淺談計算機(jī)病毒傳播及防范策略

1、    淺談計算機(jī)病毒傳播及防范策略    王瑞杰摘要：互聯(lián)網(wǎng)的安全問題一直是一個備受關(guān)注的社會熱點問題。日益泛濫的網(wǎng)絡(luò)病毒給人們的生活造成了巨大的經(jīng)濟(jì)損失和心理影響。構(gòu)建一個安全、健康的網(wǎng)絡(luò)環(huán)境是反病毒專家孜孜不倦的追求，也是所有網(wǎng)絡(luò)用戶的美好愿望。本文淺談了電子郵件病毒和網(wǎng)絡(luò)蠕蟲的傳播，并提出了相應(yīng)的病毒防范策略。關(guān)鍵詞：計算機(jī)病毒；防御；策略1引言隨著網(wǎng)絡(luò)通訊技術(shù)的飛速發(fā)展，計算機(jī)網(wǎng)絡(luò)已逐漸滲透到人們社會生活的各個領(lǐng)域，并成為信息傳播的重要媒介。通過網(wǎng)絡(luò)，人們可以方便、快捷地進(jìn)行信息的交流。然而，網(wǎng)絡(luò)在給人們的生活帶來便利的同時也為計算機(jī)病毒的傳播

2、開辟了新的途徑。當(dāng)前，利用網(wǎng)絡(luò)進(jìn)行傳播的病毒已成為互聯(lián)網(wǎng)最主要的威脅。任何一臺連入互聯(lián)網(wǎng)的計算機(jī)隨時都有可能感染病毒。因此，分析計算機(jī)病毒的傳播特性，進(jìn)而提出相應(yīng)的防范策略已成為網(wǎng)絡(luò)信息安全領(lǐng)域一個首要而緊迫的任務(wù)。2網(wǎng)絡(luò)病毒的傳播模式2.1.1通過email進(jìn)行傳播通過將病毒代碼附屬在中進(jìn)行傳播是網(wǎng)絡(luò)病毒傳播的一個主要途徑。由于電子郵箱使用的廣泛性，使得這種傳播方式深受許多病毒制造者的青睞。病毒通過進(jìn)行傳播的方法有兩種，一是直接將惡意代碼本身加入到中，二是將惡意代碼的連接加入到中。其傳播過程分為三部分：（1）尋找目標(biāo)地址；（2）將自身復(fù)制并發(fā)送過去；（3）激活病毒代碼。2.1.2通過掃描系統(tǒng)

3、漏洞傳播蠕蟲病毒代碼是以獨立程序的方式存在的，它不嵌入到任何宿主文件中。其傳播過程是靠遠(yuǎn)程掃描中存在漏洞的主機(jī)，利用這些漏洞將自己注入遠(yuǎn)程計算機(jī)中并取得系統(tǒng)控制權(quán)。然后就可以對受控主機(jī)進(jìn)行攻擊破壞了。蠕蟲取得系統(tǒng)權(quán)限的方法主要有以下幾種：（1）利用系統(tǒng)漏洞；（2）利用局域網(wǎng)傳播；（3）利用服務(wù)器漏洞。3電子郵件病毒的傳播隨著網(wǎng)絡(luò)計算機(jī)時代的到來，電子郵件成為了互聯(lián)網(wǎng)最基本的應(yīng)用之一。由于電子郵箱的使用人數(shù)廣泛，而且往往和信用卡、支付賬戶等進(jìn)行了綁定，因此電子郵件的安全問題將會影響到整個互聯(lián)網(wǎng)的安全和穩(wěn)定。電子郵件病毒是一種利用電子郵件地址進(jìn)行傳播的惡意代碼。病毒制造者為了牟取利益，將一些惡意的

4、病毒代碼附在電子郵件的主體或附件中并發(fā)送出去。初始階段只有少數(shù)的用戶感染上病毒。然而，郵件病毒不僅會對感染主機(jī)造成破壞而且還會自動掃描感染用戶的磁盤文件和地址簿，將病毒大量復(fù)制并通過掃描到的郵件地址將病毒傳播出去，導(dǎo)致病毒在網(wǎng)絡(luò)中的大規(guī)模擴(kuò)散。健康用戶收到來自感染用戶的帶毒郵件后一旦打開了郵件，就會感染上病毒從而轉(zhuǎn)變?yōu)楦腥居脩簟．?dāng)然，如果用戶非常謹(jǐn)慎，直接將收到的陌生郵件刪除，就不會感染上病毒。從上述過程可看出，郵件病毒傳播的直接原因是用戶打開了帶有病毒的郵件。用戶對于帶毒郵件的警惕性越低，病毒傳播得越快，影響越大。各種大大小小的郵件病毒充斥著互聯(lián)網(wǎng)。電子郵件病毒之所以如此盛行，就是因為它通過

