一、 什么是计算机病毒
计算机病毒不同于生物医学上的“病毒”,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。由于它的所做所为与生物病毒很相像,人们才给它起了这么一个“响亮”的名字。与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的,有时一旦扩散出来后连制造者自己也无法控制。它已经不是一个简单的技术问题,而是一个严重的社会问题了。目前,全球已有的计算机病毒约7万余种。
下面我们将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。
生物病毒 计算机病毒
攻击生物机体特定细胞 攻击特定程序(所有*.COM 和*.EXE文 件[针对MS-DOS环境])
修改细胞的遗传信息,使病毒在被感染的细胞中繁殖 操纵程序使被感染程序能复制病毒程序
被感染的细胞不再重复感染,并且被感染的机体很长时间没有症状 很多计算机病毒只感染程序一次,被感染的程序很长时间可以正常运行
病毒并非感染所有的细胞,并且病毒可以产生变异 程序能够加上免疫标志,防止感染。但计算机病毒能够修改自身使免疫失效
二、 网络蠕虫和特洛伊木马程序
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络。而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失。2003年1月26日, 一种名为“2003蠕虫王”的蠕虫病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,互联网域名服务器瘫痪,造成网民浏览互联网网页及收发电子邮件的速度大幅减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障。国外专家估计,造成的直接经济损失在12亿美元以上。
网络蠕虫(worm)主要是利用操作系统和应用程序漏洞传播,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序,可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成:一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
特洛伊木马程序(Trojan horse)是一个隐藏在合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
三、计算机病毒的传播
计算机病毒的传播途径主要有:
1、通过文件系统传播;
2、通过电子邮件传播;
3、通过局域网传播;
4、通过互联网上即时通讯软件和点对点软件等常用工具传播;
5、利用系统、应用软件的漏洞进行传播;
6、利用系统配置缺陷传播,如弱口令、完全共享等;
7、利用欺骗等社会工程的方法传播。
四、计算机病毒的特征
计算机病毒作为一种特殊的程序具有以下特征:
(一)非授权可执行性,计算机病毒隐藏在合法的程序 或 数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序;
(二)隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉;
(三)传染性,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。
(四)潜伏性,计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。
(五)表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图象,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。
(六)可触发性,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
五、用户计算机中毒的24种症状
一是计算机系统运行速度减慢。
二是计算机系统经常无故发生死机。
三是计算机系统中的文件长度发生变化。
四是计算机存储的容量异常减少。
五是系统引导速度减慢。
六是丢失文件或文件损坏。
七是计算机屏幕上出现异常显示。
八是计算机系统的蜂鸣器出现异常声响。
九是磁盘卷标发生变化。
十是系统不识别硬盘。
十一是对存储系统异常访问。
十二是键盘输入异常。
十三是文件的日期、时间、属性等发生变化。
十四是文件无法正确读取、复制或打开。
十五是命令执行出现错误。
十六是虚假报警。
十七是换当前盘。有些病毒会将当前盘切换到C盘。
十八是时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
