計算機病毒分析與對抗

1、計算機病毒分析與對抗暨 南 大 學(xué)本科生課程論文論文題目： 計算機病毒分析與對抗 學(xué) 院： 學(xué) 系： 專 業(yè)： 課程名稱： 學(xué)生姓名、學(xué)號： 指導(dǎo)教師： 2013年 06 月 24日目錄摘要- 2關(guān)鍵詞- 2一、病毒發(fā)展史- 31.1計算機發(fā)展史上的第一- 31.2電腦病毒的發(fā)展階段- 31.3、病毒的演化及發(fā)展過程- 5二、 傳統(tǒng)病毒- 62.1大麻病毒- 62.2觸發(fā)引導(dǎo)型病毒- 8三、蠕蟲病毒-143.1 計算機蠕蟲病毒- 143.2 蠕蟲病毒舉例- 173.3 計算機蠕蟲病毒的探測和防御技術(shù)- 203.4 防范蠕蟲病毒的措施- 21四、木馬病毒- 224.1木馬病毒- 224.2 木馬

2、病毒舉例- 274.3 防范與安全建議- 28五、病毒對抗-28參考文獻- 31附錄-31計算機病毒分析與對抗摘要 隨著計算機和互聯(lián)網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，計算機網(wǎng)絡(luò)系統(tǒng)的安全受到嚴重的挑戰(zhàn)，來自計算機病毒和黑客攻擊及其他方面的威脅越來越大。其中，計算機病毒更是計算機安全中很難根治的主要威脅之一。本文主要內(nèi)容是介紹計算機病毒及其防治。 本文第一章闡述了計算機病毒發(fā)展史，介紹了計算機病毒發(fā)展的各個階段；第二章詳細闡述了計算機傳統(tǒng)病毒，其中包括大麻病毒和觸發(fā)引導(dǎo)型病毒，介紹了其特點、危害及傳染方式；第三章介紹了蠕蟲病毒，其中主要講解了尼姆達蠕蟲病毒和熊貓燒香的結(jié)構(gòu)及其工作原理及如何防治與查殺

3、；第四章主要介紹了木馬病毒，其主要內(nèi)容包括木馬的功能、結(jié)構(gòu)及其工作原理，以及木馬的分類，木馬的發(fā)展階段，并介紹了幾種常見的木馬病毒。最后介紹了病毒的防范與查殺方法。關(guān)鍵詞計算機病毒；大麻病毒；引導(dǎo)型病毒；蠕蟲病毒；木馬；尼姆達蠕蟲病毒；熊貓燒香；病毒防范；一、病毒發(fā)展史1.1、計算機發(fā)展史上的第一：早在1949年，約翰馮諾依曼在他的論文自我繁殖的自動機理論中從理論上論證了當(dāng)今計算機病毒的存在論。1983年，弗雷德科恩博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，第一次驗證了計算機病毒的存在。1984年，科恩博士發(fā)表了一篇名為電腦病毒 理論與實驗（Computer Viruses Theo

4、ry and Experiments），第一次從理論和實踐兩個方面完整闡述了計算機病毒。也描述了他與其他專家對電腦病毒研究的實驗成果。 1986年，兩個巴基斯坦兄弟為了打擊盜版軟件的使用者設(shè)計了一個名為brain的病毒，這是世界上流行的第一個真正的病毒。1988年，羅伯特塔潘莫里斯編寫了世界上第一個能不斷自我復(fù)制并通過網(wǎng)絡(luò)傳播的蠕蟲病毒。1.2電腦病毒的發(fā)展階段 在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。同時，操作系統(tǒng)進行升級時，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)?？偟恼f來，病毒可以分為以下幾個發(fā)展階段：1.

5、DOS引導(dǎo)階段 1987年，電腦病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。由于，那時的電腦硬件較少，功能簡單，一般需要通過軟盤啟動后使用。而引導(dǎo)型病毒正是利用了軟盤的啟動原理工作，修改系統(tǒng)啟動扇區(qū)，在電腦啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤時進行傳播。2.DOS可執(zhí)行階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載執(zhí)行文件的機制工作，如“耶路撒冷”，“星期天”等病毒?？蓤?zhí)行型病毒的病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時進行傳染，并將自己附加在可執(zhí)行文件中，使文件長度增加。1990年，發(fā)展

6、為復(fù)合型病毒，可感染COM和EXE 文件。3.伴隨體型階段 1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進行工作。具有代表性的是“金蟬”病毒，它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體；它感染COM文件時，改為原來的COM 文件為同名的EXE文件，在產(chǎn)生一個原名的伴隨體，文件擴展名為COM。這樣，在DOS加載文件時，病毒會取得控制權(quán)，優(yōu)先執(zhí)行自己的代碼。該類病毒并不改變原來的文件內(nèi)容，日期及屬性，解除病毒時只要將其伴隨體刪除即可，非常容易。其典型代表的是“海盜旗”病毒，它在得到執(zhí)行時，詢問用戶名稱和口令，然后返回一個出錯信息，將自身刪除。4.變形階段 1

7、994年，匯編語言得到了長足的發(fā)展。要實現(xiàn)同一功能，通過匯編語言可以用不同的方式進行完成，這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。而典型的多形病毒幽靈病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對這段數(shù)據(jù)進行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。5.變種階段 1995年，在匯編語言中，一些數(shù)據(jù)的運算放在不同的通用寄存器中，可運算出同樣的結(jié)果，隨機的插入一些空操作和無關(guān)

8、命令，也不影響運算的結(jié)果。這樣，某些解碼算法可以由生成器生成不同的變種。其代表作品“病毒制造機”VCL，它可以在瞬間制造出成千上萬種不同的病毒，查解時不能使用傳統(tǒng)的特征識別法，而需要在宏觀上分析命令，解碼后查解病毒，大大提高了復(fù)雜程度。6.網(wǎng)絡(luò)、蠕蟲階段 1995年，隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)進行傳播，它們只是以上幾代病毒的改進。在Windows操作系統(tǒng)中，“蠕蟲”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進行傳播，有時也在網(wǎng)絡(luò)服務(wù)器和啟動文件中存在。7.窗口階段 1996年，隨著Windows的日益普及，利用Windows進行

