS磁盘在引导扇区内（可启动的或不可启动的）都有可执行代码，导致可以被病毒感染。使用DIR命令不会感染一个“干净的系统”，即使所浏览的目的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病毒，该命令有可能使“干净”的磁盘感染上病毒。  一般来说，不会。只读属性只会防住少数病毒，大部分病毒还是会通过覆盖的方式感染文件的。因此，虽然将可执行文件的属性设为只读是个好主意（可以防止误操作）但从防病毒角度讲，没什么大用。

　　一般来说，可以。在IBM PC（和某些兼容机）上的写保护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序，是软件，不可能违背一些通用的规则。如果启用了写保  护的软盘在被感染病毒的系统里使用，它也不会被感染。

　　绝大多数的DOS病毒不能在Windows环境下运行，但是有一小部分可以（在限制的条件下）。总的来说，以Windows专用内存方式运行的系统要比纯DOS对病毒的抵抗性能要好。这是因为许多病毒与Windows的内存管理方式不兼容。  进一步讲，大部分现存的病毒如果想要通过以前的方式来感染EXE文件的话，将会破坏这些Windows程序。但是许多仅感染COM文件的病毒在Windows提供的虚拟DOS环境下就会很好的运行。绝大多数情况下，恶意程序只有当其中的可执行代码被运行才会被激活。