浅谈计算机病毒的防治.doc

1、浅谈计算机病毒的防治 04届计算机系计算机应用技术专业臧琨2007-6-6学校名称：汇佳职业学院院（系）名称：计算机系学号：1040808047论文题目：浅谈计算机病毒的防治学科、专业：计算机应用技术姓名：臧琨指导教师姓名：张亮汇佳职业学院计算机系评定委员会 2007年6月摘要本文介绍了当今网络世界的几种比较有代表性的病毒，以及病毒在各个领域的运用、传播方式、分类以及预防方法。文章开篇写的是以熊猫烧香为首的几大病毒在网络上肆虐横行，我简单的分析了这些病毒的作用以及危害。以下观点纯属个人看法，还请老师多多指导。关键词：计算机、网络、病毒、危害、防治引言（目前计算机病毒）1一、计算机病毒的内涵、类

2、型及特点1(1)熊猫烧香.1(2)MSN性感相册.2(3)威金.3(4)U盘寄生虫4(5)网银大盗II4二、计算机病毒的技术分析5(1)无线电方式.6(2)“固化”式方法.6(3)后门攻击方式.6(4)数据控制链侵入方式.6三、病毒的分类.61.按病毒感染的对象分.6(1)引导型病毒.6(2)文件型病毒.6(3)网络型病毒.6(4)复合型病毒.62.按病毒的破坏程度分.6(1)良性病毒.6(2)恶性病毒.7(3)极恶性病毒.7(4)灾难性病毒.7四、对计算机病毒攻击的防范的对策和方法.7(1)建立有效的计算机病毒防护体系.7(2)严把收硬件安全关.7(3)防治电磁辐射和电磁泄露.7(4)加强计

3、算机应急反应分队建设.7五、感谢及参考文献7浅谈计算机病毒的防治目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争、伊拉克战争、阿富汗战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达

4、到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。一、 计算机病毒的内涵、类型及特点计算机病毒是一组通过自身复制来感染其他软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其他程序。一些病毒不带有恶意攻击性代码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自上世纪80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在最近几个月里，又产生了以下几种主要病毒：（1） 熊猫烧香（Worm.WhBoy.h）。 别名“武汉男生”，这是一个感染型的蠕虫病毒，它能感染系统中exe、co

5、m、pif、src、html、asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe 。然后添加系统自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe 。病毒每隔1秒寻找桌

6、面窗口,并关闭窗口标题中含有以下字符的程序：QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword ，并使用的键盘映射的方法关闭安全

7、软件IceSword ，中止系统中以下的进程： Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl13

8、2.exe ；病毒每隔18秒点击病毒作者指定的网页并用命令行检查系统中是否存在共享，共享存在的话就运行net share命令关闭admin$共享 ；每隔10秒下载病毒作者指定的文件并用命令行检查系统中是否存在共享，共享存在的话就运行net share命令关闭admin$共享 ；每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplor-erAdvancedFolderHiddenSHOWALL CheckedValue - 0x00 ，删除以下服务navapsvc、

9、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc ；病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部，并在扩展名为htm、html、 asp、php、jsp、aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的，但病毒不会感染以下文件夹名中的文件：WINDOW、Winnt、System Volume Information、Recycled、Windows

10、NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone ；病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失，无法恢复系统。“金猪报喜”是“熊猫烧香”的最新变种，但危害却在“

11、熊猫烧香”之上，除了一样感染EXE文件外，还能感染RAR跟ZIP等格式文件。中病毒后，会先检查客户机上有没有中熊猫烧香，如果有，则清理掉。图标也就是一个小动物，可能因为马上要过新年的原因使他选择了猪作为新图标。上图为“熊猫烧香”病毒及其变种“金猪报喜”病毒图标。下图为“熊猫烧香”制作者李俊及“金猪报喜”制作者薛庆被捕时的照片。（2） MSN性感相册（Worm/MSN.SendPhoto.a）。 这是一个蠕虫病毒，病毒运行后，将创建下列文件：%WinDir%photos.zip, 479382字节、%SystemDir%syshosts.dll, 22016字节；病毒还在注册表中添加下列启动项：

12、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadsyshosts = 71b1b601-4599-40ff-a283-73fc3c7de863，已达到开机自启动的目的。其中syshosts.dll 文件会注入到当前所有进程中。该病毒运行时，会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包，该压缩包里面包含名为photos album-2007-5-26.scr病毒文件，同时会随机向好友发送以下语句：its only my pho

13、tos!（它只是我的照片!）、Here are my private pictures for you（这是我给你的私人照片）、Here are my pictures from my vacation（这是我在休假时照的照片）、My friend took nice photos of me.you Should see em loL!（我的朋友给我照了漂亮的照片，你看看！）、Nice new photos of me and my friends and stuff and when i was young lol.（我和我朋友年轻时的新照片）、Nice new photos of me!