9、工作的病毒開始發(fā)展，它們修改（NE，PE）文件，典型的代表是DS.3873，這類病毒的急智更為復(fù)雜，它們利用保護模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。8.宏病毒階段 1996年，隨著MS Office功能的增強及盛行，使用Word宏語言也可以編制病毒，這種病毒使用類Basic 語言，編寫容易，感染W(wǎng)ord文件文件。由于Word文件格式?jīng)]有公開，這類病毒查解比較困難。9.互聯(lián)網(wǎng)、感染郵件階段 1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來越多，如果不小心打開了這些郵件，電腦就有可能中毒。10.爪哇、郵件炸彈階段 1997年，隨著互聯(lián)網(wǎng)上Ja

10、va的普及，利用Java語言進行傳播和資料獲取的病毒開始出現(xiàn)，典型的代表是JavaSnake病毒。還有一些利用郵件服務(wù)器進行傳播和破壞的病毒，例如Mail-Bomb病毒，它就嚴重影響因特網(wǎng)的效率。1.3、病毒的演化及發(fā)展過程當(dāng)前電腦病毒的最新發(fā)展趨勢主要可以歸結(jié)為以下幾點：1.病毒在演化任何程序和病毒都一樣，不可能十全十美，所以一些人還在修改以前的病毒，使其功能更完善，病毒在不斷的演化，使殺毒軟件更難檢測。2.千奇百怪病毒出現(xiàn)現(xiàn)在操作系統(tǒng)很多，因此，病毒也瞄準(zhǔn)了很多其他平臺，不再僅僅局限于Microsoft Windows平臺了。3.越來越隱蔽一些新病毒變得越來越隱蔽，同時新型電腦病毒也越來越

11、多，更多的病毒采用復(fù)雜的密碼技術(shù)，在感染宿主程序時，病毒用隨機的算法對病毒程序加密，然后放入宿主程序中，由于隨機數(shù)算法的結(jié)果多達天文數(shù)字，所以，放入宿主程序中的病毒程序每次都不相同。這樣，同一種病毒，具有多種形態(tài)，每一次感染，病毒的面貌都不相同，猶如一個人能夠“變臉”一樣，檢測和殺除這種病毒非常困難。同時，制造病毒和查殺病毒永遠是一對矛盾，既然殺毒軟件是殺病毒的，而就有人卻在搞專門破壞殺病毒軟件的病毒，一是可以避過殺病毒軟件，二是可以修改殺病毒軟件，使其殺毒功能改變。因此，反病毒還需要很多專家的努力！二、傳統(tǒng)病毒傳統(tǒng)的計算機病毒鼎盛時期是20世紀80年代中期到90年代末，隨著互聯(lián)網(wǎng)的發(fā)展逐漸被

12、網(wǎng)絡(luò)蠕蟲以及一些網(wǎng)絡(luò)為傳播途徑的病毒所取代。傳統(tǒng)病毒的代表有巴基斯坦智囊（Brain）、大麻、磁盤殺手（）、等。傳統(tǒng)病毒一百年由三個組要模塊組成，包括啟動模塊、傳染模塊和破壞模塊。當(dāng)系統(tǒng)執(zhí)行了感染病毒的文件時，病毒的啟動模塊開始駐留在系統(tǒng)內(nèi)存中。傳染模塊和破壞模塊的發(fā)作均為條件觸發(fā)，當(dāng)滿足了傳染條件，病毒開始傳染別的文件。滿足了破壞條件，病毒就開始破壞系統(tǒng)。由于課本頁介紹了病毒，在此不重復(fù)介紹，介紹另一種病毒：大麻。2.1、大麻病毒：大麻病毒又叫新西蘭病毒，因為最早在1988年初，在新西蘭的惠靈頓市就有發(fā)現(xiàn)大麻病毒的報道。那時的大麻病毒只感染360KB的軟盤，不感染硬盤。后來的大麻變種中，大部

13、分都感染硬盤，有的還改動了顯示信息，有的則把顯示信息語句之前的條件判斷修改成每次啟動時，病毒都在屏幕上顯示出下列字符串：YourPCisnowStoned!LEGALISEMARIJUANA!而不是原始設(shè)計的當(dāng)系統(tǒng)時鐘計數(shù)器記到8的倍數(shù)時才顯示上述信息。2.1.1危害大麻病毒很短小，總共不到400個字節(jié)的代碼就完成駐留內(nèi)存、修改中斷向量、區(qū)別軟硬盤、感染軟盤、感染硬盤、引導(dǎo)原硬盤主引導(dǎo)扇區(qū)、顯示時機判斷、顯示信息以及大麻病毒感染標(biāo)志判斷以防止重復(fù)感染等眾多功能。2.1.2特點大約在1989年大麻病毒傳入我國，成為在當(dāng)時四處傳播的一種主要病毒。大麻病毒像其他許多引導(dǎo)區(qū)病毒一樣，對軟盤的感染并不去

14、判斷該軟盤是否含有DOS的系統(tǒng)文件，即不理會該軟盤是否為可啟動的系統(tǒng)盤，因此造成不僅系統(tǒng)盤會被感染，一般的數(shù)據(jù)盤也會被感染。當(dāng)染有大麻病毒的軟盤插在A：驅(qū)動器中，在系統(tǒng)重新啟動時首先嘗試讀A：盤。只要軟盤的引導(dǎo)扇區(qū)內(nèi)容被讀進PC機，即使啟動不成功，大麻也已經(jīng)駐留在內(nèi)存中，可以繼續(xù)去感染硬盤和他未染病毒的軟盤了。PC機將隱藏在軟盤引導(dǎo)扇區(qū)的病毒讀入內(nèi)存只是一瞬間的事情，往往在用戶意識到自己在啟動PC機時插錯了軟盤，或根本不該在軟驅(qū)中插軟盤時，已經(jīng)為時已晚了。許許多多種引導(dǎo)區(qū)型毒就是靠這種方式感染進硬盤的。PC機硬盤內(nèi)原本是無毒的，因為一次偶然的操作，使引導(dǎo)區(qū)型病毒從軟盤傳染進入了硬盤，這是很多用

