計(jì)算機(jī)病毒分析與對(duì)抗

1、計(jì)算機(jī)病毒分析與對(duì)抗暨 南 大 學(xué)本科生課程論文論文題目： 計(jì)算機(jī)病毒分析與對(duì)抗 學(xué) 院： 學(xué) 系： 專(zhuān) 業(yè)： 課程名稱(chēng)： 學(xué)生姓名、學(xué)號(hào)： 指導(dǎo)教師： 2013年 06 月 24日目錄摘要- 2關(guān)鍵詞- 2一、病毒發(fā)展史- 31.1計(jì)算機(jī)發(fā)展史上的第一- 31.2電腦病毒的發(fā)展階段- 31.3、病毒的演化及發(fā)展過(guò)程- 5二、 傳統(tǒng)病毒- 62.1大麻病毒- 62.2觸發(fā)引導(dǎo)型病毒- 8三、蠕蟲(chóng)病毒-143.1 計(jì)算機(jī)蠕蟲(chóng)病毒- 143.2 蠕蟲(chóng)病毒舉例- 173.3 計(jì)算機(jī)蠕蟲(chóng)病毒的探測(cè)和防御技術(shù)- 203.4 防范蠕蟲(chóng)病毒的措施- 21四、木馬病毒- 224.1木馬病毒- 224.2 木馬

2、病毒舉例- 274.3 防范與安全建議- 28五、病毒對(duì)抗-28參考文獻(xiàn)- 31附錄-31計(jì)算機(jī)病毒分析與對(duì)抗摘要 隨著計(jì)算機(jī)和互聯(lián)網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全受到嚴(yán)重的挑戰(zhàn)，來(lái)自計(jì)算機(jī)病毒和黑客攻擊及其他方面的威脅越來(lái)越大。其中，計(jì)算機(jī)病毒更是計(jì)算機(jī)安全中很難根治的主要威脅之一。本文主要內(nèi)容是介紹計(jì)算機(jī)病毒及其防治。 本文第一章闡述了計(jì)算機(jī)病毒發(fā)展史，介紹了計(jì)算機(jī)病毒發(fā)展的各個(gè)階段；第二章詳細(xì)闡述了計(jì)算機(jī)傳統(tǒng)病毒，其中包括大麻病毒和觸發(fā)引導(dǎo)型病毒，介紹了其特點(diǎn)、危害及傳染方式；第三章介紹了蠕蟲(chóng)病毒，其中主要講解了尼姆達(dá)蠕蟲(chóng)病毒和熊貓燒香的結(jié)構(gòu)及其工作原理及如何防治與查殺

3、；第四章主要介紹了木馬病毒，其主要內(nèi)容包括木馬的功能、結(jié)構(gòu)及其工作原理，以及木馬的分類(lèi)，木馬的發(fā)展階段，并介紹了幾種常見(jiàn)的木馬病毒。最后介紹了病毒的防范與查殺方法。關(guān)鍵詞計(jì)算機(jī)病毒；大麻病毒；引導(dǎo)型病毒；蠕蟲(chóng)病毒；木馬；尼姆達(dá)蠕蟲(chóng)病毒；熊貓燒香；病毒防范；一、病毒發(fā)展史1.1、計(jì)算機(jī)發(fā)展史上的第一：早在1949年，約翰馮諾依曼在他的論文自我繁殖的自動(dòng)機(jī)理論中從理論上論證了當(dāng)今計(jì)算機(jī)病毒的存在論。1983年，弗雷德科恩博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，第一次驗(yàn)證了計(jì)算機(jī)病毒的存在。1984年，科恩博士發(fā)表了一篇名為電腦病毒 理論與實(shí)驗(yàn)（Computer Viruses Theo

4、ry and Experiments），第一次從理論和實(shí)踐兩個(gè)方面完整闡述了計(jì)算機(jī)病毒。也描述了他與其他專(zhuān)家對(duì)電腦病毒研究的實(shí)驗(yàn)成果。 1986年，兩個(gè)巴基斯坦兄弟為了打擊盜版軟件的使用者設(shè)計(jì)了一個(gè)名為brain的病毒，這是世界上流行的第一個(gè)真正的病毒。1988年，羅伯特塔潘莫里斯編寫(xiě)了世界上第一個(gè)能不斷自我復(fù)制并通過(guò)網(wǎng)絡(luò)傳播的蠕蟲(chóng)病毒。1.2電腦病毒的發(fā)展階段 在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。同時(shí)，操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)?？偟恼f(shuō)來(lái)，病毒可以分為以下幾個(gè)發(fā)展階段：1.

5、DOS引導(dǎo)階段 1987年，電腦病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。由于，那時(shí)的電腦硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤(pán)啟動(dòng)后使用。而引導(dǎo)型病毒正是利用了軟盤(pán)的啟動(dòng)原理工作，修改系統(tǒng)啟動(dòng)扇區(qū)，在電腦啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤(pán)讀寫(xiě)中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播。2.DOS可執(zhí)行階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作，如“耶路撒冷”，“星期天”等病毒。可執(zhí)行型病毒的病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。1990年，發(fā)展

6、為復(fù)合型病毒，可感染COM和EXE 文件。3.伴隨體型階段 1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的是“金蟬”病毒，它感染EXE文件的同時(shí)會(huì)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴隨體；它感染COM文件時(shí)，改為原來(lái)的COM 文件為同名的EXE文件，在產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM。這樣，在DOS加載文件時(shí)，病毒會(huì)取得控制權(quán)，優(yōu)先執(zhí)行自己的代碼。該類(lèi)病毒并不改變?cè)瓉?lái)的文件內(nèi)容，日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可，非常容易。其典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢(xún)問(wèn)用戶(hù)名稱(chēng)和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。4.變形階段 1

7、994年，匯編語(yǔ)言得到了長(zhǎng)足的發(fā)展。要實(shí)現(xiàn)同一功能，通過(guò)匯編語(yǔ)言可以用不同的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。而典型的多形病毒幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類(lèi)病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。5.變種階段 1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和無(wú)關(guān)

8、命令，也不影響運(yùn)算的結(jié)果。這樣，某些解碼算法可以由生成器生成不同的變種。其代表作品“病毒制造機(jī)”VCL，它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查解時(shí)不能使用傳統(tǒng)的特征識(shí)別法，而需要在宏觀上分析命令，解碼后查解病毒，大大提高了復(fù)雜程度。6.網(wǎng)絡(luò)、蠕蟲(chóng)階段 1995年，隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改進(jìn)。在Windows操作系統(tǒng)中，“蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。7.窗口階段 1996年，隨著Windows的日益普及，利用Windows進(jìn)行

9、工作的病毒開(kāi)始發(fā)展，它們修改（NE，PE）文件，典型的代表是DS.3873，這類(lèi)病毒的急智更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。8.宏病毒階段 1996年，隨著MS Office功能的增強(qiáng)及盛行，使用Word宏語(yǔ)言也可以編制病毒，這種病毒使用類(lèi)Basic 語(yǔ)言，編寫(xiě)容易，感染W(wǎng)ord文件文件。由于Word文件格式?jīng)]有公開(kāi)，這類(lèi)病毒查解比較困難。9.互聯(lián)網(wǎng)、感染郵件階段 1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開(kāi)了這些郵件，電腦就有可能中毒。10.爪哇、郵件炸彈階段 1997年，隨著互聯(lián)網(wǎng)上Ja

