时间:2024-12-23 05:05
计算机病毒通常是一组计算机指令或者程序代码,在计算机程序中插入的,能破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
计算机病毒和医学上病毒不同,它不存在自然产生而是被人利用计算机硬件或者软件的漏洞或者说是脆弱性编制指令以及程序代码,然后通过某种途径潜伏在计算机的介质中,当遇到某种条件则会被激活,通过其他程序是自己拷贝或者自然演化放到某些程序当中,从而达到感染程序的目的,对计算的资源进行破坏。
扩展资料:
怎么预防电脑病毒?
1、不要轻易下载小网站的软件与程序。
2、不要光顾那些很诱惑人的小网站,因为这些网站很有可能就是网络陷阱。
3、不要随便打开某些来路不明的E-mail与附件程序。
4、安装正版杀毒软件公司提供的防火墙,并注意时时打开着。
5、不要在线启动、阅读某些文件,否则您很有可能成为网络病毒的传播者。
6、经常给自己发封E-mail,看看是否会收到第二封未属标题及附带程序的邮件。
人们在使用电脑的时候都会点击各个网页,这个就会造成电脑中毒。当电脑中毒之后,我们就不能正常的使用电脑了。如果是比较小的病毒的话,可能只会导致电脑不能正常运行。但是要是是比较强的病毒的话,就会导致电脑中的资料泄露。所以说我们在利用电脑上网的时候,要有分辨能力,不能胡乱的点一些网站。要为电脑安装杀毒软件,定时对电脑进行杀毒。
一、定义
计算机病毒是一种在《中华人民共和国计算机信息系统安全保护条例》中定义的恶意程序,它能够“在计算机程序中插入破坏计算机功能或数据、影响计算机使用并能够自我复制的指令或程序代码”。这种病毒并非自然存在,而是由某些人利用计算机软件和硬件的脆弱性编写而成,目的是对计算机资源进行破坏。
二、特点
1.繁殖性
计算机病毒具有自我复制的特性,能够在正常程序运行时复制自身,将其副本插入其他程序中,从而实现传播。
2.破坏性
病毒能够破坏或修改计算机内的文件,导致程序无法正常运行。其破坏行为可能包括增加、删除、修改或移动文件。
3.传染性
病毒的主要特征之一是它的传染性。一旦感染,病毒会通过各种途径,如软盘、硬盘、移动存储设备或网络,传播到其他计算机。
4.潜伏性
某些病毒在感染后会潜伏在计算机系统中,直到触发条件满足时才执行破坏行为。这种病毒可以长时间隐藏,不易被发现。
5.隐蔽性
病毒通常具有隐蔽性,有些可以通过病毒检测软件检测出来,而有些则难以被发现。隐蔽性使得病毒难以被清除。
6.可触发性
病毒会根据预设的条件触发感染或攻击行为,以保持隐蔽的同时保持破坏力。
三、危害
计算机病毒会导致计算机资源的损失和破坏,不仅造成巨大的资源和财富浪费,还可能引发社会性灾难。随着信息化社会的进展,计算机病毒威胁日益严峻,对抗病毒的任务变得更加艰巨。例如,1988年的莫里斯蠕虫病毒事件严重影响了美国多个计算机网络,而中国统计局系统在1988年下半年首次发现“小球”病毒,对系统造成了重大影响。近年来,CIH、美丽莎等病毒更是给社会带来了巨大的损失。
计算机病毒种类
传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:
·开机型
米开朗基罗病毒,潜伏一年,"硬"是要得(这个没看懂)
·文件型
(1)非常驻型
Datacrime II资料杀手-低阶格式化硬盘,高度破坏资料
(2)常驻型
Friday 13th黑色(13号)星期五-"亮"出底细
·复合型
Flip翻转-下午4:00屏幕倒立表演准时开始
·隐形飞机型
FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表
·千面人
PE_MARBURG-掀起全球"战争游戏"
·文件宏
Taiwan NO.1文件宏病毒-数学能力大考验
·特洛伊木马病毒 VS.计算机蠕虫
" Explorezip探险虫"具有「开机后再生」、「即刻连锁破坏」能力
·黑客型病毒
Nimda走后门、发黑色信件、瘫痪网络
认识计算机病毒与黑客
2.1开机型病毒(Boot Strap Sector Virus):
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。@实例
Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得
发病日: 3月6日
发现日:1991.3
产地:瑞典(也有一说为台湾)
病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye了。
历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座
Top
2.2文件型病毒(File Infector Virus):
文件型病毒通常寄生在可执行文件(如*.COM,*.EXE等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种:
(1)非常驻型病毒(Non-memory Resident Virus):
非常驻型病毒将自己寄生在*.COM,*.EXE或是*.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
@实例:
Datacrime II资料杀手-低阶格式化硬盘,高度破坏资料
发病日:10月12日起至12月31日
发现日:1989.3
产地:荷兰
病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II会在屏幕上显示:*DATA CRIME II VIRUS*
然后低阶格式化硬盘第0号磁柱(CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。
历史意义:虽然声称为杀手,但它已经快绝迹了
(2)常驻型病毒(Memory Resident Virus):
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
@实例:
Friday 13th黑色(13号)星期五-"亮"出底细
发病日:每逢13号星期五
发现日:1987
产地:南非
病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven''t inconvenienced you"
历史意义:为13号星期五的传说添加更多黑色成分
Top
2.3复合型病毒(Multi-Partite Virus):
复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染*.COM,*.EXE文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性,使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观!