15、戶都經(jīng)歷過的。經(jīng)過分析，我們知道大麻病毒與其他許多引導(dǎo)區(qū)型病毒一樣，都只能從軟盤傳染到硬盤2.1.3傳染方式從傳染方式上講，大麻病毒是在系統(tǒng)執(zhí)行讀操作時進行傳染的。由于磁盤讀寫中斷被大麻病毒接管，因此任何磁盤操作都會被它過濾一遍，讀磁盤是最普遍的操作，大麻病毒在判斷到有讀盤操作發(fā)生時，就調(diào)用傳染子程序，對那些尚未被大麻病毒感染過的磁盤進行傳染。判斷的標(biāo)志是大麻病毒自身的啟動程序代碼，因此很難為正確的引導(dǎo)扇區(qū)啟動程序制作大麻病毒的免疫標(biāo)志。在這里我們也可以看到要制作出可以成為各種病毒都被通用的免疫標(biāo)志是不可能的。我們不能依靠制作免疫標(biāo)志的方法來抵御電腦病毒。作為大麻病毒程序本身，其內(nèi)部并沒有刻意

16、編寫的破壞代碼，如將FAT清零、格式化磁盤等，無法將其劃分為惡性病毒，但實際上大麻病毒卻能引來數(shù)據(jù)混亂、文件丟失等。對軟盤來講，大麻病毒將原DOS引導(dǎo)扇區(qū)搬移到0道、1面、3扇區(qū)中，原扇區(qū)的內(nèi)容被覆蓋掉。如果該扇區(qū)含有有用信息，這將造成損失，在360KB容量的軟盤上，這個扇區(qū)是目錄區(qū)最后一個扇區(qū)，若根目錄下的文件數(shù)目不是很多時，不會用到這個扇區(qū)，也就不會有影響，對1)2MB容量的軟盤，大麻病毒占用的這個扇區(qū)位于目錄區(qū)的第三扇區(qū)，而不是最后一個扇區(qū)，這時存放在這個扇區(qū)的16個文件就全部丟失了，而根目錄里只有前兩個扇區(qū)內(nèi)的32個文件未受觸動。第3扇區(qū)以后的扇區(qū)內(nèi)容因第三扇區(qū)被破壞而使存放在其中的件

17、也無法被找到。這是大麻病毒覆蓋正常扇區(qū)的情況。反過來，若該盤是系統(tǒng)引導(dǎo)盤，被大麻感染之后，原引導(dǎo)扇被寫到0磁道、1柱面、3扇區(qū)，當(dāng)盤上建立的文件數(shù)逐漸增加，覆蓋了占據(jù)目錄區(qū)的原引導(dǎo)扇區(qū)內(nèi)容時，該盤就由能引導(dǎo)的啟動盤變成不能引導(dǎo)的啟動盤了。對硬盤來講，大麻病毒可能不造成任何破壞，也可能會毀壞數(shù)據(jù)，這取決于盤上安裝的DOS版本號。硬盤劃分分區(qū)時，有一個保留區(qū)，也叫隱藏區(qū)。DOS2)x的FDISK劃分分區(qū)時，隱藏區(qū)的扇區(qū)數(shù)目為o，此時大麻病毒在傳染硬盤時，把原主引導(dǎo)扇區(qū)搬到o道0面7扇區(qū)，該扇區(qū)正好是硬盤C:分區(qū)的FAT所在扇區(qū)。在這種情況下，不是造成由于FAT被破壞引起數(shù)據(jù)丟失，就是占據(jù)該位置的主

18、引導(dǎo)區(qū)被破壞而引起硬盤不能啟動。DOS3)x的FDISK將整個一個磁道都劃為隱藏區(qū)，除主引導(dǎo)扇區(qū)所處的第一扇區(qū)有用外，其他扇區(qū)作為保留，不放DOS信息。這種情況下，硬盤上即使感染上了大麻病毒，系統(tǒng)里的數(shù)據(jù)也不受損傷，因為0道0面7扇區(qū)是保留區(qū)內(nèi)的扇區(qū)。在內(nèi)存中，大麻病毒占用了2KB內(nèi)存，實際只占用了1KB。檢查大麻病毒時，要在內(nèi)存中無病毒的情況下進行，不然剛剛清掉病毒又馬上會被感染上。2.2、演示觸發(fā)引導(dǎo)型病毒：引導(dǎo)型病毒取得控制權(quán)的過程：1、 正常的引導(dǎo)過程MBR和分區(qū)表裝載DOS引導(dǎo)區(qū)運行DOS引導(dǎo)程序加載IO.sysMSDOS.sys加載、用被感染的軟盤啟動引導(dǎo)型病毒從軟盤加載到內(nèi)存尋找

19、DOS引導(dǎo)區(qū)的位置將引導(dǎo)區(qū)移動到別的位置病毒將自己寫入原引導(dǎo)區(qū)的位置、 病毒在啟動時獲得控制權(quán)MBR和分區(qū)表將病毒的引導(dǎo)程序加載入內(nèi)存運行病毒引導(dǎo)程序病毒駐留內(nèi)存原引導(dǎo)程序執(zhí)行并加載系統(tǒng)DOS運行時病毒由硬盤感染軟盤的實現(xiàn)。 第一步：環(huán)境安裝安裝虛擬機VMWare，在虛擬機環(huán)境內(nèi)安裝MS-DOS 7.10環(huán)境。第二步：軟盤感染硬盤1、運行虛擬機，檢查目前虛擬硬盤是否含有病毒。如圖表示沒有病毒正常啟動硬盤的狀態(tài)。2、拷貝含有病毒的虛擬軟盤virus.img。3、將含有病毒的軟盤插入虛擬機引導(dǎo)，可以看到閃動的字符*_*，如左圖4。按任意鍵進入下圖畫面。第三步：驗證硬盤已經(jīng)被感染1、 取出虛擬軟盤，

20、通過硬盤引導(dǎo)，再次出現(xiàn)了病毒的畫面。2、按任意鍵后正常引導(dǎo)了dos系統(tǒng)?？梢?，硬盤已經(jīng)被感染。第四步：硬盤感染軟盤1、下載empty.img，并且將它插入虛擬機，啟動電腦，由于該盤為空，如圖顯示。2、取出虛擬軟盤，從硬盤啟動，通過命令format A: /q快速格式化軟盤?？赡芴崾境鲥e，這時只要按R即可。如圖所示。3、成功格式化后的結(jié)果如圖所示。4、不要取出虛擬軟盤，重新啟動虛擬機，這時是從empty.img引導(dǎo)，可以看到病毒的畫面，如下圖（1）所示。按任意鍵進入圖（2）畫面?？梢?，病毒已經(jīng)成功由硬盤傳染給了軟盤。 圖（1）圖（2）三、 蠕蟲病毒3.1計算機蠕蟲病毒3.11定義蠕蟲病毒產(chǎn)生于2