10、va的普及，利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開(kāi)始出現(xiàn)，典型的代表是JavaSnake病毒。還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它就嚴(yán)重影響因特網(wǎng)的效率。1.3、病毒的演化及發(fā)展過(guò)程當(dāng)前電腦病毒的最新發(fā)展趨勢(shì)主要可以歸結(jié)為以下幾點(diǎn)：1.病毒在演化任何程序和病毒都一樣，不可能十全十美，所以一些人還在修改以前的病毒，使其功能更完善，病毒在不斷的演化，使殺毒軟件更難檢測(cè)。2.千奇百怪病毒出現(xiàn)現(xiàn)在操作系統(tǒng)很多，因此，病毒也瞄準(zhǔn)了很多其他平臺(tái)，不再僅僅局限于Microsoft Windows平臺(tái)了。3.越來(lái)越隱蔽一些新病毒變得越來(lái)越隱蔽，同時(shí)新型電腦病毒也越來(lái)越

11、多，更多的病毒采用復(fù)雜的密碼技術(shù)，在感染宿主程序時(shí)，病毒用隨機(jī)的算法對(duì)病毒程序加密，然后放入宿主程序中，由于隨機(jī)數(shù)算法的結(jié)果多達(dá)天文數(shù)字，所以，放入宿主程序中的病毒程序每次都不相同。這樣，同一種病毒，具有多種形態(tài)，每一次感染，病毒的面貌都不相同，猶如一個(gè)人能夠“變臉”一樣，檢測(cè)和殺除這種病毒非常困難。同時(shí)，制造病毒和查殺病毒永遠(yuǎn)是一對(duì)矛盾，既然殺毒軟件是殺病毒的，而就有人卻在搞專(zhuān)門(mén)破壞殺病毒軟件的病毒，一是可以避過(guò)殺病毒軟件，二是可以修改殺病毒軟件，使其殺毒功能改變。因此，反病毒還需要很多專(zhuān)家的努力！二、傳統(tǒng)病毒傳統(tǒng)的計(jì)算機(jī)病毒鼎盛時(shí)期是20世紀(jì)80年代中期到90年代末，隨著互聯(lián)網(wǎng)的發(fā)展逐漸被

12、網(wǎng)絡(luò)蠕蟲(chóng)以及一些網(wǎng)絡(luò)為傳播途徑的病毒所取代。傳統(tǒng)病毒的代表有巴基斯坦智囊（Brain）、大麻、磁盤(pán)殺手（）、等。傳統(tǒng)病毒一百年由三個(gè)組要模塊組成，包括啟動(dòng)模塊、傳染模塊和破壞模塊。當(dāng)系統(tǒng)執(zhí)行了感染病毒的文件時(shí)，病毒的啟動(dòng)模塊開(kāi)始駐留在系統(tǒng)內(nèi)存中。傳染模塊和破壞模塊的發(fā)作均為條件觸發(fā)，當(dāng)滿(mǎn)足了傳染條件，病毒開(kāi)始傳染別的文件。滿(mǎn)足了破壞條件，病毒就開(kāi)始破壞系統(tǒng)。由于課本頁(yè)介紹了病毒，在此不重復(fù)介紹，介紹另一種病毒：大麻。2.1、大麻病毒：大麻病毒又叫新西蘭病毒，因?yàn)樽钤缭?988年初，在新西蘭的惠靈頓市就有發(fā)現(xiàn)大麻病毒的報(bào)道。那時(shí)的大麻病毒只感染360KB的軟盤(pán)，不感染硬盤(pán)。后來(lái)的大麻變種中，大部

13、分都感染硬盤(pán)，有的還改動(dòng)了顯示信息，有的則把顯示信息語(yǔ)句之前的條件判斷修改成每次啟動(dòng)時(shí)，病毒都在屏幕上顯示出下列字符串：YourPCisnowStoned!LEGALISEMARIJUANA!而不是原始設(shè)計(jì)的當(dāng)系統(tǒng)時(shí)鐘計(jì)數(shù)器記到8的倍數(shù)時(shí)才顯示上述信息。2.1.1危害大麻病毒很短小，總共不到400個(gè)字節(jié)的代碼就完成駐留內(nèi)存、修改中斷向量、區(qū)別軟硬盤(pán)、感染軟盤(pán)、感染硬盤(pán)、引導(dǎo)原硬盤(pán)主引導(dǎo)扇區(qū)、顯示時(shí)機(jī)判斷、顯示信息以及大麻病毒感染標(biāo)志判斷以防止重復(fù)感染等眾多功能。2.1.2特點(diǎn)大約在1989年大麻病毒傳入我國(guó)，成為在當(dāng)時(shí)四處傳播的一種主要病毒。大麻病毒像其他許多引導(dǎo)區(qū)病毒一樣，對(duì)軟盤(pán)的感染并不去

14、判斷該軟盤(pán)是否含有DOS的系統(tǒng)文件，即不理會(huì)該軟盤(pán)是否為可啟動(dòng)的系統(tǒng)盤(pán)，因此造成不僅系統(tǒng)盤(pán)會(huì)被感染，一般的數(shù)據(jù)盤(pán)也會(huì)被感染。當(dāng)染有大麻病毒的軟盤(pán)插在A：驅(qū)動(dòng)器中，在系統(tǒng)重新啟動(dòng)時(shí)首先嘗試讀A：盤(pán)。只要軟盤(pán)的引導(dǎo)扇區(qū)內(nèi)容被讀進(jìn)PC機(jī)，即使啟動(dòng)不成功，大麻也已經(jīng)駐留在內(nèi)存中，可以繼續(xù)去感染硬盤(pán)和他未染病毒的軟盤(pán)了。PC機(jī)將隱藏在軟盤(pán)引導(dǎo)扇區(qū)的病毒讀入內(nèi)存只是一瞬間的事情，往往在用戶(hù)意識(shí)到自己在啟動(dòng)PC機(jī)時(shí)插錯(cuò)了軟盤(pán)，或根本不該在軟驅(qū)中插軟盤(pán)時(shí)，已經(jīng)為時(shí)已晚了。許許多多種引導(dǎo)區(qū)型毒就是靠這種方式感染進(jìn)硬盤(pán)的。PC機(jī)硬盤(pán)內(nèi)原本是無(wú)毒的，因?yàn)橐淮闻既坏牟僮?，使引?dǎo)區(qū)型病毒從軟盤(pán)傳染進(jìn)入了硬盤(pán)，這是很多用

15、戶(hù)都經(jīng)歷過(guò)的。經(jīng)過(guò)分析，我們知道大麻病毒與其他許多引導(dǎo)區(qū)型病毒一樣，都只能從軟盤(pán)傳染到硬盤(pán)2.1.3傳染方式從傳染方式上講，大麻病毒是在系統(tǒng)執(zhí)行讀操作時(shí)進(jìn)行傳染的。由于磁盤(pán)讀寫(xiě)中斷被大麻病毒接管，因此任何磁盤(pán)操作都會(huì)被它過(guò)濾一遍，讀磁盤(pán)是最普遍的操作，大麻病毒在判斷到有讀盤(pán)操作發(fā)生時(shí)，就調(diào)用傳染子程序，對(duì)那些尚未被大麻病毒感染過(guò)的磁盤(pán)進(jìn)行傳染。判斷的標(biāo)志是大麻病毒自身的啟動(dòng)程序代碼，因此很難為正確的引導(dǎo)扇區(qū)啟動(dòng)程序制作大麻病毒的免疫標(biāo)志。在這里我們也可以看到要制作出可以成為各種病毒都被通用的免疫標(biāo)志是不可能的。我們不能依靠制作免疫標(biāo)志的方法來(lái)抵御電腦病毒。作為大麻病毒程序本身，其內(nèi)部并沒(méi)有刻意

