1
大学信息技术基础教程
1.2.4.7.4 4.7.4 计算机病毒及防范

4.7.4 计算机病毒及防范

1983年世界上出现了第一例计算机病毒,随后,在世界各地发现了形形色色的计算机病毒。随着计算机网络的普及,影响计算机正常运行的病毒在大肆泛滥。现在每天都会出现新的计算机病毒,计算机用户的利益受到极大损害。

1)计算机病毒的定义

计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。《中华人民共和国计算机信息系统安全保护条例》对计算机病毒的定义为:“计算机病毒(Computer Vi-rus)指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”

计算机病毒是人为制造的程序,它能够通过磁盘、磁带和网络等媒体传播并且能够进行自我复制,对计算机的资源有破坏作用。

2)计算机病毒的特点

计算机病毒一般具有如下的特点:

(1)寄生性

计算机病毒不是通常意义下的一个完整的计算机程序,常常寄生在正常程序中,享有被寄生程序的权力。

(2)可执行性

计算机病毒是一段可执行程序,寄生在其他可执行程序中。计算机病毒程序会与合法计算机程序争夺系统的控制权。一旦计算机病毒程序取得系统的控制权,即计算机病毒程序运行时,具有传染性和破坏性。

(3)传染性

计算机病毒程序一旦运行,会搜寻同一机器上的其他符合传染条件的程序或存储介质,如果找到这样的程序或存储介质就把病毒代码嵌入其中,被传染的程序或存储介质又会成为新的传染源,计算机中的大量文件就会被传染。

计算机病毒能够通过移动存储介质进行传播。例如,在一台感染了病毒的计算机上使用无病毒的U盘时,U盘会感染上病毒,使用此U盘的其他计算机也会感染上病毒。

计算机病毒能够通过计算机网络进行传播。一台感染了病毒的计算机能够使联网的其他计算机感染上病毒。

(4)潜伏性

计算机病毒进入系统后并不会立即发作,除了传染外,不表现出破坏性。隐藏在合法程序中的计算机病毒能够静静地呆在磁盘上几周或几月甚至更长时间,病毒的触发条件一旦得到满足,它就会对计算机资源进行破坏,如占用系统资源、删除硬盘文件等。

(5)可触发性

计算机病毒的发作需要满足一定的触发条件。触发条件是病毒编制者制定的,可以是时间、日期、文件类型或某些特定的数据。如果病毒的触发条件得到满足,病毒就进行传染或破坏活动;如果病毒的触发条件没有得到满足,病毒就继续潜伏。例如,CIHV1.2病毒的发作日期是4月26日。

(6)破坏性

任何计算机病毒都会对计算机系统产生或大或小的影响,有的计算机病毒虽然对计算机系统不直接进行破坏,但会占用系统资源,降低系统性能;有的计算机病毒直接破坏计算机系统,如毁坏系统数据,甚至造成系统瘫痪等。

(7)隐蔽性

感染了病毒的计算机系统一般仍然能够正常运行,感染了病毒的合法程序也仍然能够正常运行,计算机用户感觉不到明显的异常。计算机病毒的代码一般都很短小并且隐藏在合法程序中,用专门的病毒检测程序进行检测才能查出来。大多数病毒进行传染的速度极快,也很难被发现。

(8)衍生性

计算机病毒是一段可执行的计算机程序,好事者通过分析计算机病毒程序的结构,可以掌握设计者的设计思想和设计方法,从而对计算机病毒程序进行修改,衍生出新的计算机病毒,这又称为“变种病毒”。现在很多病毒都有变种病毒,变种病毒的破坏性往往比原版病毒大得多。

(9)针对性

计算机病毒是针对特定的计算机、特定的操作系统和特定的服务软件的。例如,有的计算机病毒专门攻击Windows操作系统,有的计算机病毒专门攻击Unix操作系统。

3)计算机病毒的分类

按照感染方式,计算机病毒可以分为如下几类:

(1)引导区型病毒

引导区型病毒一般先感染软盘的引导区,进而感染硬盘的主引导记录,以后当使用新的软盘时,软盘的引导区就会被感染。引导区型病毒一般在系统文件载入前加载进内存储器,从而进行传染和破坏。

(2)文件型病毒

文件型病毒一般寄生在文件的首部或尾部,通过修改程序的第一条指令,从而在程序运行时转向病毒程序,进行传染和破坏。文件型病毒主要感染扩展名为.com、.exe、.drv、.bin、.ovl、.sys等可执行文件。

(3)混合型病毒

混合型病毒既可以感染引导区,也可以感染文件,具有引导区型病毒和文件型病毒的特点。

(4)宏病毒

宏病毒只感染Microsoft Word文挡文件和模板文件,一般由Visual Basic或Word提供的宏程序语言编写。当对感染了宏病毒的文档进行操作时,宏病毒会进行传播和破坏,这时可能会出现不能进行复制粘贴、打印以及保存等操作,正常的文档编辑工作被破坏。