21、0世紀80年代后期，鼎盛時期是從20世紀90年代末開始，而且迅速成為了計算機病毒的主流。計算機蠕蟲是無須計算機使用者干預(yù)即可運行的獨立程序,它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計算機上的部分或全部控制權(quán)來進行傳播。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。計算機蠕蟲和計算機病毒都具有傳染性和復(fù)制功能，這兩個主要特性上的一致，導(dǎo)致二者之間是非常難區(qū)分的，尤其是近年來，計算機蠕蟲、計算機病毒和木馬程序之間的界限已不在明顯，三者相互滲透，優(yōu)勢互補。一方面越來越多的病毒采取了部分蠕蟲的技術(shù)，另一方面具有破壞性的蠕蟲也采

22、取了部分病毒和木馬技術(shù)。例如，N i m d a 蠕蟲病毒和CodeRed 蠕蟲病毒即以蠕蟲的傳播方式去感染別的計算機，影響網(wǎng)絡(luò)，又以病毒的方式在被感染計算機上執(zhí)行惡意程序，破壞被感染計算機上的文件，最后利用木馬程序在被感染主機上設(shè)置后門，供其他蠕蟲病毒利用。綜上所述，計算機蠕蟲病毒是一種融合計算機蠕蟲、計算機病毒和木馬技術(shù)的新技術(shù)，它無須計算機使用者干預(yù)即可運行，通過大規(guī)模的掃描獲取網(wǎng)絡(luò)中存在漏洞的計算機的控制權(quán)進行復(fù)制和傳播，在已感染的計算機中設(shè)置后門或執(zhí)行惡意代碼破壞計算機系統(tǒng)或信息。它是通過在互聯(lián)網(wǎng)環(huán)境下復(fù)制自身進行傳播，蠕蟲病毒的傳播目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機，傳播條途徑主要包括局域

23、網(wǎng)內(nèi)的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁和大量存在著漏洞的服務(wù)器等?？梢哉f蠕蟲病毒是以計算機為載體，以網(wǎng)絡(luò)為攻擊對象。3.12計算機蠕蟲病毒與普通病毒的區(qū)別。蠕蟲和普通病毒不同的一個特征是，蠕蟲病毒往往能夠利用漏洞。一般來說，漏洞可以分為軟件漏洞和人為缺陷，軟件漏洞主要指程序員由于習(xí)慣不規(guī)范、錯誤理解或想當(dāng)然，在軟件中留下存在安全隱患的代碼，如緩沖區(qū)漏洞、微軟IE和Outlook的自動執(zhí)行漏洞等。認為缺陷主要指的是計算機用戶的疏忽，這就是所謂的社會工程學(xué)的問題，如一封標(biāo)題為求職信息的郵件時，大多數(shù)人都會抱著好奇的心理去點擊它，則求職信病毒將順利侵入，蠕蟲病毒的攻擊和傳播主要就是利用漏洞。下

24、面通過一個表格來比較普通病毒和蠕蟲病毒比較方面普通病毒蠕蟲病毒存在形式寄生獨立個體復(fù)制形式插入到宿主程序(文件)中自身的拷貝傳染機制宿主程序運行系統(tǒng)存在漏洞觸發(fā)傳染計算機使用者程序自身影響重點文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能計算機使用者在傳播中角色病毒傳播中的關(guān)鍵環(huán)節(jié)無關(guān)對抗的主要主體計算機使用者、反病毒廠商系統(tǒng)提供商、網(wǎng)絡(luò)管理人員3.13計算機蠕蟲病毒的傳播方式已知道蠕蟲病毒的傳播方式大致可以分為：郵件。當(dāng)今社會，e-mail 是人們交往和工作最主要的方式之一，也是網(wǎng)絡(luò)應(yīng)用最為頻繁的服務(wù)之一，因此蠕蟲病毒也借用該手段進行傳播，例如I-Worm。局域網(wǎng)。大部分的網(wǎng)絡(luò)安全時間都是來自與局域望內(nèi)部，蠕蟲

25、病毒在傳播過程中也首先在本地局域網(wǎng)中自動搜索可寫目錄直接修改感染機器的注冊表，使得能自動運行。系統(tǒng)漏洞。大部分的蠕蟲病毒都是針對系統(tǒng)漏洞進行大規(guī)模的傳播、感染。例如N i m d a 蠕蟲病毒等。3.14 計算機蠕蟲病毒的巨大危害從1988 年首例蠕蟲（Morris）事件以來，統(tǒng)計到的Internet 安全威脅事件每年以指數(shù)增長，近年來的增長態(tài)勢變得的尤為迅猛。計算機蠕蟲病毒的危害是巨大的，主要體現(xiàn)在以下五個方面：消耗被感染主機的系統(tǒng)資源以及破壞系統(tǒng)文件和信息資源； 消耗網(wǎng)絡(luò)上的帶寬造成網(wǎng)絡(luò)阻塞甚至網(wǎng)絡(luò)癱瘓；消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源，如路由器和交換機；降低被感染主機和網(wǎng)絡(luò)設(shè)備的系統(tǒng)性能；與黑客技術(shù)

26、融合，造成更大的安全隱患。例如泄露機密信息，特別是金融和政府的信息。3.15計算機蠕蟲病毒的發(fā)展趨勢從Morris 蠕蟲到現(xiàn)在基于P2P 的QQ蠕蟲，蠕蟲病毒總是隨著網(wǎng)絡(luò)技術(shù)的進步而發(fā)展，2000 年至今，出現(xiàn)的蠕蟲病毒數(shù)不勝數(shù)（redcode ,nimda 等等），同時Internet 上每天都充斥著大量的蠕蟲病毒。蠕蟲病毒隨著網(wǎng)絡(luò)安全技術(shù)的進步也出現(xiàn)了新的變化，傳播多樣化。蠕蟲病毒不再是以僅有的傳播方式進行傳播，它利用偽裝等更多的技術(shù)傳播。利用偽裝技術(shù)，蠕蟲病毒藏身于一些合法的制作工具或著名公司的系統(tǒng)工具，利用這些工具制作的軟件包就包含了蠕蟲病毒，從而達到傳染目的。智能化。蠕蟲病毒已不再需