16、編寫(xiě)的破壞代碼，如將FAT清零、格式化磁盤(pán)等，無(wú)法將其劃分為惡性病毒，但實(shí)際上大麻病毒卻能引來(lái)數(shù)據(jù)混亂、文件丟失等。對(duì)軟盤(pán)來(lái)講，大麻病毒將原DOS引導(dǎo)扇區(qū)搬移到0道、1面、3扇區(qū)中，原扇區(qū)的內(nèi)容被覆蓋掉。如果該扇區(qū)含有有用信息，這將造成損失，在360KB容量的軟盤(pán)上，這個(gè)扇區(qū)是目錄區(qū)最后一個(gè)扇區(qū)，若根目錄下的文件數(shù)目不是很多時(shí)，不會(huì)用到這個(gè)扇區(qū)，也就不會(huì)有影響，對(duì)1)2MB容量的軟盤(pán)，大麻病毒占用的這個(gè)扇區(qū)位于目錄區(qū)的第三扇區(qū)，而不是最后一個(gè)扇區(qū)，這時(shí)存放在這個(gè)扇區(qū)的16個(gè)文件就全部丟失了，而根目錄里只有前兩個(gè)扇區(qū)內(nèi)的32個(gè)文件未受觸動(dòng)。第3扇區(qū)以后的扇區(qū)內(nèi)容因第三扇區(qū)被破壞而使存放在其中的件

17、也無(wú)法被找到。這是大麻病毒覆蓋正常扇區(qū)的情況。反過(guò)來(lái)，若該盤(pán)是系統(tǒng)引導(dǎo)盤(pán)，被大麻感染之后，原引導(dǎo)扇被寫(xiě)到0磁道、1柱面、3扇區(qū)，當(dāng)盤(pán)上建立的文件數(shù)逐漸增加，覆蓋了占據(jù)目錄區(qū)的原引導(dǎo)扇區(qū)內(nèi)容時(shí)，該盤(pán)就由能引導(dǎo)的啟動(dòng)盤(pán)變成不能引導(dǎo)的啟動(dòng)盤(pán)了。對(duì)硬盤(pán)來(lái)講，大麻病毒可能不造成任何破壞，也可能會(huì)毀壞數(shù)據(jù)，這取決于盤(pán)上安裝的DOS版本號(hào)。硬盤(pán)劃分分區(qū)時(shí)，有一個(gè)保留區(qū)，也叫隱藏區(qū)。DOS2)x的FDISK劃分分區(qū)時(shí)，隱藏區(qū)的扇區(qū)數(shù)目為o，此時(shí)大麻病毒在傳染硬盤(pán)時(shí)，把原主引導(dǎo)扇區(qū)搬到o道0面7扇區(qū)，該扇區(qū)正好是硬盤(pán)C:分區(qū)的FAT所在扇區(qū)。在這種情況下，不是造成由于FAT被破壞引起數(shù)據(jù)丟失，就是占據(jù)該位置的主

18、引導(dǎo)區(qū)被破壞而引起硬盤(pán)不能啟動(dòng)。DOS3)x的FDISK將整個(gè)一個(gè)磁道都劃為隱藏區(qū)，除主引導(dǎo)扇區(qū)所處的第一扇區(qū)有用外，其他扇區(qū)作為保留，不放DOS信息。這種情況下，硬盤(pán)上即使感染上了大麻病毒，系統(tǒng)里的數(shù)據(jù)也不受損傷，因?yàn)?道0面7扇區(qū)是保留區(qū)內(nèi)的扇區(qū)。在內(nèi)存中，大麻病毒占用了2KB內(nèi)存，實(shí)際只占用了1KB。檢查大麻病毒時(shí)，要在內(nèi)存中無(wú)病毒的情況下進(jìn)行，不然剛剛清掉病毒又馬上會(huì)被感染上。2.2、演示觸發(fā)引導(dǎo)型病毒：引導(dǎo)型病毒取得控制權(quán)的過(guò)程：1、 正常的引導(dǎo)過(guò)程MBR和分區(qū)表裝載DOS引導(dǎo)區(qū)運(yùn)行DOS引導(dǎo)程序加載IO.sysMSDOS.sys加載、用被感染的軟盤(pán)啟動(dòng)引導(dǎo)型病毒從軟盤(pán)加載到內(nèi)存尋找

19、DOS引導(dǎo)區(qū)的位置將引導(dǎo)區(qū)移動(dòng)到別的位置病毒將自己寫(xiě)入原引導(dǎo)區(qū)的位置、 病毒在啟動(dòng)時(shí)獲得控制權(quán)MBR和分區(qū)表將病毒的引導(dǎo)程序加載入內(nèi)存運(yùn)行病毒引導(dǎo)程序病毒駐留內(nèi)存原引導(dǎo)程序執(zhí)行并加載系統(tǒng)DOS運(yùn)行時(shí)病毒由硬盤(pán)感染軟盤(pán)的實(shí)現(xiàn)。 第一步：環(huán)境安裝安裝虛擬機(jī)VMWare，在虛擬機(jī)環(huán)境內(nèi)安裝MS-DOS 7.10環(huán)境。第二步：軟盤(pán)感染硬盤(pán)1、運(yùn)行虛擬機(jī)，檢查目前虛擬硬盤(pán)是否含有病毒。如圖表示沒(méi)有病毒正常啟動(dòng)硬盤(pán)的狀態(tài)。2、拷貝含有病毒的虛擬軟盤(pán)virus.img。3、將含有病毒的軟盤(pán)插入虛擬機(jī)引導(dǎo)，可以看到閃動(dòng)的字符*_*，如左圖4。按任意鍵進(jìn)入下圖畫(huà)面。第三步：驗(yàn)證硬盤(pán)已經(jīng)被感染1、 取出虛擬軟盤(pán)，

20、通過(guò)硬盤(pán)引導(dǎo)，再次出現(xiàn)了病毒的畫(huà)面。2、按任意鍵后正常引導(dǎo)了dos系統(tǒng)?？梢?jiàn)，硬盤(pán)已經(jīng)被感染。第四步：硬盤(pán)感染軟盤(pán)1、下載empty.img，并且將它插入虛擬機(jī)，啟動(dòng)電腦，由于該盤(pán)為空，如圖顯示。2、取出虛擬軟盤(pán)，從硬盤(pán)啟動(dòng)，通過(guò)命令format A: /q快速格式化軟盤(pán)。可能提示出錯(cuò)，這時(shí)只要按R即可。如圖所示。3、成功格式化后的結(jié)果如圖所示。4、不要取出虛擬軟盤(pán)，重新啟動(dòng)虛擬機(jī)，這時(shí)是從empty.img引導(dǎo)，可以看到病毒的畫(huà)面，如下圖（1）所示。按任意鍵進(jìn)入圖（2）畫(huà)面?？梢?jiàn)，病毒已經(jīng)成功由硬盤(pán)傳染給了軟盤(pán)。 圖（1）圖（2）三、 蠕蟲(chóng)病毒3.1計(jì)算機(jī)蠕蟲(chóng)病毒3.11定義蠕蟲(chóng)病毒產(chǎn)生于2