14、 :p（我的漂亮新照片！）、Check out my sexy boobs :D（接收我的性感照片）。病毒以此来引诱用户点击，当用户接收该ZIP压缩包后，如果双击运行里面的文件，就会成为一个新的病毒传播源。中毒电脑将会连接远程的IRC服务器，接收黑客远程控制，成为僵尸网络。（3） 威金（Worm.Viking）。 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型蠕虫病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时

15、病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程会感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。病毒运行后将自身复制到Windows文件夹下,文件名为：%SystemRoot%rundl132.exe ；运行被感染的文件后，病毒将病毒体复制到以下文件：%SystemRoot%logo_1.exe ；同时病毒会在病毒文件夹下生成：病毒目录vdll.dll ；病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大

16、小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成：_desktop.ini (文件属性:系统、隐藏。) ；病毒会尝试修改%SysRoot%system32driversetchosts文件；病毒通过添加如下注册表项实现病毒开机自动运行：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun load=C:WINNTrundl132.exe HKEY_CURR-ENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows load=C:WINNTrundl132.e

17、xe ；病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序；枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe、Eghost.exe、Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe ；同时病毒尝试利用以下命令终止相关杀病毒软件：net stop Kingsoft AntiVirus Service ；发送ICMP探测数据Hello,World，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接IPC$、admin$等共享目录，连接成功后进行网络感染；感染用户机器上的exe文件，但不

18、感染以下文件夹中的文件：System 、system32 、windows 、documents and settings 、system Volume Information 、Recycled 、winnt 、Program Files 、Windows NT 、WindowsUpdate 、Windows Media Player 、Outlook Express 、Internet Explorer 、ComPlus Applications 、Net-Meeting 、Common Files 、Messenger 、Microsoft Office 、InstallShield I

19、nstallation Information、MSN 、Microsoft Frontpage 、Movie Maker 、MSN Gaming Zone ；枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程：Explorer 、Iexplore ，找到符合条件的进程后随机注入以上两个进程中的其中一个；当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序：http:/www.17*.com/gua/zt.txt 保存为c:1.txt 、 http:/www.17-*.com/gua/wow.txt 保存为c:1.txt 、http:/www.17*

20、.com/gua/mx.txt 保存为c:1.txt 、http:/www.17*.com/gua/zt.exe 保存为%SystemRoot%Sy.exe 、http:/www.17*.com/gua/wow.exe 保存为%SystemRoot%1Sy.exe 、http:/www.17*.com/gua/mx.exe 保存为%SystemRoot%2Sy.exe ，注意：三个程序都为木马程序；病毒会将下载后的1.txt的内容添加到以下相关注册表项： HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW auto=1 HKEY_LOCAL_MACHINESOF

21、TWAREMicrosoftWindowsver_down0=boot loader+ ver_down1=boot loader timeout=30 operating systems multi(0)disk(0)rdisk(0)partition(1)WINDOWS=MicrosoftWindows XP Professional / ver_down2=default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS operating systems multi(0)disk(0)rdisk(0)partition(1)WINDOWS=Micro

22、soft Windows XP Professional / ；中止大部分的杀毒软件进程，诺顿可以隔离，但是结果是EXE文件全部执行不了；在共享的打印机上不停的打印，内容为当天日期；在C:winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件，感染应用程序的速度非常快，只要你一用到某个应用程序，马上就会被感染，并且Logo1_.exe 会变成此应用程序的图标；在局域网内部中传播相当快，能通过信使传播，但已禁用信使的电脑也能被感染，不知道它有多少传播途径；被感染的机子很难清除干净，在某些电脑上的每一个文件夹还会有一个 _deskt

23、op 的记事本文件,内容为当前日期。（4） U盘寄生虫（Checker/Autorun）。Checker/AutorunU盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。 （5） 网银大盗（Trojan/KeyLog.Dingxa）。这是一个盗取计算

24、机用户银行帐号密码的木马。该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等，发送给病毒作者。其涉及银行之多，范围之广是历来最严重的，不但给染毒用户造成的损失更大，更直接，也给各网上银行造成更大的安全威胁和信任危机。具体技术特征如下：病毒盗取的相关银行11个、目标网页21个、目标帐户类型13种；病毒算机中创建以下文件：%SystemDir%svch0st.exe，16284字节，病毒本身；在注册表的HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_CURRENT_USERSOFTWAREMicroso