27、要人為的動作進行傳播，它結(jié)合人工智能技術(shù)，蠕蟲的傳播，感染，破壞都是自動完成，而且朝著反病毒軟件的方向發(fā)展。3.16計算機蠕蟲病毒的功能結(jié)構(gòu)模型一般地，蠕蟲病毒的功能模塊可以分為兩部分：基本功能模塊和擴展功能模塊。其中，基本功能模塊分為5 個部分：搜索模塊、攻擊模塊、傳輸模塊、信息收集模塊和繁殖模塊；擴展功能模塊包括4 個部分：通信模塊、隱藏模塊、破壞模塊和控制模塊。該模型體現(xiàn)了當(dāng)前蠕蟲病毒的功能結(jié)構(gòu)，其中實現(xiàn)了基本功能模塊的蠕蟲病毒能夠很好的完成傳播復(fù)制流程，而包含擴展功能模塊的蠕蟲病毒則有更強的生存能力和破壞能力。3.17計算機蠕蟲病毒的功能結(jié)構(gòu)模型分析首先，計算機蠕蟲病毒的基本功能即傳播

28、復(fù)制過程可以分為四個階段：系統(tǒng)掃描、進行攻擊、現(xiàn)場處理、自我復(fù)制,如圖一所示。網(wǎng)絡(luò)上已感染計算機蠕蟲病毒的主機通過特定的掃描機制（例如：選擇性隨機掃描、順序掃描等）去尋找存在漏洞的主機，當(dāng)掃描到有漏洞的計算機系統(tǒng)后，進行攻擊，攻擊部分主要完成計算機蠕蟲病毒主體的遷移工作以及對計算機系統(tǒng)信息和文件的破壞；計算機蠕蟲病毒進入系統(tǒng)后，要做現(xiàn)場處理工作，例如修改系統(tǒng)日志、信息收集和自我隱藏等；最后一步是自我復(fù)制，生成多個副本重復(fù)上述流程。其次，計算機蠕蟲病毒的擴展功能主要是實現(xiàn)計算機蠕蟲病毒的攻擊破壞能力，不同的蠕蟲病毒其基本功能都基本上一致，但是他們的擴展功能卻不盡相同。要認識、探測和防御蠕蟲病毒就

29、要充分了解蠕蟲病毒的行為特征，這里我門把蠕蟲病毒的行為特征歸納為四個方面：主動攻擊、利用漏洞、行蹤隱藏和反復(fù)感染。計算機蠕蟲病毒被釋放以后，從搜索漏洞到利用漏洞進行系統(tǒng)攻擊及復(fù)制副本，整個流程都是由蠕蟲病毒自身主動完成。計算機蠕蟲病毒在搜索漏洞時將發(fā)起大量的連接以判斷計算機是否存在、特定的應(yīng)用服務(wù)是否存在、漏洞是否存在等等。進入系統(tǒng)后，蠕蟲病毒通過修改系統(tǒng)日志隱藏自己，最后復(fù)制蠕蟲病毒副本，下載和運行惡意代碼。被感染主機作為一個新的攻擊源去攻擊別的計算機。3.2 蠕蟲病毒舉例3.2.1典型的蠕蟲病毒(1) “震蕩波”Worm. sasser 蠕蟲病毒中毒后的系統(tǒng)將開啟上百個線程去攻擊其他網(wǎng)上的

30、用戶，可造成機器運行緩慢、網(wǎng)絡(luò)堵塞，并讓系統(tǒng)不停的進行倒計時重啟。(2) “網(wǎng)絡(luò)天空”Worm. netsky 蠕蟲病毒病毒利用系統(tǒng)收信郵件地址，瘋狂的亂發(fā)病毒郵件大量浪費網(wǎng)絡(luò)資源， 使眾多郵件服務(wù)器癱瘓，因此讓受感染的系統(tǒng)速度變慢。(3) “災(zāi)飛”Worm. Zaf i 病毒該病毒可以阻礙網(wǎng)絡(luò)暢通、使防病毒軟件失效、并偽裝成著名MP3 播放器的可執(zhí)行文件使用戶感染。中止大量反病毒軟件，并用病毒文件替換反病毒軟件的主程序，導(dǎo)致反病毒軟件無法使用。(4) QQ 消息機木馬Troj. QQmsg 病毒，和網(wǎng)游、網(wǎng)銀盜號木馬QQ 消息機，利用IE 漏洞傳播，每一個病毒傳播范范圍不廣，但是其變種頻出。

31、網(wǎng)游盜號木馬病毒泛濫，其變種繁多，針對各類網(wǎng)絡(luò)游戲的木馬病毒每天都在增加。它們會偽裝成工具欺騙用戶運行，捆綁到網(wǎng)游外掛，利用QQ 消息機的傳播特性等多種手段進人用戶的系統(tǒng)，通過監(jiān)視用戶系統(tǒng)的一舉一動伺機盜取用戶的網(wǎng)游帳號、密碼和網(wǎng)絡(luò)銀行的帳號、密碼。(5) 求職信Worm. Klez. E 及變種“求職信”變種病毒是一種電子郵件蠕蟲病毒，病毒發(fā)作后會感染電腦中的Word 文檔和Excel 文檔，且遭受感染的文檔和數(shù)據(jù)根本無法恢復(fù)。同時，該病毒將終止反病毒軟件的運行，并將其從電腦中刪除。(6) 沖擊波殺手Worm.MSBlaster 及其變種“沖擊波殺手”這個利用微軟RPC 漏洞進行傳播的蠕蟲病

32、毒至少攻擊了全球80%的Windows 用戶，使他們的計算機無法工作并反復(fù)重啟，大量企業(yè)用戶也未能幸免。該病毒還引發(fā)DoS 攻擊，使多個國家的互聯(lián)網(wǎng)也受到相當(dāng)影響。電腦不能正常復(fù)制粘貼。系統(tǒng)網(wǎng)絡(luò)連接數(shù)增大，系統(tǒng)反應(yīng)奇慢。3.2.2尼姆達蠕蟲病毒以尼姆達蠕蟲（Worms.Nimda)病毒為例分析一下蠕蟲病毒。2001年9月18日尼姆達病毒在全球蔓延，它能夠通過多種傳播渠道進行傳播，傳染性極強，同時破壞力也極大。尼姆達病毒的傳播幾乎涵蓋了目前病毒傳播的所有途徑，主要包括以下方面：1）攻擊Web服務(wù)器，用戶通過網(wǎng)易額感染 尼姆達病毒會檢測Internet,試圖找到Web服務(wù)器，找到之后蠕蟲便會利用已