21、0世紀(jì)80年代后期，鼎盛時(shí)期是從20世紀(jì)90年代末開(kāi)始，而且迅速成為了計(jì)算機(jī)病毒的主流。計(jì)算機(jī)蠕蟲(chóng)是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序,它通過(guò)不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳播。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)蠕蟲(chóng)和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，這兩個(gè)主要特性上的一致，導(dǎo)致二者之間是非常難區(qū)分的，尤其是近年來(lái)，計(jì)算機(jī)蠕蟲(chóng)、計(jì)算機(jī)病毒和木馬程序之間的界限已不在明顯，三者相互滲透，優(yōu)勢(shì)互補(bǔ)。一方面越來(lái)越多的病毒采取了部分蠕蟲(chóng)的技術(shù)，另一方面具有破壞性的蠕蟲(chóng)也采

22、取了部分病毒和木馬技術(shù)。例如，N i m d a 蠕蟲(chóng)病毒和CodeRed 蠕蟲(chóng)病毒即以蠕蟲(chóng)的傳播方式去感染別的計(jì)算機(jī)，影響網(wǎng)絡(luò)，又以病毒的方式在被感染計(jì)算機(jī)上執(zhí)行惡意程序，破壞被感染計(jì)算機(jī)上的文件，最后利用木馬程序在被感染主機(jī)上設(shè)置后門(mén)，供其他蠕蟲(chóng)病毒利用。綜上所述，計(jì)算機(jī)蠕蟲(chóng)病毒是一種融合計(jì)算機(jī)蠕蟲(chóng)、計(jì)算機(jī)病毒和木馬技術(shù)的新技術(shù)，它無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行，通過(guò)大規(guī)模的掃描獲取網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)的控制權(quán)進(jìn)行復(fù)制和傳播，在已感染的計(jì)算機(jī)中設(shè)置后門(mén)或執(zhí)行惡意代碼破壞計(jì)算機(jī)系統(tǒng)或信息。它是通過(guò)在互聯(lián)網(wǎng)環(huán)境下復(fù)制自身進(jìn)行傳播，蠕蟲(chóng)病毒的傳播目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)，傳播條途徑主要包括局域

23、網(wǎng)內(nèi)的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)和大量存在著漏洞的服務(wù)器等?？梢哉f(shuō)蠕蟲(chóng)病毒是以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象。3.12計(jì)算機(jī)蠕蟲(chóng)病毒與普通病毒的區(qū)別。蠕蟲(chóng)和普通病毒不同的一個(gè)特征是，蠕蟲(chóng)病毒往往能夠利用漏洞。一般來(lái)說(shuō)，漏洞可以分為軟件漏洞和人為缺陷，軟件漏洞主要指程序員由于習(xí)慣不規(guī)范、錯(cuò)誤理解或想當(dāng)然，在軟件中留下存在安全隱患的代碼，如緩沖區(qū)漏洞、微軟IE和Outlook的自動(dòng)執(zhí)行漏洞等。認(rèn)為缺陷主要指的是計(jì)算機(jī)用戶(hù)的疏忽，這就是所謂的社會(huì)工程學(xué)的問(wèn)題，如一封標(biāo)題為求職信息的郵件時(shí)，大多數(shù)人都會(huì)抱著好奇的心理去點(diǎn)擊它，則求職信病毒將順利侵入，蠕蟲(chóng)病毒的攻擊和傳播主要就是利用漏洞。下

24、面通過(guò)一個(gè)表格來(lái)比較普通病毒和蠕蟲(chóng)病毒比較方面普通病毒蠕蟲(chóng)病毒存在形式寄生獨(dú)立個(gè)體復(fù)制形式插入到宿主程序(文件)中自身的拷貝傳染機(jī)制宿主程序運(yùn)行系統(tǒng)存在漏洞觸發(fā)傳染計(jì)算機(jī)使用者程序自身影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能計(jì)算機(jī)使用者在傳播中角色病毒傳播中的關(guān)鍵環(huán)節(jié)無(wú)關(guān)對(duì)抗的主要主體計(jì)算機(jī)使用者、反病毒廠商系統(tǒng)提供商、網(wǎng)絡(luò)管理人員3.13計(jì)算機(jī)蠕蟲(chóng)病毒的傳播方式已知道蠕蟲(chóng)病毒的傳播方式大致可以分為：郵件。當(dāng)今社會(huì)，e-mail 是人們交往和工作最主要的方式之一，也是網(wǎng)絡(luò)應(yīng)用最為頻繁的服務(wù)之一，因此蠕蟲(chóng)病毒也借用該手段進(jìn)行傳播，例如I-Worm。局域網(wǎng)。大部分的網(wǎng)絡(luò)安全時(shí)間都是來(lái)自與局域望內(nèi)部，蠕蟲(chóng)

25、病毒在傳播過(guò)程中也首先在本地局域網(wǎng)中自動(dòng)搜索可寫(xiě)目錄直接修改感染機(jī)器的注冊(cè)表，使得能自動(dòng)運(yùn)行。系統(tǒng)漏洞。大部分的蠕蟲(chóng)病毒都是針對(duì)系統(tǒng)漏洞進(jìn)行大規(guī)模的傳播、感染。例如N i m d a 蠕蟲(chóng)病毒等。3.14 計(jì)算機(jī)蠕蟲(chóng)病毒的巨大危害從1988 年首例蠕蟲(chóng)（Morris）事件以來(lái)，統(tǒng)計(jì)到的Internet 安全威脅事件每年以指數(shù)增長(zhǎng)，近年來(lái)的增長(zhǎng)態(tài)勢(shì)變得的尤為迅猛。計(jì)算機(jī)蠕蟲(chóng)病毒的危害是巨大的，主要體現(xiàn)在以下五個(gè)方面：消耗被感染主機(jī)的系統(tǒng)資源以及破壞系統(tǒng)文件和信息資源； 消耗網(wǎng)絡(luò)上的帶寬造成網(wǎng)絡(luò)阻塞甚至網(wǎng)絡(luò)癱瘓；消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源，如路由器和交換機(jī)；降低被感染主機(jī)和網(wǎng)絡(luò)設(shè)備的系統(tǒng)性能；與黑客技術(shù)

26、融合，造成更大的安全隱患。例如泄露機(jī)密信息，特別是金融和政府的信息。3.15計(jì)算機(jī)蠕蟲(chóng)病毒的發(fā)展趨勢(shì)從Morris 蠕蟲(chóng)到現(xiàn)在基于P2P 的QQ蠕蟲(chóng)，蠕蟲(chóng)病毒總是隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步而發(fā)展，2000 年至今，出現(xiàn)的蠕蟲(chóng)病毒數(shù)不勝數(shù)（redcode ,nimda 等等），同時(shí)Internet 上每天都充斥著大量的蠕蟲(chóng)病毒。蠕蟲(chóng)病毒隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步也出現(xiàn)了新的變化，傳播多樣化。蠕蟲(chóng)病毒不再是以?xún)H有的傳播方式進(jìn)行傳播，它利用偽裝等更多的技術(shù)傳播。利用偽裝技術(shù)，蠕蟲(chóng)病毒藏身于一些合法的制作工具或著名公司的系統(tǒng)工具，利用這些工具制作的軟件包就包含了蠕蟲(chóng)病毒，從而達(dá)到傳染目的。智能化。蠕蟲(chóng)病毒已不再需

