7.3.1　计算机病毒的定义及其特征

1）计算机病毒的定义

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒不是我们通常所说的生物意义上的病毒，它不可能通过空气、水、物体的接触来传播，操作计算机的人更不会感染它，只是因为它具有生物病毒的某些特征，故名为病毒。

1988年11月在美国首次发现叫蠕虫的病毒，我国于1989年底首次发现小球病毒（DOS下的病毒），随着计算机的普及，计算机病毒也大量出现，并且随着网络的发展，传播速度更快。比较有名的病毒有：“CIH”“Love bug”“红色代码”“冲击波”“震荡波”“熊猫烧香”“扫荡波”“木马下载器”“Nimda”“Conficker”等。病毒发布人的目的有多种，包括获取利益、恶作剧、搞破坏、报复、想出名及对研究病毒有特殊嗜好。以前的病毒主要通过软盘、光盘传播，现在的病毒主要通过网络浏览以及下载、电子邮件以及可移动U盘等途径迅速传播。

计算机病毒在不同的时代有不同的特点，它在不断变化着，同时，它的表现也不尽相同。它有很多分类方法。

2）计算机病毒的分类

（1）计算机病毒按破坏程度分类

•良性病毒：只对系统的运行、显示、打印等进行干扰，无破坏作用，如DOS下的小球病毒。

•恶性病毒：起破坏作用的病毒，如删改文件、消除数据、格式化磁盘等，如CIH病毒。

（2）计算机病毒按存在的媒体分类

•网络病毒：通过计算机网络传播，感染网络中的可执行文件。

•文件病毒：感染计算机中的文件（如COM、EXE、DOC等）。

•引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。

还有这3种情况的混合型，如多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

（3）计算机病毒按病毒特有的算法分类

•伴随型病毒：这类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），如XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行，再由伴随体加载执行原来的EXE文件。

•“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。

•寄生型病毒：除了“伴随”和“蠕虫”型病毒，其他病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：

练习型病毒：病毒自身包含错误，不能进行很好的传播，如一些病毒在调试阶段。

诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，使用比较高级的技术，利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒）：这一类病毒使用一种复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是由一段混有无关指令的解码算法和被变化过的病毒体组成。

（4）其他方式分类

根据计算机病毒本身的技术特点、攻击目标、传播方式等综合因素可将计算机病毒分为以下几类：

•传统病毒：通过改变执行文件或引导扇区进行传播的病毒。

•宏病毒（Macro）：利用Word、Excel等的宏脚本功能进行传播的病毒。

•恶意脚本（Script）：有破坏作用的脚本程序，它们通常隐藏在HTML脚本、批处理脚本、VB、JS脚本等中来传播和破坏。

•木马（Trojan）程序：它们在用户不知情的情况下安装，没有一个显示界面，隐藏在后台，当病毒程序被激活或启动后用户无法终止其运行。

•黑客（Hack）程序：黑客利用网络来攻击其他计算机的网络工具，被运行或激活后就像其他正常程序一样有界面。它们经常被放在黑客网站上，时常有不懂计算机编程的人下载它们后用来攻击其他计算机。

•蠕虫（Worm）程序：蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒。

•破坏性程序（Harm）：病毒启动后，破坏用户计算机系统，如删除文件、格式化硬盘等。常见的是bat文件，也有一些是可执行文件，有一部分和恶意网页结合使用。

3）计算机病毒的主要特征

•传染性：具有自我复制能力，将自己嵌入别的程序中实现其传染目的。是否具有传染性是判断是否为计算机病毒的基本标志。

•寄生性：它们寄生（嵌入）在正常程序当中，随着正常程序的执行而被激活，所以不易被发觉。

•破坏性：计算机病毒的目的是破坏数据或硬软件资源，凡是软件技术能触及到的资源均可能遭到破坏，甚至会破坏主板上的BIOS。

•潜伏性：计算机病毒并不是一传染就立即发作，而是等待着，在此期间它们不断传染新对象，一旦满足条件便发作。

•隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来；有的根本检查不出来，时隐时现、变化无常，这类病毒处理起来通常很困难。

•可触发性：病毒因某个条件的满足，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

计算机病毒是有生命周期的，一般经历开发、传染、潜伏、发作、发现、消化、被消灭这个周期。一般情况下，一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。

由于操作系统桌面环境90%都是使用微软Windows系列产品，所以病毒作者纷纷把病毒攻击对象选为Windows，加上Windows没有行之有效的固有安全功能，且用户常以管理员权限运行未经安全检查的软件，这也为Windows下病毒的泛滥提供了便利。

近年来，随着移动智能设备的广泛使用，出现了许多针对安卓（Android）系统、苹果（IOS）系统的病毒，这类病毒往往以免费的形式扩散到用户手机、平板电脑上，有些甚至在出厂前就定制在了手机中。他们的主要目的是窃取用户隐私数据、消耗用户网络流量、盗取银行账户数据、扣费等。所以，我们应该留意自己的移动设备的使用情况，通过对比自己的消费清单，来看看是否出现流量异常、莫名短信息扣费、网上支付异常等情况。