十九是WINDOWS操作系统无故频繁出现错误。
二十是系统异常重新启动。
二十一是一些外部设备工作异常。
二十二是异常要求用户输入密码。
二十三是WORD或EXCEL提示执行“宏”。
二十四是不应驻留内存的程序驻留内存。
六、计算机病毒防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
(一)防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
(二)查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括内存、文件、引导区(含主引导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
(三)解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区(含主引导区)、可执行文件、文档文件、网络等。解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。
七、计算机病毒诊断方法
通常计算机病毒的检测方法有两种:
(一)手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。
(二)自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。
八、如何防范特洛伊木马攻击
特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马,计算机一旦感染上木马程序,后果不堪设想。那么,对于木马的防范我们可以采取以下措施:
(一)运行反木马实时监控程序
我们在上网时,必需运行反木马实时监控程序。例如the cleaner,它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息。另外,也可采用一些专业的最新杀毒软件、个人防火墙进行监控。
(二)不要执行任何来历不明的软件
对于从网上下载的软件在安装、使用之前一定要用反病毒软件进行检查,确定没有木马程序再执行、使用。
(三)不要轻易打开不熟悉的邮件
现在,很多木马程序附加在邮件附件中,收邮件者一旦点击附件,它就会立即运行。所以,千万不要打开那些不熟悉的邮件,特别是标题有点乱的邮件,往往就是木马携带者。
(四)不要轻信他人
不要因为是我们的好朋友发来的软件就运行,因为我们不能确保他的电脑就不会有木马程序。当然,好朋友故意欺骗的可能性不大,但也许他(她)中了木马程序自己还不知道呢!况且今天的互联网到处充满危机,也许是别人冒名给我们发的邮件。
(五)不要随便下载软件、视频文件
不要随便在网上下载一些盗版软件和视频文件、特别是不可靠的小FTP站、公众新闻级、论坛或BBS上,因为这些地方正是新木马发布的首先之地。
(六)将windows资源管理器配置成始终显示扩展名
因为一些扩展名为:VBS、SHS、PIF的文件多为木马程序的特征文件,一经发现要立即删除,千万不要打开。
(七)尽量少用共享文件夹
如果计算机连接在互联网或局域网上,要少用,尽量不用共享文件夹,如果因工作等其他原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中。注意,千万不要把系统目录设置成共享!
(八)隐藏IP地址
我们在上网时,最好用一些工具软件隐藏自己计算机的IP地址。例如,使用ICQ时,可以进入“ICQMenuSecuri-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP address”选项上。
九、网络病毒的清理和防治
网络病毒的清理防治方法主要有:
1、全面地与互联网结合,对网络层、邮件客户端进行实时监控,防止病毒入侵;
2、快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;
3、病毒防治产品完善的在线升级,随时拥有最新的防病毒能力;
4、对病毒经常攻击的应用程序提供重点保护(如Office、Outlook、IE、ICQ/QQ等);
5、获取完整、即时的反病毒咨询,尽快了解新病毒的特点和解决方案。
十、如何防治病毒
根据计算机病毒的传播特点,防治计算机病毒关键是注意以下几点:
(一)要提高对计算机病毒危害的认识。计算机病毒再也不是象过去那样的无关紧要的小把戏了,在计算机应用高度发达的社会,计算机病毒对信息网络破坏造成的危害越来越大大。
(二)养成使用计算机的良好习惯。对重要文件必须保留备份、不在计算机上乱插乱用盗版光盘和来路不明的盘,经常用杀毒软件检查硬盘和每一张外来盘等。
(三)大力普及杀毒软件,充分利用和正确使用现有的杀毒软件,定期查杀计算机病毒,并及时升级杀毒软件。有的用户对杀毒软件从不升级,仍用几年前的老版本来对付新病毒;有的根本没有启用杀毒软件;还有的则不会使用杀毒软件的定时查杀等功能。