27、要人為的動(dòng)作進(jìn)行傳播，它結(jié)合人工智能技術(shù)，蠕蟲(chóng)的傳播，感染，破壞都是自動(dòng)完成，而且朝著反病毒軟件的方向發(fā)展。3.16計(jì)算機(jī)蠕蟲(chóng)病毒的功能結(jié)構(gòu)模型一般地，蠕蟲(chóng)病毒的功能模塊可以分為兩部分：基本功能模塊和擴(kuò)展功能模塊。其中，基本功能模塊分為5 個(gè)部分：搜索模塊、攻擊模塊、傳輸模塊、信息收集模塊和繁殖模塊；擴(kuò)展功能模塊包括4 個(gè)部分：通信模塊、隱藏模塊、破壞模塊和控制模塊。該模型體現(xiàn)了當(dāng)前蠕蟲(chóng)病毒的功能結(jié)構(gòu)，其中實(shí)現(xiàn)了基本功能模塊的蠕蟲(chóng)病毒能夠很好的完成傳播復(fù)制流程，而包含擴(kuò)展功能模塊的蠕蟲(chóng)病毒則有更強(qiáng)的生存能力和破壞能力。3.17計(jì)算機(jī)蠕蟲(chóng)病毒的功能結(jié)構(gòu)模型分析首先，計(jì)算機(jī)蠕蟲(chóng)病毒的基本功能即傳播

28、復(fù)制過(guò)程可以分為四個(gè)階段：系統(tǒng)掃描、進(jìn)行攻擊、現(xiàn)場(chǎng)處理、自我復(fù)制,如圖一所示。網(wǎng)絡(luò)上已感染計(jì)算機(jī)蠕蟲(chóng)病毒的主機(jī)通過(guò)特定的掃描機(jī)制（例如：選擇性隨機(jī)掃描、順序掃描等）去尋找存在漏洞的主機(jī)，當(dāng)掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，進(jìn)行攻擊，攻擊部分主要完成計(jì)算機(jī)蠕蟲(chóng)病毒主體的遷移工作以及對(duì)計(jì)算機(jī)系統(tǒng)信息和文件的破壞；計(jì)算機(jī)蠕蟲(chóng)病毒進(jìn)入系統(tǒng)后，要做現(xiàn)場(chǎng)處理工作，例如修改系統(tǒng)日志、信息收集和自我隱藏等；最后一步是自我復(fù)制，生成多個(gè)副本重復(fù)上述流程。其次，計(jì)算機(jī)蠕蟲(chóng)病毒的擴(kuò)展功能主要是實(shí)現(xiàn)計(jì)算機(jī)蠕蟲(chóng)病毒的攻擊破壞能力，不同的蠕蟲(chóng)病毒其基本功能都基本上一致，但是他們的擴(kuò)展功能卻不盡相同。要認(rèn)識(shí)、探測(cè)和防御蠕蟲(chóng)病毒就

29、要充分了解蠕蟲(chóng)病毒的行為特征，這里我門(mén)把蠕蟲(chóng)病毒的行為特征歸納為四個(gè)方面：主動(dòng)攻擊、利用漏洞、行蹤隱藏和反復(fù)感染。計(jì)算機(jī)蠕蟲(chóng)病毒被釋放以后，從搜索漏洞到利用漏洞進(jìn)行系統(tǒng)攻擊及復(fù)制副本，整個(gè)流程都是由蠕蟲(chóng)病毒自身主動(dòng)完成。計(jì)算機(jī)蠕蟲(chóng)病毒在搜索漏洞時(shí)將發(fā)起大量的連接以判斷計(jì)算機(jī)是否存在、特定的應(yīng)用服務(wù)是否存在、漏洞是否存在等等。進(jìn)入系統(tǒng)后，蠕蟲(chóng)病毒通過(guò)修改系統(tǒng)日志隱藏自己，最后復(fù)制蠕蟲(chóng)病毒副本，下載和運(yùn)行惡意代碼。被感染主機(jī)作為一個(gè)新的攻擊源去攻擊別的計(jì)算機(jī)。3.2 蠕蟲(chóng)病毒舉例3.2.1典型的蠕蟲(chóng)病毒(1) “震蕩波”Worm. sasser 蠕蟲(chóng)病毒中毒后的系統(tǒng)將開(kāi)啟上百個(gè)線(xiàn)程去攻擊其他網(wǎng)上的

30、用戶(hù)，可造成機(jī)器運(yùn)行緩慢、網(wǎng)絡(luò)堵塞，并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。(2) “網(wǎng)絡(luò)天空”Worm. netsky 蠕蟲(chóng)病毒病毒利用系統(tǒng)收信郵件地址，瘋狂的亂發(fā)病毒郵件大量浪費(fèi)網(wǎng)絡(luò)資源， 使眾多郵件服務(wù)器癱瘓，因此讓受感染的系統(tǒng)速度變慢。(3) “災(zāi)飛”Worm. Zaf i 病毒該病毒可以阻礙網(wǎng)絡(luò)暢通、使防病毒軟件失效、并偽裝成著名MP3 播放器的可執(zhí)行文件使用戶(hù)感染。中止大量反病毒軟件，并用病毒文件替換反病毒軟件的主程序，導(dǎo)致反病毒軟件無(wú)法使用。(4) QQ 消息機(jī)木馬Troj. QQmsg 病毒，和網(wǎng)游、網(wǎng)銀盜號(hào)木馬QQ 消息機(jī)，利用IE 漏洞傳播，每一個(gè)病毒傳播范范圍不廣，但是其變種頻出。

31、網(wǎng)游盜號(hào)木馬病毒泛濫，其變種繁多，針對(duì)各類(lèi)網(wǎng)絡(luò)游戲的木馬病毒每天都在增加。它們會(huì)偽裝成工具欺騙用戶(hù)運(yùn)行，捆綁到網(wǎng)游外掛，利用QQ 消息機(jī)的傳播特性等多種手段進(jìn)人用戶(hù)的系統(tǒng)，通過(guò)監(jiān)視用戶(hù)系統(tǒng)的一舉一動(dòng)伺機(jī)盜取用戶(hù)的網(wǎng)游帳號(hào)、密碼和網(wǎng)絡(luò)銀行的帳號(hào)、密碼。(5) 求職信Worm. Klez. E 及變種“求職信”變種病毒是一種電子郵件蠕蟲(chóng)病毒，病毒發(fā)作后會(huì)感染電腦中的Word 文檔和Excel 文檔，且遭受感染的文檔和數(shù)據(jù)根本無(wú)法恢復(fù)。同時(shí)，該病毒將終止反病毒軟件的運(yùn)行，并將其從電腦中刪除。(6) 沖擊波殺手Worm.MSBlaster 及其變種“沖擊波殺手”這個(gè)利用微軟RPC 漏洞進(jìn)行傳播的蠕蟲(chóng)病