5、互聯(lián)網(wǎng)進(jìn)行傳播，能夠在短時間內(nèi)大范圍擴(kuò)散，為病毒制造者帶來巨大的經(jīng)濟(jì)利益。并且，由于電子郵件帶有私人性質(zhì)，目前還沒有相應(yīng)的法規(guī)或政策允許第三方在收件人之前檢查郵件是否帶有病毒。這也在一定程度上增加了電子郵件病毒的控制難度。4蠕蟲病毒的傳播任何蠕蟲在傳播過程中都要經(jīng)歷如下三個過程首先，探測存在漏洞的主機(jī)；其次，攻擊探測到的脆弱主機(jī)；最后，獲取蠕蟲副本，并在本機(jī)上激活它。因此，蠕蟲代碼的功能模塊至少需包含掃描模塊、攻擊模塊和復(fù)制模塊三個部分。蠕蟲的掃描功能模塊負(fù)責(zé)探測網(wǎng)絡(luò)中存在漏洞的主機(jī)。當(dāng)程序向某個主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。對于不同的漏洞需要發(fā)送不同的

6、探測包進(jìn)行掃描探測。例如，針對web的cgi漏洞可以發(fā)送一個特殊的http請求來探測，針對遠(yuǎn)程緩沖區(qū)溢出漏洞就需要發(fā)送溢出代碼來探測。緩沖區(qū)溢出是一種最常見的系統(tǒng)漏洞，通過向緩沖區(qū)中寫入超出其范圍的內(nèi)容，使得緩沖區(qū)發(fā)生溢出，破壞程序的堆棧，迫使程序轉(zhuǎn)而執(zhí)行其它指令，從而達(dá)到攻擊的目的。攻擊模塊針對掃描到的目標(biāo)主機(jī)的漏洞或缺陷，采取相應(yīng)的技術(shù)攻擊主機(jī)，直到獲得主機(jī)的管理員權(quán)限，并獲得一個shell。利用獲得的權(quán)限在主機(jī)上安裝后門、跳板、監(jiān)視器、控制端等等，最后清除日志。攻擊成功后，復(fù)制模塊就負(fù)責(zé)將蠕蟲代碼自身復(fù)制并傳輸給目標(biāo)主機(jī)。復(fù)制的過程實際上就是一個網(wǎng)絡(luò)文件的傳輸過程。復(fù)制過程也有很多種方法

7、，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲自帶的程序?qū)崿F(xiàn)。從技術(shù)上看，由于蠕蟲已經(jīng)取得了目標(biāo)主機(jī)的控制權(quán)限，所以很多蠕蟲都傾向于利用系統(tǒng)本身提供的程序（如tftp）來完成自我復(fù)制，這樣可以有效地減少蠕蟲程序本身的大小。經(jīng)過上述三個步驟之后，感染蠕蟲病毒的主機(jī)就成功地將蠕蟲代碼傳播給網(wǎng)絡(luò)中其他存在漏洞的主機(jī)了。5計算機(jī)病毒的防范策略首先，我認(rèn)為防治的基本方法是預(yù)防為主，殺毒為輔，盡快備份，及時升級。對用戶需要來說，讓你的計算機(jī)不染上病毒，只有安裝防病毒軟件或設(shè)備，發(fā)現(xiàn)病毒馬上殺毒，抗病毒最有效的方法是備份和加快病毒庫升級。其次，注意網(wǎng)址的正確性，避免進(jìn)入山寨網(wǎng)站。建立良好的安全習(xí)慣，不隨意接受、

8、打開陌生人發(fā)來的電子郵件或通過qq傳遞的文件或網(wǎng)址。例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會使您的計算機(jī)更安全。使用安全監(jiān)視軟件，主要防止瀏覽器被異常修改，插入鉤子，安裝不安全惡意的插件。最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控。在病毒日益增多的今天，使用殺毒軟件進(jìn)行防毒，是越來越經(jīng)濟(jì)的選擇，不過用戶在安裝了反病毒軟件之后，應(yīng)該經(jīng)常進(jìn)行升級、將一些主要監(jiān)控經(jīng)常打開（如郵件監(jiān)控）、內(nèi)存監(jiān)控等、遇到問題要上報，這樣才能真正保障計算機(jī)的安全。最后，使用正版軟件，殺毒軟件要經(jīng)常更新，可以快速檢測到可能入侵計算機(jī)的新病毒或者變種病毒。使用防火墻或者殺毒軟件自帶防火墻。經(jīng)常升級安全補(bǔ)丁。據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進(jìn)行傳播的，所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補(bǔ)丁，以防范未然。關(guān)閉電腦自