2.4.2　计算机病毒简介

计算机犯罪和计算机病毒起源于20世纪60年代末的一些发达国家，而在当今互联网迅速发展的情况下，计算机病毒的防范更应引起用户的注意。

1．计算机病毒的定义

对计算机病毒（Computer viruses）的定义，我们可以参照1994年2月28日出台的《中华人民共和国计算机安全保护条例》对病毒的定义：计算机病毒，是指编制、或者在计算机程序中插入的、破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。

或者说，计算机病毒是一种人为特制的小程序通过非授权入侵而隐藏在可执行程序或数据文件中。当计算机系统运行时病毒能把自身精确拷贝或者有修改地拷贝到其他程序或数据文件体内具有相当大的破坏性。

2．计算机病毒的结构

计算机病毒一般由三个部分构成：

一是传染部分，是病毒的重要组成部分，它主要负责病毒的传染；

二是表现部分和破坏部分，负责对被感染的系统进行破坏，并表现出一些特殊状况；

三是激发部分，负责判断当前是否满足病毒发作的条件。

3．计算机病毒的特征

计算机病毒具有以下特性：

传播性：计算机病毒的传播性是指病毒具有把自身复制到其他程序中的特性。病毒可以附着在程序上，通过磁盘、光盘、计算机网络等载体进行传播，被感染的计算机又成为病毒的生存的环境及新传染源。

隐蔽性：病毒程序一般隐蔽在正常程序或数据文件之中，若不对其进行代码分析，一般不易觉察和发现病毒的存在。

潜伏性：计算机病毒的潜伏性是指计算机病毒具有依附其他媒体而寄生的能力。计算机病毒入侵到某一系统后并不一定马上发作，可能会长时间潜伏在计算机中。

激发性：病毒的发作是由激发条件来确定的，在激发条件不满足时，系统没有异常症状。激发条件可以是一个特定的日期，如CIH病毒的发作日期是26日，或者是用户执行的某一个操作，比如打开电子邮件的附件等。

破坏性：计算机系统被计算机病毒感染后，一旦病毒发作条件满足时，就在计算机上表现出一定的症状。其破坏性包括：占用CPU时间；占用内存空间；破坏数据和文件；干扰系统的正常运行。

变种性：某些病毒可以在传播的过程中自动改变自己的形态，从而衍生出另一种不同于原版病毒的新病毒，这种新病毒称为病毒变种，源于同一病毒演变而来的所有病毒称为病毒家族。有变形能力的病毒能更好地在传播过程中隐蔽自己，使之不易被反病毒程序发现及清除。有的病毒能产生几十种变种病毒。

4．计算机病毒的分类

（1）按病毒表现性质分：

良性病毒：此类病毒不对系统产生破坏，但要占用系统的存储空间或占用CPU时间，影响系统的性能。

恶性病毒：具有极大的破坏性，可以破坏系统中的程序和数据，甚至破坏计算机的某些硬件设施。

（2）按病毒入侵的途径分：

源码病毒：在程序的源程序中插入病毒编码，随源程序一起被编译，然后同源程序一起执行。

入侵病毒：病毒入侵时将自身的一部分插入主程序。

外壳病毒：通常感染DOS下的可执行程序，当程序被执行时，病毒程序也被执行，进行传播或破坏。

操作系统病毒：它替代操作系统中的敏感功能（如I/O处理、实时控制等），此类病毒最常见，危害性极大。

（3）按感染的目标分：

引导型病毒：这类病毒只感染磁盘的引导扇区，即用病毒自身的编码代替原引导扇区的内容。

文件型病毒：感染可执行文件，并将自己嵌入到可执行程序中，从而取得执行权。

混合型病毒：此类病毒既可感染引导扇区，也可感染可执行文件。

5．其他破坏工具简介

（1）特洛依（Trojan Horse）木马

这个称谓起源于西方古代传说中的特洛依木马：传说中，特洛依与古希腊之间的战争长达九年之多，却仍未能分出胜负。于是希腊人想出了一个办法，他们造了一个很大的木马，并在木马中藏了几个勇士，然后，希腊人假装大败，却将木马留在了战场上。特洛依人将木马当作战利品搬进城去，然后大举庆贺战争胜利。而在晚上，藏在木马中的勇士趁特洛依人疏于戒备，从木马中出来，打开城门，将希腊军队迎进城去。

计算机中的木马程序也是这样一种情形：表面上它是完成某种功能的一个程序，而在暗地里，它还可以作另外一些事情。你可能常常在网上获得一些免费软件，下载下来后安在系统上运行，这样，你的系统便可能中了木马，比如冰河木马。系统中了木马之后，便后门大开，有的木马程序可以自动联系黑客，而有的黑客可在远程的计算机上利用木马控制端来获得你的重要信息，对你的机器乃至你的操作了如指掌，可以破坏你的系统，甚至控制你的计算机，不让你进行任何操作等等。

木马不同于病毒，它在对系统进行攻击时并不进行自我复制。

（2）时间炸弹和逻辑炸弹

时间炸弹是一种计算机程序，它在不被发觉的情况下存在于你的计算机中，直到某个特定的时刻才被引发，比如圣诞节、元旦节等特定的日期。而两三年前我们常常提到的“千年虫”问题，便是一个时间炸弹，当然，这不是有意造成的，而是在2000年前程序员们在编制程序时为了用户输入年份时简单一点而产生的后果。有的时间炸弹则是有人蓄意制造、用以破坏计算机系统的。

逻辑炸弹指通过某些特定数据的出现和消失引发的计算机程序。它可能是一个单独的程序，也可能它的代码嵌入在某些软件上，系统一旦运行，逻辑炸弹便随时监控系统中的某些数据是否出现或消失，一旦发现所期待的事情发生，逻辑炸弹便“爆炸”。这种“爆炸”可以以用户看不见的方式发作，比如将系统中的某些数据进行非法的复制和转移；也可以产生明显的效果，如系统中的重要文件被破坏，整个系统瘫痪等。

时间炸弹和逻辑炸弹在发作时也不进行自我复制和传播。

（3）蠕虫（Worm）

蠕虫也是一种软件，它是通过钻安全系统的漏洞来进入计算机系统，通常是计算机网络的程序。和病毒相同，蠕虫也进行自我复制。但与病毒不同，蠕虫不需要附着在文档或者可执行文件上来进行复制。

图2.4.1　系统被一个冲击波蠕虫变种感染之后导致系统关闭

目前常见的蠕虫都是通过Internet上的电子邮件或者是Web浏览器的系统漏洞来传播的。它传到一台计算机上之后，利用该机器上的某些数据，比如该用户的电子邮件地址簿中的其他的邮件用户的地址以传递给其他系统。目前蠕虫是破坏系统正常运行的主要手段之一。

Internet上的大多数蠕虫并不对系统进行破坏，但它会占用系统大量的时间和空间资源，使系统性能大大降低，甚至导致系统关闭或重新启动。如近期流行的冲击波（如图2.5.1所示）、震荡波等病毒。