32、毒至少攻擊了全球80%的Windows 用戶(hù)，使他們的計(jì)算機(jī)無(wú)法工作并反復(fù)重啟，大量企業(yè)用戶(hù)也未能幸免。該病毒還引發(fā)DoS 攻擊，使多個(gè)國(guó)家的互聯(lián)網(wǎng)也受到相當(dāng)影響。電腦不能正常復(fù)制粘貼。系統(tǒng)網(wǎng)絡(luò)連接數(shù)增大，系統(tǒng)反應(yīng)奇慢。3.2.2尼姆達(dá)蠕蟲(chóng)病毒以尼姆達(dá)蠕蟲(chóng)（Worms.Nimda)病毒為例分析一下蠕蟲(chóng)病毒。2001年9月18日尼姆達(dá)病毒在全球蔓延，它能夠通過(guò)多種傳播渠道進(jìn)行傳播，傳染性極強(qiáng)，同時(shí)破壞力也極大。尼姆達(dá)病毒的傳播幾乎涵蓋了目前病毒傳播的所有途徑，主要包括以下方面：1）攻擊Web服務(wù)器，用戶(hù)通過(guò)網(wǎng)易額感染 尼姆達(dá)病毒會(huì)檢測(cè)Internet,試圖找到Web服務(wù)器，找到之后蠕蟲(chóng)便會(huì)利用已

33、知的系統(tǒng)漏洞來(lái)攻擊改服務(wù)器，如果成功，蠕蟲(chóng)將會(huì)修改該站點(diǎn)的Web頁(yè)信息，并上傳病毒。Web服務(wù)器中毒后，當(dāng)用戶(hù)瀏覽該站點(diǎn)時(shí)，不知不覺(jué)便會(huì)被病毒感染。Web服務(wù)器的漏洞主要包括Microsoft IIS Unicode解碼目錄遍歷漏洞、Microsoft IIS CGI文件名錯(cuò)誤解碼漏洞以及紅色代碼（CodeRedII)病毒遺留的漏洞。2）構(gòu)造帶病毒的郵件，群發(fā)傳播病毒尼姆達(dá)病毒利用MAPI函數(shù)調(diào)用，從用戶(hù)的郵件地址簿和用戶(hù)Web Cache文件夾中的HTM（或HTML)文件搜索E-main地址，并向這些地址發(fā)包含病毒的郵件。這些郵件包含一個(gè)名為readme.exe的base64編碼可執(zhí)行的二進(jìn)

34、制文（運(yùn)行該文件系統(tǒng)將被傳染尼姆達(dá)病毒），由于IE5.5SP1及以前版本存在Automatic Execution of Embedded MIME Types 安全漏洞，當(dāng)讀取HTML格式的郵件時(shí)就會(huì)自動(dòng)運(yùn)行郵件，故用戶(hù)無(wú)須打開(kāi)附件文件，readme.exe也能夠自動(dòng)運(yùn)行，從而感染整個(gè)系統(tǒng)。3）向本地共享區(qū)復(fù)制病毒，傳染訪問(wèn)此區(qū)的主機(jī)尼姆達(dá)病毒還會(huì)搜索本地網(wǎng)絡(luò)的文件共享，無(wú)論它是在文件服務(wù)器上還是在中斷客戶(hù)機(jī)上，一旦找到，便安裝一個(gè)名為Riched20.dll的隱藏文件到每一個(gè)Doc和Eml文件的目錄中，當(dāng)用戶(hù)通過(guò)Word、寫(xiě)字板、Outlook打開(kāi)Doc或Eml文檔時(shí)，這些應(yīng)用程序?qū)ふ也?/p>

35、加載Riched20.dll文件，從而使機(jī)器感染。4）感染本地PE格式文件尼姆達(dá)病毒也會(huì)感染本地PE格式的exe格式文件，這一點(diǎn)與傳統(tǒng)病毒類(lèi)似，當(dāng)用戶(hù)執(zhí)行這些被感染的文件時(shí)，病毒就會(huì)發(fā)作。尼姆達(dá)病毒是一個(gè)精心設(shè)計(jì)的蠕蟲(chóng)病毒，其結(jié)構(gòu)復(fù)雜堪稱(chēng)近年來(lái)之最。尼姆達(dá)病毒激活后，使用其副本替換系統(tǒng)文件；將系統(tǒng)的個(gè)各驅(qū)動(dòng)器設(shè)為開(kāi)放共享，降低系統(tǒng)安全性；創(chuàng)建Guest賬號(hào)并將其加入到管理員組中，安裝Guest用戶(hù)后門(mén)。由于尼姆達(dá)病毒通過(guò)網(wǎng)絡(luò)大量傳播，產(chǎn)生大量異常的網(wǎng)絡(luò)流量和大量的垃圾郵件，網(wǎng)絡(luò)性能勢(shì)必受到嚴(yán)重影響。受到尼姆達(dá)病毒感染的用戶(hù)應(yīng)重新安裝系統(tǒng)，以便徹底清除其他潛在的后門(mén)。如果不能立刻重裝系統(tǒng)，可以參

36、考下列步驟來(lái)清除蠕蟲(chóng)或者防止被蠕蟲(chóng)攻擊。1）下載IE和IIS的補(bǔ)丁程序到受影響的主機(jī)上2）安裝殺毒軟件和微軟公司的CodeRedII清除程序。3）備份重要數(shù)據(jù)。4）斷開(kāi)網(wǎng)絡(luò)連接（如拔掉網(wǎng)線(xiàn)）。5）執(zhí)行殺毒工作，清除可能的CodeRedII蠕蟲(chóng)留下的后門(mén)。6）安裝IE和IIS的補(bǔ)丁。7）重新啟動(dòng)系統(tǒng)，再次運(yùn)行殺毒軟件以確保完全清除蠕蟲(chóng)。由于尼姆達(dá)病毒修改和替換了大量的系統(tǒng)文件，因此手工清除可硬比較繁瑣而且不易清除干凈。建議使用最新版本額反病毒廠商的殺毒軟件來(lái)進(jìn)行清除工作。建議在殺毒之前備份系統(tǒng)中的重要數(shù)據(jù)，以避免數(shù)據(jù)丟失。3.2.3熊貓燒香蠕蟲(chóng)病毒一、病毒描述其實(shí)是一種蠕蟲(chóng)病毒的變種， 而且是經(jīng)

37、過(guò)多次變種而來(lái)的，由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”案，所以也被稱(chēng)為 “熊貓燒香”病毒。但原病毒只會(huì)對(duì)EXE圖標(biāo)進(jìn)行替換，并不會(huì)對(duì)系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中的病毒變種，用戶(hù)電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒的某些變種可以通過(guò)局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無(wú)法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的備份文件。被感染的用戶(hù)系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。二、中毒癥狀除了通過(guò)網(wǎng)

38、站帶毒感染用戶(hù)之外，此病毒還會(huì)在局域網(wǎng)中傳播，在極短時(shí)間之內(nèi)就可以感染幾千臺(tái)計(jì)算機(jī)，嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱(chēng)為“熊貓燒香”病毒。中毒電腦會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。三、病毒危害病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶(hù)無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)。 “熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶(hù)一打開(kāi)這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤(pán)各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過(guò)U盤(pán)和移動(dòng)硬盤(pán)等方式進(jìn)行傳播，并且

39、利用Windows系統(tǒng)的自動(dòng)播放功能來(lái)運(yùn)行，搜索硬盤(pán)中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案?！靶茇垷恪边€可以通過(guò)共享文件夾、用戶(hù)簡(jiǎn)單密碼等多種方式進(jìn)行傳播。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁(yè)到網(wǎng)站后，就會(huì)導(dǎo)致用戶(hù)瀏覽這些網(wǎng)站時(shí)也被病毒感染。據(jù)悉，多家著名網(wǎng)站已經(jīng)遭到此類(lèi)攻擊，而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機(jī)構(gòu)已經(jīng)超過(guò)千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國(guó)計(jì)民生的重要單位。注：江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。四、運(yùn)行過(guò)程本地磁盤(pán)感