25、ftWindowsCurrentVersionRunonce中创建：“svch0st.exe”=“%SystemDir%svch0st.exe”、“taskmgr.exe”=“%SystemDir%svch0st.exe”；病毒运行后会每隔10毫秒查看用户是否在操作IE或Netscape浏览器，进而根据窗口标题判断用户是否在浏览上文列出的网上银行页面，一旦确认，病毒立即开始记录键盘敲击的每一个键值，记录键值包括：AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1!23#4$5%67&8*9(0)BackSpaceTab回车ShiftCtrl

26、AltPauseEsc空格EndHomeLeftRightUpDownInsertDelete;:=+,/?|DelF1F2F3F4F5F6F7F8F9F10F11F12NumLockScrollLockPrintScreenPageUpPageDown；病毒每隔1分钟检查是否已经成功盗取了用户信息，如果是，则通过GET方式把截取的用户按键提交给http:/*.com/*/get.asp。其格式如下：http:/*.com/*/get.asp?txt=：银行帐户类型共有13种。归纳起来，计算机病毒有以下特点：一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉，待发现时往往已造成严重后

27、果。二是繁殖能力强。电脑一旦染毒，可以很快“发病”。目前的三维病毒还会产生很多变种。三是传播途径广。可通过网络、硬件设备、移动存储设备等多渠道自动侵入计算机中，并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作，待满足一定条件后，就激发破坏。五是破坏力大。计算机病毒一旦发作，轻则干扰系统的正常运行，重则破坏磁盘数据、删除文件，导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计，满足不同环境和时机的要求。二、 计算机病毒的技术分析长期以来，人们设计计算机的目的主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则不够重视。计算机系统的各个组成部分，接口

28、方面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机。全球万维网（www）使“地球一村化”，为计算机病毒创造了实施的空间，新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从病毒技术研究现状来看，病毒注入方法主要有以下几种：（1） 无线电方式。主要是通过无线电把病毒码发射到对方电

29、子系统中。此方法是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有：直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码。寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。（2） “固化”式方法。即把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目

30、前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。（3） 后门攻击方式。后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击。（4） 数据控制链侵入方式。随着因特网技术的广泛运用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。除上述方法外，还可通过其他多种方式注入病毒。三、 病毒的分类病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个

31、角度大体去分。1 按病毒感染的对象分：（1） 引导型病毒。这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动。（2） 文件性病毒。早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被加载了。（3） 网络型病毒。这种病毒是近几年来网络的高速发展的产物，感染的对象不再

32、局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途径也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。（4） 复合型病毒。把它归为“复合型病毒”，是因为他们同时具备了“引导型”和“文件型”病毒的某些特点，他们即可以感染磁盘的引导扇区文件，也可以感染某些可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，

33、所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。2 按病毒的破坏程度分：（1） 良性病毒。这些病毒之所以把他们称之为良性病毒，是因为他们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友向测试一下自己的开发病毒的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其他坏处。（2） 恶性病毒。我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”，这类病毒入侵后除了不能正常使用之外，别无其他损失，系统损坏后一般只需要重装系统的某个部分文件后即

34、可恢复，当然还是要杀掉这些病毒之后重装系统。（3） 极恶性病毒。这类病毒比上述恶性病毒的成都又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你部分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。（4） 灾难性病毒。这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如何一旦染上了这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所以造成的损失是非常巨大的。四、 对计算机病毒攻击的防

35、范的对策和方法（1） 建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒节制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术支持。（2） 严把收硬件安全关。国家的机密信息系统所用设备和系列产品，应建立自己的生产企业，实现计算机的国产化、系列化；对引进的计算机系统要在进行安全检查后才能使用，以预防和限制计算机病毒伺机入侵。（3） 防止电磁辐射和电磁泄露。采取电磁屏蔽的方法，阻断电磁波辐射，这样，不仅可以达到防止计算机信息泄露的目的，而且可以防止“电磁辐射式”病毒的攻击。（4） 加强计算机应急反应分队建设。应成立自动化系统安全支援分队，以解决计算机防御性的有关问题。计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。五、 感谢及参考文献感谢以下前辈无偿贡献以下资料提供学习。1 佚名先进的反病毒引擎设计。2 佚名会计电算化工作指南。3 感谢原因，无偿提供学习资料。4 感谢原因，提供学习环境。 臧琨 2007-6-610