33、知的系統(tǒng)漏洞來攻擊改服務(wù)器，如果成功，蠕蟲將會修改該站點的Web頁信息，并上傳病毒。Web服務(wù)器中毒后，當(dāng)用戶瀏覽該站點時，不知不覺便會被病毒感染。Web服務(wù)器的漏洞主要包括Microsoft IIS Unicode解碼目錄遍歷漏洞、Microsoft IIS CGI文件名錯誤解碼漏洞以及紅色代碼（CodeRedII)病毒遺留的漏洞。2）構(gòu)造帶病毒的郵件，群發(fā)傳播病毒尼姆達病毒利用MAPI函數(shù)調(diào)用，從用戶的郵件地址簿和用戶Web Cache文件夾中的HTM（或HTML)文件搜索E-main地址，并向這些地址發(fā)包含病毒的郵件。這些郵件包含一個名為readme.exe的base64編碼可執(zhí)行的二進

34、制文（運行該文件系統(tǒng)將被傳染尼姆達病毒），由于IE5.5SP1及以前版本存在Automatic Execution of Embedded MIME Types 安全漏洞，當(dāng)讀取HTML格式的郵件時就會自動運行郵件，故用戶無須打開附件文件，readme.exe也能夠自動運行，從而感染整個系統(tǒng)。3）向本地共享區(qū)復(fù)制病毒，傳染訪問此區(qū)的主機尼姆達病毒還會搜索本地網(wǎng)絡(luò)的文件共享，無論它是在文件服務(wù)器上還是在中斷客戶機上，一旦找到，便安裝一個名為Riched20.dll的隱藏文件到每一個Doc和Eml文件的目錄中，當(dāng)用戶通過Word、寫字板、Outlook打開Doc或Eml文檔時，這些應(yīng)用程序?qū)ふ也?/p>

35、加載Riched20.dll文件，從而使機器感染。4）感染本地PE格式文件尼姆達病毒也會感染本地PE格式的exe格式文件，這一點與傳統(tǒng)病毒類似，當(dāng)用戶執(zhí)行這些被感染的文件時，病毒就會發(fā)作。尼姆達病毒是一個精心設(shè)計的蠕蟲病毒，其結(jié)構(gòu)復(fù)雜堪稱近年來之最。尼姆達病毒激活后，使用其副本替換系統(tǒng)文件；將系統(tǒng)的個各驅(qū)動器設(shè)為開放共享，降低系統(tǒng)安全性；創(chuàng)建Guest賬號并將其加入到管理員組中，安裝Guest用戶后門。由于尼姆達病毒通過網(wǎng)絡(luò)大量傳播，產(chǎn)生大量異常的網(wǎng)絡(luò)流量和大量的垃圾郵件，網(wǎng)絡(luò)性能勢必受到嚴重影響。受到尼姆達病毒感染的用戶應(yīng)重新安裝系統(tǒng)，以便徹底清除其他潛在的后門。如果不能立刻重裝系統(tǒng)，可以參

36、考下列步驟來清除蠕蟲或者防止被蠕蟲攻擊。1）下載IE和IIS的補丁程序到受影響的主機上2）安裝殺毒軟件和微軟公司的CodeRedII清除程序。3）備份重要數(shù)據(jù)。4）斷開網(wǎng)絡(luò)連接（如拔掉網(wǎng)線）。5）執(zhí)行殺毒工作，清除可能的CodeRedII蠕蟲留下的后門。6）安裝IE和IIS的補丁。7）重新啟動系統(tǒng)，再次運行殺毒軟件以確保完全清除蠕蟲。由于尼姆達病毒修改和替換了大量的系統(tǒng)文件，因此手工清除可硬比較繁瑣而且不易清除干凈。建議使用最新版本額反病毒廠商的殺毒軟件來進行清除工作。建議在殺毒之前備份系統(tǒng)中的重要數(shù)據(jù)，以避免數(shù)據(jù)丟失。3.2.3熊貓燒香蠕蟲病毒一、病毒描述其實是一種蠕蟲病毒的變種， 而且是經(jīng)

37、過多次變種而來的，由于中毒電腦的可執(zhí)行文件會出現(xiàn)“熊貓燒香”案，所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標(biāo)進行替換，并不會對系統(tǒng)本身進行破壞。而大多數(shù)是中的病毒變種，用戶電腦中毒后可能會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時，該病毒的某些變種可以通過局域網(wǎng)進行傳播，進而感染局域網(wǎng)內(nèi)所有計算機系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。二、中毒癥狀除了通過網(wǎng)

38、站帶毒感染用戶之外，此病毒還會在局域網(wǎng)中傳播，在極短時間之內(nèi)就可以感染幾千臺計算機，嚴重時可以導(dǎo)致網(wǎng)絡(luò)癱瘓。中毒電腦上會出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。三、病毒危害病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。 “熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，并且

39、利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成“熊貓燒香”圖案?！靶茇垷恪边€可以通過共享文件夾、用戶簡單密碼等多種方式進行傳播。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導(dǎo)致用戶瀏覽這些網(wǎng)站時也被病毒感染。據(jù)悉，多家著名網(wǎng)站已經(jīng)遭到此類攻擊，而相繼被植入病毒。由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機構(gòu)已經(jīng)超過千家，其中不乏金融、稅務(wù)、能源等關(guān)系到國計民生的重要單位。注：江蘇等地區(qū)成為“熊貓燒香”重災(zāi)區(qū)。四、運行過程本地磁盤感