随着互联网的普及，网络上出现了很多可供免费下载、免费使用的软件，这些软件可能包藏木马病毒，一旦安装后，它会实时收集你的个人信息，自动传回到传播者的计算机中，最后收集者会变卖这些信息牟利。这种方式已经形成了一条完整的产业链，需要引起大家的高度重视。

7.3.2　计算机病毒的症状及其防治措施

1）计算机病毒的症状

计算机染上病毒后，在它发作时通常会出现如下症状：

①早期的计算机病毒通常会造成屏幕显示异常或异常声响，如屏幕字符脱落、提示异常信息、图形异常、屏幕突然变暗、雪花滚动等，如冲击波病毒就提示系统将在多长时间内关机。

②计算机运行异常，如CPU占用率100%；在用户无任何操作下读写硬盘或其他磁盘数据；蓝屏死机；鼠标右键无法使用；系统异常重启、异常死机；系统引导速度很慢、程序运行速度变慢、丢失文件或文件损坏、文件长度发生变化、存储空间异常减少、Word或Excel提示执行“宏”、异常程序驻留内存、磁盘卷标发生变化、系统时间异常、系统无故频繁出现错误、打印异常等。

③主页被异常绑定；网速很慢，打开网页很慢或找不到网址；自动被安装了插件；文件或打印共享发生问题等。

④U盘上的文件夹莫名地变为了EXE文件，看不到文件夹下的文件；或者莫名地多出一个Autorun.inf文件。

⑤手机或其他设备的网络流量异常，莫名地发送短信息、拨打电话等。

2）计算机病毒的防治

防治计算机病毒应从3个方面进行：

（1）做好系统的安全设置，及时修补操作系统及相关软件的漏洞

系统要设置使用权限或专人使用，应设置较强的密码，并经常变更密码；要经常检查系统中的服务程序，及时关闭或删除系统中不需要的服务；关闭系统默认网络共享；防止局域网入侵或弱口令蠕虫传播；定期检查并修补操作系统及相关软件的漏洞；检查系统配置实用程序启动选项卡情况，并对不明的Windows服务予以停止。

（2）安装并及时更新杀毒软件与防火墙产品

安装反病毒软件，定期检查系统，及时发现和消除病毒；经常更新病毒库以便能够查出最新的病毒；启用网络防火墙或者本机上的软件防火墙，禁止来路不明的软件访问网络。

（3）树立安全防范意识，养成良好的操作习惯

我们的工作、学习、生活已经离不开计算机和网络，很多人随时黏在互联网上，一不小心就泄漏了我们的个人信息和一些重要的资料。因此，一定要有安全意识，做好防范工作。

要从管理入手，在日常工作、学习中，除了坚持使用正版软件外，还要注意以下事项：

①不随意共享自己的驱动器、文件夹等，即便要共享，尽量设置访问权限和密码。

②尽量不用U盘、盗版光盘启动机器；不用来历不明的U盘；插入U盘等尽量不要选择直接播放。如确需使用，则先查毒，后使用。

③重要软件和数据做好备份，对于需要保护的软盘、U盘等应该将它设置为“写保护”。

④不随意下载、安装互联网上提供的免费软件；参与网上活动时，尽量不要吐露自己的个人重要信息，如身份证号码、银行账号等，以防泄露自己的隐私。

⑤不要打开来历不明的邮件；在聊天过程中，不要随意打开他人发来的网址或者程序；在登录重要网站（如网银）时，一定要检查是否正确输入了网址，防止进入到钓鱼网站，造成账号等资料丢失。

⑥在外出差使用WiFi时，要特别留意网络安全。拒绝来路不明的WiFi，尽量选择三大运营商和商家提供的站点，安全性较高而且速度快；对于智能手机用户来说，WiFi连接方式建议设置为手动，或者关闭WiFi自动连接功能。

⑦发现计算机出现病毒特征时，先断网隔离，再处理，以防止计算机受到更多的感染，或者成为传播源，再次感染其他计算机。

【相关知识】

•插件：插件是一种程序，它一般不能独立运行，是为了增强一种专用或通用软件（如浏览器IE）的功能而编写的一种程序，目的是扩充通用软件的功能。IE浏览器中常见的插件有：Flash插件、RealPlayer插件、ActiveX插件、百度工具栏、搜狗工具栏。

根据插件在浏览器中的加载位置，可以分为工具条（Toolbar）、浏览器辅助（BHO）、搜索挂接（URL SEARCHHOOK）、下载ActiveX（ACTIVEX）。

现在的插件很多都有恶意行为，分为广告插件和间谍插件。前者发送广告；后者监视用户的上网行为，并把所记录的数据报告给插件程序的创建者，以达到投放广告、盗取游戏或银行账号密码等非法目的。

•钓鱼网站：钓鱼网站通常是指伪装成银行及电子商务等网站，窃取用户提交的银行账号、密码等私密信息。它是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者用类似的网站地址，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行账号、密码等私人资料。