@实例:
Flip翻转-下午4:00屏幕倒立表演准时开始
发病日:每月2日
发现日:1990.7
产地:瑞士(也有一说为西德)
病征:每个月 2号,如果使用被寄生的磁盘或硬盘开机时,则在16时至16时59分之间,屏幕会呈水平翻动。
历史意义:第一只使具有特异功能的病毒
Top
2.4隐型飞机式病毒(Stealth Virus):
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义,它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。
@实例
FRODO福禄多-"毒"钟文件配置表
别名:4096
发现日:1990.1
发病日:9月22日-12月31日
产地:以色列
病征:4096病毒最喜欢感染.COM,.EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括:COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时,会发现速度慢很多,因为FAT(文件配置表)已经被破坏了。此外,9月22日-12月31日会导致系统当机。
历史意义:即使你用DIR指令检查感染文件,其长度、日期都没有改变,果真是伪装秀的始祖。
Top
2.5千面人病毒(Polymorphic/Mutation Virus):
千面人病毒可怕的地方,在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。每一个中毒的文件中,所含的病毒码都不一样,对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
@实例
PE_MARBURG-掀起全球"战争游戏"
发病日:不一定(中毒后的3个月)
发现日:1998.8
产地:英国
病征:Marburg病毒在被感染三个月后才会发作,若感染 Marburg病毒的应用软件执行的时间刚好和最初感染的时间一样(例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg病毒就会在屏幕上显示一堆的"X"。如附图。
历史意义:专挑盛行的计算机光盘游戏下毒,1998年最受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg病毒,而在8月迅速扩散。
感染 PE_ Marburg病毒后的 3个月,即会在桌面上出现一堆任意排序的"X"符号
2.6宏病毒(Macro Virus):
宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有写宏能力的软件都有宏病毒存在的可能,如Word、 Excel、AmiPro等等。
@实例:
Taiwan NO.1文件宏病毒-数学能力大考验
发病日:每月13日
发现日:1996.2
产地:台湾
病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。
历史意义:1.台湾本土地一只文件宏病毒。2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3.被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)
2.7特洛伊木马病毒 VS.计算机蠕虫
特洛依木马( Trojan)和计算机蠕虫( Worm)之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
特洛伊木马程序的伪装术
特洛依木马( Trojan)病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:
话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。
后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。
特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。
计算机蠕虫在网络中匍匐前进
计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫"。例如:" MELISSA-梅莉莎"便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性)。
@实例:
" Explorezip探险虫"具有「开机后再生」、「即刻连锁破坏」能力
发病日:不一定
发现日:1999.6.14
产地:以色列
病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi<Recipient Name>!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c(c source code files).cpp(c++ source code files).h(program header files).asm(assembly source code).doc(Microsoft Word).xls(Microsoft Excel).ppt(Microsoft PowerPoint)
历史意义:
·开机后再生,即刻连锁破坏
--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找网络上的下个受害者
2.8黑客型病毒
-走后门、发黑色信件、瘫痪网络
自从 2001七月 CodeRed红色警戒利用 IIS漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed在病毒史上的地位,就如同第一只病毒 Brain一样,具有难以抹灭的历史意义。
如同网络安全专家预料的,CodeRed将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为。果不其然,在造成全球 26.2亿美金的损失后,不到 2个月同样攻击 IIS漏洞的Nimda病毒,其破坏指数却远高于 CodeRed。 Nimda反传统的攻击模式,不仅考验着 MIS人员的应变能力,更使得传统的防毒软件面临更高的挑战。
继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含:电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。
每一台中了Nimda的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。
类似Nimda威胁网络安全的新型态病毒,将会是 MIS人员最大的挑战。"
实例:Nimda
发现日:2001.9
发病日:随时随地
产地:不详
病征:通过eMail、网络芳邻、程序安全漏洞,以每 15秒一次的攻击频率,袭击数以万计的计算机,在 24小时内窜升为全球感染率第一的病毒
历史意义:
计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让网络上的计算机几乎零时差地被病毒攻击
认识计算机病毒与黑客
防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙」(Firewall),这是一套专门放在 Internet大门口(Gateway)的身份认证系统,其目的是用来隔离 Internet外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。
--宽带大开方便之门
CodeRed能在短时间内造成亚洲、美国等地 36万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"always-on"(固接,即二十四小时联机)特性特性所打开的方便之门。
宽带上网,主要是指 Cable modem与 xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当 CodeRed在 Internet寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。
当我们期望Broadband(宽带网络)能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带网络的美丽新世界。
计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题