40、染。病毒對系統(tǒng)中所有除了盤符為A，B的磁盤類型為DRE_REMOTE，DRE_FED的磁盤進行文件遍歷感染。五、防御方法計世網(wǎng)消息 在2007年新年出現(xiàn)的“PE_FUJACKS”就是最近讓廣大互聯(lián)網(wǎng)用戶聞之色變的“熊貓燒香”。該病毒的作者為“武漢男生”（文件末簽名”WhBoy”），這個版本的病毒已經(jīng)集成了PE_FUJA CK和QQ大盜的代碼，通過網(wǎng)絡(luò)共享，文件感染和移動存儲設(shè)備傳播，尤其是感染網(wǎng)頁文件，并在網(wǎng)頁文件寫入自動更新的代碼，一旦瀏覽該網(wǎng)頁，就會感染更新后的變種。不幸中招的用戶都知道，“熊貓燒香”會占用局域網(wǎng)帶寬，使得電腦變得緩慢，計算機會出現(xiàn)以下癥狀：熊貓燒香病毒會在網(wǎng)絡(luò)共享文件夾中

41、生成一個名為GameSetup.exe的病毒文件；結(jié)束某些應(yīng)用程序以及防毒軟件的進程，導(dǎo)致應(yīng)用程序異常，或不能正常執(zhí)行，或速度變慢；硬盤分區(qū)或者U盤不能訪問使用；exe程序無法使用程序圖標(biāo)變成熊貓燒香圖標(biāo)；硬盤的根目錄出現(xiàn)setup.exe auturun.INF文件 ；同時瀏覽器會莫名其妙地開啟或關(guān)閉。該病毒主要通過瀏覽惡意網(wǎng)站、網(wǎng)絡(luò)共享、文件感染和移動存儲設(shè)備（如U盤）等途徑感染，其中網(wǎng)絡(luò)共享和文件感染的風(fēng)險系數(shù)較高，而通過Web和移動存儲感染的風(fēng)險相對較低。該病毒會自行啟動安裝，生成注冊列表和病毒文件%System%driversspoclsv.exe ，并在所有磁盤跟目錄下生成病毒文件

42、setup.exe,autorun.inf。應(yīng)用統(tǒng)一變?yōu)樾茇垷愕膱D標(biāo)其實就是在注冊表的HKEY_CLASSES_ROOT這個分支中寫入了一個值，將所有的EXE文件圖標(biāo)指向一個圖標(biāo)文件，所以一般只要刪除此值，改回原貌就可以了。3.3 計算機蠕蟲病毒的探測和防御技術(shù)由于計算機蠕蟲病毒具有相當(dāng)?shù)膹?fù)雜性和破壞性，因此，計算機蠕蟲病毒的探測和防御就顯得格外重要。目前還沒有那種防御措施能有效的探測和防御所有的計算機蠕蟲病毒，特別是新型的未知的計算機蠕蟲病毒。在網(wǎng)絡(luò)中，應(yīng)用最廣泛的計算機蠕蟲病毒的探測和防御技術(shù)是防火墻技術(shù)，IDS 技術(shù)（Intrusiondetectionsystems），Snmp 技術(shù)

43、和netflow 技術(shù)等。一、采用防火墻技術(shù)通過配置網(wǎng)絡(luò)或單機防火墻軟件， 禁止除服務(wù)端口外的其他端口，這將切斷計算機蠕蟲病毒的傳輸通道和通信通道。過濾含有某個計算機蠕蟲病毒特征的報文，屏蔽已被感染的主機對保護網(wǎng)絡(luò)的訪問等。由于蠕蟲病毒的行為同一般的網(wǎng)絡(luò)應(yīng)用有很大的相似性，因此防火墻技術(shù)不可避免的導(dǎo)致某些正常的網(wǎng)絡(luò)應(yīng)用也被封堵。二、采用IDS 技術(shù)IDS 主要用來檢測DDOS 攻擊和計算機蠕蟲病毒。IDS分為兩種：基于特征模型的IDS 和基于異常模型的IDS。基于特征模型的IDS 通過分析已知計算機蠕蟲病毒的發(fā)病機制和特征，構(gòu)建相應(yīng)的數(shù)據(jù)模型的數(shù)據(jù)庫。IDS 在所監(jiān)控的網(wǎng)絡(luò)中收集計算機和網(wǎng)絡(luò)活

44、動的數(shù)據(jù)以及他們之間的連接，將這些數(shù)據(jù)構(gòu)建成網(wǎng)絡(luò)活動行為的特征與數(shù)據(jù)庫中的數(shù)據(jù)模型相匹配，檢查計算機蠕蟲病毒是否存在。這種技術(shù)通過模型匹配對已知蠕蟲病毒能有效的防治，但是卻不能探測和防御新型的未知的計算機蠕蟲病毒。另外，基于異常模型的IDS 通過監(jiān)視不正常的通信量變化探測新的攻擊，這里的通信量的改變是指當(dāng)前的通信量的度量值和它正常條件下的通信量的閥值的差值。由于確定一個適當(dāng)?shù)陌姓Ｍㄐ乓蛩氐拈y值是相當(dāng)?shù)睦щy，因而基于異常模型的IDS 有較高的報錯率。三、采用SNMP+MRTG 技術(shù)簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)是一種應(yīng)用層協(xié)議，是TCP

45、/IP 協(xié)議族的一部分，它使網(wǎng)絡(luò)設(shè)備間能方便地交換管理信息。SNMP 能夠讓網(wǎng)絡(luò)管理員管理網(wǎng)的性能，發(fā)現(xiàn)和解決網(wǎng)絡(luò)問題及進行網(wǎng)絡(luò)的擴充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型網(wǎng)絡(luò)流量統(tǒng)計分析工具。它耗用的系統(tǒng)資源很小，它通過SNMP 協(xié)議從設(shè)備得到其流量信息，并將流量負載以包含JPEG 格式圖形的HTML 文檔的方式顯示給用戶，以非常直觀的形式顯示流量負載。當(dāng)蠕蟲病毒爆發(fā)時，在MRTG 上可以直觀的看出網(wǎng)絡(luò)流量的增加，結(jié)合MRTG 反饋的信息，網(wǎng)絡(luò)管理者可以及時采取補救措施，防止蠕蟲病毒造成更大的危害。該技術(shù)也是目前局域網(wǎng)管理中應(yīng)用最廣泛