40、染。病毒對(duì)系統(tǒng)中所有除了盤(pán)符為A，B的磁盤(pán)類(lèi)型為DRE_REMOTE，DRE_FED的磁盤(pán)進(jìn)行文件遍歷感染。五、防御方法計(jì)世網(wǎng)消息 在2007年新年出現(xiàn)的“PE_FUJACKS”就是最近讓廣大互聯(lián)網(wǎng)用戶(hù)聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”（文件末簽名”WhBoy”），這個(gè)版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼，通過(guò)網(wǎng)絡(luò)共享，文件感染和移動(dòng)存儲(chǔ)設(shè)備傳播，尤其是感染網(wǎng)頁(yè)文件，并在網(wǎng)頁(yè)文件寫(xiě)入自動(dòng)更新的代碼，一旦瀏覽該網(wǎng)頁(yè)，就會(huì)感染更新后的變種。不幸中招的用戶(hù)都知道，“熊貓燒香”會(huì)占用局域網(wǎng)帶寬，使得電腦變得緩慢，計(jì)算機(jī)會(huì)出現(xiàn)以下癥狀：熊貓燒香病毒會(huì)在網(wǎng)絡(luò)共享文件夾中

41、生成一個(gè)名為GameSetup.exe的病毒文件；結(jié)束某些應(yīng)用程序以及防毒軟件的進(jìn)程，導(dǎo)致應(yīng)用程序異常，或不能正常執(zhí)行，或速度變慢；硬盤(pán)分區(qū)或者U盤(pán)不能訪問(wèn)使用；exe程序無(wú)法使用程序圖標(biāo)變成熊貓燒香圖標(biāo)；硬盤(pán)的根目錄出現(xiàn)setup.exe auturun.INF文件 ；同時(shí)瀏覽器會(huì)莫名其妙地開(kāi)啟或關(guān)閉。該病毒主要通過(guò)瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動(dòng)存儲(chǔ)設(shè)備（如U盤(pán)）等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險(xiǎn)系數(shù)較高，而通過(guò)Web和移動(dòng)存儲(chǔ)感染的風(fēng)險(xiǎn)相對(duì)較低。該病毒會(huì)自行啟動(dòng)安裝，生成注冊(cè)列表和病毒文件%System%driversspoclsv.exe ，并在所有磁盤(pán)跟目錄下生成病毒文件

42、setup.exe,autorun.inf。應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實(shí)就是在注冊(cè)表的HKEY_CLASSES_ROOT這個(gè)分支中寫(xiě)入了一個(gè)值，將所有的EXE文件圖標(biāo)指向一個(gè)圖標(biāo)文件，所以一般只要?jiǎng)h除此值，改回原貌就可以了。3.3 計(jì)算機(jī)蠕蟲(chóng)病毒的探測(cè)和防御技術(shù)由于計(jì)算機(jī)蠕蟲(chóng)病毒具有相當(dāng)?shù)膹?fù)雜性和破壞性，因此，計(jì)算機(jī)蠕蟲(chóng)病毒的探測(cè)和防御就顯得格外重要。目前還沒(méi)有那種防御措施能有效的探測(cè)和防御所有的計(jì)算機(jī)蠕蟲(chóng)病毒，特別是新型的未知的計(jì)算機(jī)蠕蟲(chóng)病毒。在網(wǎng)絡(luò)中，應(yīng)用最廣泛的計(jì)算機(jī)蠕蟲(chóng)病毒的探測(cè)和防御技術(shù)是防火墻技術(shù)，IDS 技術(shù)（Intrusiondetectionsystems），Snmp 技術(shù)

43、和netflow 技術(shù)等。一、采用防火墻技術(shù)通過(guò)配置網(wǎng)絡(luò)或單機(jī)防火墻軟件， 禁止除服務(wù)端口外的其他端口，這將切斷計(jì)算機(jī)蠕蟲(chóng)病毒的傳輸通道和通信通道。過(guò)濾含有某個(gè)計(jì)算機(jī)蠕蟲(chóng)病毒特征的報(bào)文，屏蔽已被感染的主機(jī)對(duì)保護(hù)網(wǎng)絡(luò)的訪問(wèn)等。由于蠕蟲(chóng)病毒的行為同一般的網(wǎng)絡(luò)應(yīng)用有很大的相似性，因此防火墻技術(shù)不可避免的導(dǎo)致某些正常的網(wǎng)絡(luò)應(yīng)用也被封堵。二、采用IDS 技術(shù)IDS 主要用來(lái)檢測(cè)DDOS 攻擊和計(jì)算機(jī)蠕蟲(chóng)病毒。IDS分為兩種：基于特征模型的IDS 和基于異常模型的IDS。基于特征模型的IDS 通過(guò)分析已知計(jì)算機(jī)蠕蟲(chóng)病毒的發(fā)病機(jī)制和特征，構(gòu)建相應(yīng)的數(shù)據(jù)模型的數(shù)據(jù)庫(kù)。IDS 在所監(jiān)控的網(wǎng)絡(luò)中收集計(jì)算機(jī)和網(wǎng)絡(luò)活

44、動(dòng)的數(shù)據(jù)以及他們之間的連接，將這些數(shù)據(jù)構(gòu)建成網(wǎng)絡(luò)活動(dòng)行為的特征與數(shù)據(jù)庫(kù)中的數(shù)據(jù)模型相匹配，檢查計(jì)算機(jī)蠕蟲(chóng)病毒是否存在。這種技術(shù)通過(guò)模型匹配對(duì)已知蠕蟲(chóng)病毒能有效的防治，但是卻不能探測(cè)和防御新型的未知的計(jì)算機(jī)蠕蟲(chóng)病毒。另外，基于異常模型的IDS 通過(guò)監(jiān)視不正常的通信量變化探測(cè)新的攻擊，這里的通信量的改變是指當(dāng)前的通信量的度量值和它正常條件下的通信量的閥值的差值。由于確定一個(gè)適當(dāng)?shù)陌姓Ｍㄐ乓蛩氐拈y值是相當(dāng)?shù)睦щy，因而基于異常模型的IDS 有較高的報(bào)錯(cuò)率。三、采用SNMP+MRTG 技術(shù)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)是一種應(yīng)用層協(xié)議，是TCP

45、/IP 協(xié)議族的一部分，它使網(wǎng)絡(luò)設(shè)備間能方便地交換管理信息。SNMP 能夠讓網(wǎng)絡(luò)管理員管理網(wǎng)的性能，發(fā)現(xiàn)和解決網(wǎng)絡(luò)問(wèn)題及進(jìn)行網(wǎng)絡(luò)的擴(kuò)充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型網(wǎng)絡(luò)流量統(tǒng)計(jì)分析工具。它耗用的系統(tǒng)資源很小，它通過(guò)SNMP 協(xié)議從設(shè)備得到其流量信息，并將流量負(fù)載以包含JPEG 格式圖形的HTML 文檔的方式顯示給用戶(hù)，以非常直觀的形式顯示流量負(fù)載。當(dāng)蠕蟲(chóng)病毒爆發(fā)時(shí)，在MRTG 上可以直觀的看出網(wǎng)絡(luò)流量的增加，結(jié)合MRTG 反饋的信息，網(wǎng)絡(luò)管理者可以及時(shí)采取補(bǔ)救措施，防止蠕蟲(chóng)病毒造成更大的危害。該技術(shù)也是目前局域網(wǎng)管理中應(yīng)用最廣泛