(5)网络病毒

网络病毒是基于网络来运行和传播,影响并破坏网络系统的病毒。例如蠕虫病毒,它只是占用内存,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址传播。

4)计算机病毒的表现

计算机感染病毒时常会有异常表现,常见的有:

(1)系统内存空间无故减少。大多数病毒都是动态常驻内存的,导致内存减少,以前能够正常运行的软件不能运行,或者在使用应用程序的某个功能时会提示内存不足。

(2)磁盘空间无故减少。有些病毒会占用磁盘引导扇区,有些病毒能够在短时间内感染大量文件,即使没有安装新的应用程序,磁盘空间也会减少。

(3)主机经常无缘无故地死机或重启动。由于病毒感染计算机系统后将自身驻留在系统中并且对系统程序进行修改,使得系统运行极不稳定。

(4)无故出现文件的时间和日期变动。

(5)程序加载或运行时间无故变得很长。

(6)屏幕显示异常信息。如屏幕显示一些不相干的话、出现莫名其妙的图像、Windows默认的图标变成其他样式或者鼠标自己在动等。

(7)系统文件丢失或损坏。有些病毒会删除或破坏计算机系统文件,导致计算机系统无法启动。

(8)以前能够正常操作的文件无故不能正常操作。

如果出现以上情况,说明该计算机可能已经感染了病毒。

5)计算机病毒的防范

防范计算机病毒可以从以下两方面着手:首先,加强管理,规范使用计算机的规章制度;其次,采用硬件和软件防病毒技术。

具体的措施有:

(1)建立规范的计算机使用管理制度,为不同的人员设定不同的使用计算机的权限。有权限的人员可以使用相关的计算机或者访问相关的服务器。经常对计算机操作人员进行计算机病毒防范知识教育。

(2)使用防病毒卡和防病毒芯片。

(3)使用本机硬盘启动,尽量不要使用软盘启动。

(4)采用系统开机检查和病毒扫描程序。

(5)定期对重要文件进行备份。

(6)尽可能使用具有合法版权的软件,避免使用盗版软件。

(7)不得随意使用软盘、U盘、移动硬盘,使用前应该进行相应的病毒检查。

(8)不得从网络上随意下载文件、随意接受电子邮件。接受的远程文件应该写入软盘或U盘,进行病毒检查后才能写入本机硬盘。

(9)安装计算机防病毒软件并且定期对计算机进行扫描杀毒,防病毒软件应及时升级更新。

(10)使用网络防火墙。

(11)上网时不要随意点击不明链接,不要随意打开不明来历的电子邮件。

6)计算机的职业道德和法律法规

目前,在计算机应用过程中出现了很多违反职业道德以及法律法规的现象,例如计算机病毒的层出不穷,利用网络盗取别人的银行账号进而盗取别人的资金,使用盗版软件的情况时有发生。国内和国外都重视对知识产权的保护,对计算机的使用也制定了相应的法律法规。使用计算机的人员不仅应该具备良好的职业道德,而且应该遵守国家的法律法规。

计算机操作人员应该诚实、守信和守法,不利用计算机伤害别人,尊重他人,尊重他人的隐私,尊重他人的劳动成果,尊重知识产权,不使用盗版软件,在没有得到别人授权的情况下不使用他人的计算机资源,不使用计算机牟取不正当的利益。

为适应信息化社会的发展,保障国家的信息安全,保护国家和公民的权益,我国制定了有关的法律法规,如《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》《计算机信息系统国际联网保密管理规定》《互联网信息服务管理办法》《互联网公告服务管理规定》《计算机信息系统安全专用产品检测和销售许可证管理办法》等。

2000年12月29日,第九届全国人大常委会第十九次会议表决通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》。此决定从保障互联网的运行安全,维护国家安全和社会稳定,维护社会主义市场经济秩序和社会管理秩序以及保护个人、法人和其他组织的人身、财产等合法权利等四个方面对计算机犯罪行为进行了界定。

(1)为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

①侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;

②故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;

③违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。

(2)为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

①利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;

②通过互联网窃取、泄露国家秘密、情报或者军事秘密;

③利用互联网煽动民族仇恨、民族歧视,破坏民族团结;

④利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。

(3)为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

①利用互联网销售伪劣产品或者对商品、服务做虚假宣传;

②利用互联网损坏他人商业信誉和商品声誉;

③利用互联网侵犯他人知识产权;

④利用互联网编造并传播影响证券、期货交易或其他扰乱金融秩序的虚假信息;

⑤在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。

(4)为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

①利用互联网辱他人或者捏造事实诽谤他人;

②非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;

③利用互联网进行盗窃、诈骗、敲诈勒索。

《全国人民代表大会常务委员会关于维护互联网安全的决定》对以上的15种行为决定依照刑法有关规定追究刑事责任,对其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接负责人员,依法给予行政处分或者纪律处分。利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。