46、的技術(shù)之一。四、采用NETFLOW 技術(shù)由于現(xiàn)在蠕蟲病毒的傳播速度越來越快，爆發(fā)周期越來越短，危害也越來越大，因此，如何在蠕蟲病毒發(fā)作早期將其檢測出來成了減輕蠕蟲病毒危害的關(guān)鍵。利用蠕蟲病毒的行為特征將NetFlow 技術(shù)應(yīng)用到蠕蟲病毒的早期檢測上是一種可行的技術(shù)路線。NetFlow 是Cisco 公司在其IOS（網(wǎng)絡(luò)操作系統(tǒng)） 交換體系中引入的一種新的交換技術(shù)。NetFlow 服務(wù)可在最大限度減小對路由器/ 交換機性能影響的前提下提供詳細的數(shù)據(jù)流統(tǒng)計信息.作為其交換功能的一部分,它能夠提供包括用戶、協(xié)議、端口和服務(wù)類型等統(tǒng)計信息。由于蠕蟲傳播過程中會發(fā)起大量的掃描連接，通過工具統(tǒng)計分析Net

47、Flow 數(shù)據(jù)流，可以很容易地發(fā)現(xiàn)蠕蟲的掃描行為，進而采取相應(yīng)措施，隔斷其感染途徑。例如flowtools、Cflowd 工具。五、其他技術(shù)除了上述技術(shù)外，計算機蠕蟲病毒的防范技術(shù)還很多。例如：美國安全專家提議的基于CCDC（Cyber CentersforDisease Control）的蠕蟲檢測、防御和阻斷以及華盛頓大學(xué)應(yīng)用研究室的JohnW.Lockwood 等人提出的一種采用可編程邏輯設(shè)備對抗計算機蠕蟲病毒的防范系統(tǒng)等。3.4 防范蠕蟲病毒的措施 3.41企業(yè)防范蠕蟲病毒的措施當(dāng)前，企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享、辦公自動化系統(tǒng)、企業(yè)業(yè)務(wù)系統(tǒng)以Inetrnet 應(yīng)用等領(lǐng)域。蠕蟲病

48、毒可以充分利用網(wǎng)絡(luò)快速傳播達到其阻塞網(wǎng)絡(luò)的目的。企業(yè)利用網(wǎng)絡(luò)進行業(yè)務(wù)處理時，就不得不考慮企業(yè)的病毒防范問題，以保證關(guān)系企業(yè)命運的業(yè)務(wù)數(shù)據(jù)不被破壞。企業(yè)防范蠕蟲病毒的時候需要考慮幾個問題：（1）病毒的查殺能力（2）病毒的監(jiān)控能力（3）對新病毒的反應(yīng)能力。同時企業(yè)在日常管理方面應(yīng)該注重采用科學(xué)合理的制度， 提高每位員工的安全意識，推薦的企業(yè)防范蠕蟲病毒的策略如下：(1) 加強網(wǎng)絡(luò)管理員安全管理水平， 提高安全意識。由于蠕蟲病毒利用的是系統(tǒng)漏洞進行攻擊，所以需要在第一時間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，對各種操作系統(tǒng)和應(yīng)用軟件及時更新。由于各種漏洞的出現(xiàn)，使得安全不再是一種一勞永逸的事，作為企業(yè)用戶，

49、所經(jīng)受攻擊的概率也是越來越大，要求企業(yè)的管理水平和安全意識也越來越高。(2) 建立病毒檢測系統(tǒng)， 能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。(3) 建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險減少到最小。由于蠕蟲病毒爆發(fā)的突然性，可能在病毒被發(fā)現(xiàn)的時候已經(jīng)蔓延到了整個網(wǎng)絡(luò)， 所以在突發(fā)情況下，為了能在病毒爆發(fā)的第一時間提供應(yīng)急方案，建立一個緊急響應(yīng)系統(tǒng)是很有必要的。(4) 建立災(zāi)難備份系統(tǒng)。對于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份，多機備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失。(5) 另外，對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，需要重視以下幾點：在因特網(wǎng)入口處安裝防火墻及殺毒軟件，將病毒隔離在局域網(wǎng)之外。對郵件服務(wù)器進行監(jiān)控，防止帶毒

50、郵件進行傳播。對局域網(wǎng)用戶進行安全培訓(xùn)。建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補丁升級，各種常用的應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級等等。3.42 個人用戶防范蠕蟲病毒的措施網(wǎng)絡(luò)蠕蟲病毒對個人用戶的攻擊主要還是通過利用社會工程學(xué)，而不是利用系統(tǒng)漏洞。所以防范此類病毒需要注意以下幾點：(1) 購買合適的殺毒軟件。網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)殺毒軟件的“文件級實時監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實時監(jiān)控和郵件實時監(jiān)控發(fā)展。另外面對防不勝防的網(wǎng)頁病毒，也使得用戶對殺毒軟件的要求越來越高。(2) 經(jīng)常升級病毒庫， 殺毒軟件對病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在

51、網(wǎng)絡(luò)時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。(3) 提高防殺毒意識。不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼。當(dāng)運行IE 時，點擊“工具Internet 選項安全 Internet 區(qū)域的安全級別”，把安全級別由“中”改為“高”，同時在IE 設(shè)置中將ActiveX 及Java 腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率。因為這一類網(wǎng)頁主要是含有惡意代碼的ActiveX、Applet 或JavaScript 的網(wǎng)頁文件。(4) 不隨意查看陌生郵件， 尤其是帶有附件的郵件。由于有的病毒郵件能夠利用IE 和outlook的漏洞自動執(zhí)行，

52、 所以用戶需要經(jīng)常下載IE 和outlook 的補丁程序。四、 木馬病毒 木馬全稱是“特洛伊木馬（Trojan Horse）”，原指古希臘人把士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方城市的故事。在internet上，木馬指在可從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序。特洛伊木馬（Trojan）病毒（也叫黑客程序或后門病毒）是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，具備破壞和刪除文件、竊取密碼、記錄鍵盤、攻擊等功能，會破壞用戶系統(tǒng)甚至使用戶系統(tǒng)癱瘓。1986年出現(xiàn)了世界上第一個計算機木馬病毒，它偽裝成Quicksoft公司發(fā)布的共享軟件PC-Write的2.72版本。4.1木馬病毒4.1.1木馬病毒的功能只要人們在本地計算機上能操作的功能，目前的木馬基本上都能實現(xiàn)。換言之，木馬的控制端可以向本地一樣操作遠程計算機。木馬的功能可以概