46、的技術(shù)之一。四、采用NETFLOW 技術(shù)由于現(xiàn)在蠕蟲(chóng)病毒的傳播速度越來(lái)越快，爆發(fā)周期越來(lái)越短，危害也越來(lái)越大，因此，如何在蠕蟲(chóng)病毒發(fā)作早期將其檢測(cè)出來(lái)成了減輕蠕蟲(chóng)病毒危害的關(guān)鍵。利用蠕蟲(chóng)病毒的行為特征將NetFlow 技術(shù)應(yīng)用到蠕蟲(chóng)病毒的早期檢測(cè)上是一種可行的技術(shù)路線(xiàn)。NetFlow 是Cisco 公司在其IOS（網(wǎng)絡(luò)操作系統(tǒng)） 交換體系中引入的一種新的交換技術(shù)。NetFlow 服務(wù)可在最大限度減小對(duì)路由器/ 交換機(jī)性能影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息.作為其交換功能的一部分,它能夠提供包括用戶(hù)、協(xié)議、端口和服務(wù)類(lèi)型等統(tǒng)計(jì)信息。由于蠕蟲(chóng)傳播過(guò)程中會(huì)發(fā)起大量的掃描連接，通過(guò)工具統(tǒng)計(jì)分析Net

47、Flow 數(shù)據(jù)流，可以很容易地發(fā)現(xiàn)蠕蟲(chóng)的掃描行為，進(jìn)而采取相應(yīng)措施，隔斷其感染途徑。例如flowtools、Cflowd 工具。五、其他技術(shù)除了上述技術(shù)外，計(jì)算機(jī)蠕蟲(chóng)病毒的防范技術(shù)還很多。例如：美國(guó)安全專(zhuān)家提議的基于CCDC（Cyber CentersforDisease Control）的蠕蟲(chóng)檢測(cè)、防御和阻斷以及華盛頓大學(xué)應(yīng)用研究室的JohnW.Lockwood 等人提出的一種采用可編程邏輯設(shè)備對(duì)抗計(jì)算機(jī)蠕蟲(chóng)病毒的防范系統(tǒng)等。3.4 防范蠕蟲(chóng)病毒的措施 3.41企業(yè)防范蠕蟲(chóng)病毒的措施當(dāng)前，企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享、辦公自動(dòng)化系統(tǒng)、企業(yè)業(yè)務(wù)系統(tǒng)以Inetrnet 應(yīng)用等領(lǐng)域。蠕蟲(chóng)病

48、毒可以充分利用網(wǎng)絡(luò)快速傳播達(dá)到其阻塞網(wǎng)絡(luò)的目的。企業(yè)利用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理時(shí)，就不得不考慮企業(yè)的病毒防范問(wèn)題，以保證關(guān)系企業(yè)命運(yùn)的業(yè)務(wù)數(shù)據(jù)不被破壞。企業(yè)防范蠕蟲(chóng)病毒的時(shí)候需要考慮幾個(gè)問(wèn)題：（1）病毒的查殺能力（2）病毒的監(jiān)控能力（3）對(duì)新病毒的反應(yīng)能力。同時(shí)企業(yè)在日常管理方面應(yīng)該注重采用科學(xué)合理的制度， 提高每位員工的安全意識(shí)，推薦的企業(yè)防范蠕蟲(chóng)病毒的策略如下：(1) 加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平， 提高安全意識(shí)。由于蠕蟲(chóng)病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，對(duì)各種操作系統(tǒng)和應(yīng)用軟件及時(shí)更新。由于各種漏洞的出現(xiàn)，使得安全不再是一種一勞永逸的事，作為企業(yè)用戶(hù)，

49、所經(jīng)受攻擊的概率也是越來(lái)越大，要求企業(yè)的管理水平和安全意識(shí)也越來(lái)越高。(2) 建立病毒檢測(cè)系統(tǒng)， 能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊。(3) 建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小。由于蠕蟲(chóng)病毒爆發(fā)的突然性，可能在病毒被發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)， 所以在突發(fā)情況下，為了能在病毒爆發(fā)的第一時(shí)間提供應(yīng)急方案，建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的。(4) 建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫(kù)和數(shù)據(jù)系統(tǒng)，必須采用定期備份，多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失。(5) 另外，對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，需要重視以下幾點(diǎn)：在因特網(wǎng)入口處安裝防火墻及殺毒軟件，將病毒隔離在局域網(wǎng)之外。對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒

50、郵件進(jìn)行傳播。對(duì)局域網(wǎng)用戶(hù)進(jìn)行安全培訓(xùn)。建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫(kù)的升級(jí)等等。3.42 個(gè)人用戶(hù)防范蠕蟲(chóng)病毒的措施網(wǎng)絡(luò)蠕蟲(chóng)病毒對(duì)個(gè)人用戶(hù)的攻擊主要還是通過(guò)利用社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞。所以防范此類(lèi)病毒需要注意以下幾點(diǎn)：(1) 購(gòu)買(mǎi)合適的殺毒軟件。網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展已經(jīng)使傳統(tǒng)殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展。另外面對(duì)防不勝防的網(wǎng)頁(yè)病毒，也使得用戶(hù)對(duì)殺毒軟件的要求越來(lái)越高。(2) 經(jīng)常升級(jí)病毒庫(kù)， 殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在

51、網(wǎng)絡(luò)時(shí)代，蠕蟲(chóng)病毒的傳播速度快，變種多，所以必須隨時(shí)更新病毒庫(kù)，以便能夠查殺最新的病毒。(3) 提高防殺毒意識(shí)。不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼。當(dāng)運(yùn)行IE 時(shí)，點(diǎn)擊“工具Internet 選項(xiàng)安全 Internet 區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”，同時(shí)在IE 設(shè)置中將ActiveX 及Java 腳本等全部禁止就可以大大減少被網(wǎng)頁(yè)惡意代碼感染的幾率。因?yàn)檫@一類(lèi)網(wǎng)頁(yè)主要是含有惡意代碼的ActiveX、Applet 或JavaScript 的網(wǎng)頁(yè)文件。(4) 不隨意查看陌生郵件， 尤其是帶有附件的郵件。由于有的病毒郵件能夠利用IE 和outlook的漏洞自動(dòng)執(zhí)行，

52、 所以用戶(hù)需要經(jīng)常下載IE 和outlook 的補(bǔ)丁程序。四、 木馬病毒 木馬全稱(chēng)是“特洛伊木馬（Trojan Horse）”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在internet上，木馬指在可從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶(hù)的計(jì)算機(jī)系統(tǒng)的程序。特洛伊木馬（Trojan）病毒（也叫黑客程序或后門(mén)病毒）是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，具備破壞和刪除文件、竊取密碼、記錄鍵盤(pán)、攻擊等功能，會(huì)破壞用戶(hù)系統(tǒng)甚至使用戶(hù)系統(tǒng)癱瘓。1986年出現(xiàn)了世界上第一個(gè)計(jì)算機(jī)木馬病毒，它偽裝成Quicksoft公司發(fā)布的共享軟件PC-Write的2.72版本。4.1木馬病毒4.1.1木馬病毒的功能只要人們?cè)诒镜赜?jì)算機(jī)上能操作的功能，目前的木馬基本上都能實(shí)現(xiàn)。換言之，木馬的控制端可以向本地一樣操作遠(yuǎn)程計(jì)算機(jī)。木馬的功能可以概