(四)及时了解计算机病毒的发作时间,及时采取措施。大多数计算机病毒的发作是有时间限定的。如CIH病毒的三个变种的发作时间就限定为4月26日、6月26日、每月26日。特别是在大的计算机病毒爆发前夕。
(五)开启计算机病毒查杀软件的实时监测功能,特别是有利于及时防范利用网络传播的病毒,如一些恶意脚本程序的传播。
(六)加强对网络流量等异常情况的监测,做好异常情况的技术分析。对于利用网络和操作系统漏洞传播的病毒,可以采取分割区域统一清除的办法,在清除后要及时采取打补丁和系统升级等安全措施。
(七)有规律的备份系统关键数据,建立应对灾难的数据安全策略,如灾难备份计划(备份时间表、备份方式、容灾措施)和灾难恢复计划,保证备份的数据能够正确、迅速地恢复。
十一、如何选择计算机病毒防治产品
一般用户应选择:
1、具有发现、隔离并清除病毒功能的计算机病毒防治产品;
2、产品是否具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;
3、多种方式及时升级;
4、统一部署防范技术的管理功能;
5、对病毒清除是否彻底,文件修复后是否完整、可用;
6、产品的误报、漏报率较低;
7、占用系统资源合理,产品适应性较好。
对于企业用户要选择能够从一个中央位置进行远程安装、升级,能够轻松、自动、快速地获得最新病毒代码、扫描引擎和程序文件,使维护成本最小化的产品;产品提供详细的病毒活动记录,跟踪病毒并确保在有新病毒出现时能够为管理员提供警报;为用户提供前瞻性的解决方案,防止新病毒的感染;通过基于web和Windows的图形用户界面提供集中的管理,最大限度地减少网络管理员在病毒防护上所花费的时间。
十二、计算机病毒防治管理办法
为了加强计算机病毒的防治管理工作,2000年公安部发布了《计算机病毒防治管理办法》。规定各级公安机关负责本行政区域内的计算机病毒防治管理工作。
规定禁止制作、传播计算机病毒,向社会发布虚假计算机病毒疫情,承担计算机病毒的认定工作的机构应由公安部公共信息网络安全监察部门批准,计算机信息系统的使用单位应当履行防治计算机病毒的职责。
网络基础知识问答
1. 什么是Internet
因特网是目前世界上影响最大的国际计算机网络,它是由分布于世界各地的众多计算机网络联网而成。它采用了TCP/IP网络协议将不同类型、不同规模、位于不同地理位置的计算机网络连接成一个整体。
2. internet提供的服务
1) 新闻讨论组,2)电子邮件E-mail;3)WWW世界(因特网世界);4)电子商务;5)网络电话。6)Internet地址与域名系统
2) IP地址:为了在网络环境下实现计算机之间的通信,网络中的任何一台计算机必须有一个地址,而且同一个网络中的地址不允许重复。在internet中,所有的计算机均称为主机,每台主机也必须有一个IP地址。IP地址是一个32位的二进制数,比如:61.161.75.68。每组数字范围应在0-255之间。
3) 域名:是Internet中计算机的名称。域名是由小数点分隔的几组英文字母加数字的字符组成。例如:
www.baidu.com。这也是我们讲的网址。www指的是该网站是世界性质的。baidu是网站的名称。Com指该网站是商业性质的网站。
3. 什么是网卡的MAC 地址(物理地址)?如何查找?
答: 网卡的物理地址是由网卡生产厂家烧入网卡的 EPROM,是全球唯一的48 比特的整数,
并以机器可读的方式存入主机接口中。
在Windows 系统中点选“开始”,然后选“运行”,弹出的对话框中输入“cmd ”,回车后会出现命令行窗口。在命令行窗口中输入 ipconfig /all,寻找名为 Physical Address的这一行,其后所显示的地址即为该设备的MAC 地址。
4. 如何设置IP 地址?
答: ⑴在桌面上用鼠标右键单击“网上邻居”图标,打开如图所示的“网络连接”窗口。
“网络连接”窗口
⑵用鼠标右键单击 “本地连接”图标,在弹出的快捷菜单中选择“属性”命令,打开如图所示的“本地连接属性”对话框。
“本地连接 属性”对话框中的“常规”选项卡
⑶单击“此连接使用下列项目”列表框中的“Internet 协议(TCP/IP)”选项,再单击“属性”按钮,或者直接双击“Internet 协议(TCP/IP)”,打开如图所示的“Internet 协议(TCP/IP) 属性”对话框。
“Internet 协议(TCP/IP) 属性”对话框
⑷选择“使用下面的IP 地址”项,并在IP 地址、子网掩码和默认网关中输入相应的数据。
⑹单击“确定”按钮
⑺关闭“网络连接”窗口,至此,IP 地址设置完成。请根据提示确定是否重启电脑。
5. 我们寝室的PC是通过一个小路由器联到寝室的网络端口,为什么不能正常访问网页?
答:小路由器问题、或代理阻断服务器中止了路由器的代理服务。
6. 我的计算机为什么突然无法上网了?
答:故障原因及解决步骤:
(1)室内HUB、交换机或宽带路由器故障。
这是我们遇到的最多的故障原因。由于目前市场上这些底端设备价格便宜,因此被广泛采用,但这些设备性能参差不齐,受高温、环境以及大访问量的影响,经常出现不工作现象。
因此,出现计算机不能上网,请先查看室内其他人是否可以上网,若均不能上网,可能是这些设备出现问题,观察它们的指示灯是否闪亮,一般重新启动一些这些设备即可解决,但这种现象还会不定期出现。建议更换或购置具有较为知名品牌的产品。
(2)物理线路故障。
首先检测的方法是计算机网线插孔的指示灯是否亮,或者看 Windows 的网络连接图标是否显示“´”。如出现“´ ”则表示连接不正确,请检查网线是否接好,或者网络是否正常,换一根网线试一试。网线没有问题,看看墙上的端口是否有问题,有条件可以使用别的计算机和网线连接到该端口上试试。如还不行,则检查本机与HUB 或交换机的网络接口是否松动。若是使用了质量较差的水晶头,建议将其更换。
(3)网卡驱动安装错误或网卡坏。
如果在上面的步骤中看不到“本地连接” , 右键打开“我的电脑”-->“ 管
理”-->“设备管理器”,查看是否存在“网络适配器”,如没有的话,可判断是你的网卡坏了、接触不良或网卡被氧化。打开“运行”-->CMD,在CMD 窗口中输入“ping 本机IP 地址”,如不通则网卡出现问题,很可能是网卡驱动没有安装。解决办法:将网卡取下来,用橡皮擦一下金属针脚,再重新插入,重复前面所述检查方法,如还不行,则更换新网卡并安装匹配的驱动程序。
(4)你或他人修改成了相同的IP 地址,此时会出现IP 地址冲突提示,因此不要尝试随意设置IP 地址。
(5)若以上均正常,请查看个人设置,是否存在以下问题:
IE 浏览器运行时报错,并异常退出,IE 出现问题;
安装防火墙后,防火墙设置不当;
是否使用了代理服务器;
IE 缓存了大量垃圾信息
(6)以上情况都被排除,请致电网络中心,狮子山校区84761007,成龙校区84481007,东校区84683332,我们将根据实际情况,给予技术支持或到现场维护。
7. 影响访问INTERNET的速度有哪些?
- 计算机的性能;
- 网络设备和网络媒介的传输性能;
- 通讯的两台计算机之间的网络带宽;一般来讲,通讯的两天计算机之间的物理位置近,经过的网络设备少,带宽大,速度较快;
8. 访问互联网的时间段;同时访问INTERNET的人数分布与时段有关,访问INTERNET的计算机越多速度越慢,半夜上网速度较快;
9. 我的计算机为什么流量突然增加、运行速度缓慢?
答:这是经常遇到的问题。你的计算机可能感染了蠕虫病毒,或者中了木马程序而被别人设
置了代理。用户可以用“ netstat –an ”命令察看自己的计算机是否往局域网其他计算机
发送数据包。 请及时升级病毒库并查杀病毒。
10. 我的计算机安装了防病毒软件,为什么还是发现病毒?
答:可能原因:无意间打开邮件中携带病毒的附件;下载的一些软件中可能含有病毒程序;
操作系统没有设置口令;管理员口令过于简单而被口令蠕虫病毒攻击;没有及时更新最新的
病毒定义库等。
11. 我该如何做好计算机防护?
答:在安装完整个系统以后,在日常使用计算机的过程中应该注意以下问题。
(1)定期升级系统安全补丁,定期升级病毒定义库,可以使用自动更新。
(2)不要轻易打开不安全的邮件附件,如“ .exe ”文件、“ .chm ”文件等。
(3)不要随便下载和安装互联网上的一些小的软件或者程序。
(4)定期用防病毒软件检测系统有没有病毒。
(5)关掉不必要的服务,比如说文件共享、message、远程终端服务等等。
(6)如果发现自己的计算机突然变慢或者流量异常,请立即用 netstat –an 命令来查
看计算机哪些端口开放,计算机是否向其他地址发送数据包。
(7)同时安装杀毒软件、防火墙、安全扫描工具才能保障您的计算机的安全运行。
【编辑: 】
(微信扫描分享)
