四章安全與計(jì)算機(jī)病毒

第四章計(jì)算機(jī)安全與計(jì)算機(jī)病毒一、計(jì)算機(jī)病毒（ComputerVirus

）國(guó)外按照生物界對(duì)病毒的定義，把計(jì)算機(jī)病毒定義為：

能夠侵入計(jì)算機(jī)系統(tǒng)并給計(jì)算機(jī)系統(tǒng)帶來(lái)故障的且具有自我復(fù)制能力的指令序列。

可見(jiàn)計(jì)算機(jī)病毒是

一種人為設(shè)計(jì)的危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的計(jì)算機(jī)程序。

計(jì)算機(jī)病毒在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義為：“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

計(jì)算機(jī)病毒的發(fā)展★

“計(jì)算機(jī)病毒”這一概念是1977年由美國(guó)著名的科普作家“雷恩”在一部科幻小說(shuō)《P1的青春》中提出?！?/p>

1983年，美國(guó)計(jì)算機(jī)安全專家考因（F.Cohen）首次通過(guò)實(shí)驗(yàn)證明了病毒的可實(shí)現(xiàn)性?！?/p>

1987年，世界各地的計(jì)算機(jī)用戶幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹(shù)、黑色星期五等等。

面對(duì)計(jì)算機(jī)病毒的突然襲擊，眾多計(jì)算機(jī)用戶甚至專業(yè)人員都會(huì)驚慌失措?！?989年，全世界的計(jì)算機(jī)病毒攻擊十分猖獗，我國(guó)也未幸免。其中“米開(kāi)朗基羅”病毒給許多計(jì)算機(jī)用戶造成極大損失。★1996年，出現(xiàn)針對(duì)微軟公司Office的“宏病毒”。1997年被公認(rèn)計(jì)算機(jī)反病毒界的“宏病毒”年?！昂瓴《尽敝饕腥網(wǎng)ORD、EXCEL等文件，★自1996年9月開(kāi)始在國(guó)內(nèi)出現(xiàn)并逐漸流行的病毒。已經(jīng)見(jiàn)過(guò)的如：

Nimda(尼姆達(dá))、CodeRedII(紅色代碼2)、Happytime(歡樂(lè)時(shí)光)、Worm_Klez.A(求職信)、LoveLetter(愛(ài)神)、Worm_Goner(將死者)、Navidad(圣誕節(jié))、Onthefly(庫(kù)爾尼克娃)、DiskKiller(磁盤(pán)殺手)、Worm_Killonce.A(殺手十三)、Dasher(黛蛇)、以及大量的

蠕蟲(chóng)病毒和木馬病毒的變種……★

1998年出現(xiàn)針對(duì)Windows95/98系統(tǒng)的病毒，如CIH，1998年被公認(rèn)為計(jì)算機(jī)反病毒界的CIH病毒年。CIH的作者陳盈豪計(jì)算機(jī)病毒的結(jié)構(gòu)

通過(guò)對(duì)目前出現(xiàn)的計(jì)算機(jī)病毒的分析發(fā)現(xiàn)，幾乎所有計(jì)算機(jī)病毒都是由三部分組成：

1、引導(dǎo)模塊

2、傳染模塊

3、表現(xiàn)模塊1、引導(dǎo)模塊

計(jì)算機(jī)病毒的引導(dǎo)模塊負(fù)責(zé)將病毒引導(dǎo)到內(nèi)存，對(duì)相應(yīng)的存儲(chǔ)空間實(shí)施保護(hù)，以防被其它程序覆蓋，并且修改一些必要的系統(tǒng)參數(shù)，為激活病毒做準(zhǔn)備。2、傳染模塊計(jì)算機(jī)病毒的傳染模塊負(fù)責(zé)將病毒傳染給其它計(jì)算機(jī)程序。它是整個(gè)病毒程序的核心，也是判斷一個(gè)計(jì)算機(jī)程序是否是計(jì)算機(jī)病毒的一個(gè)先決條件。計(jì)算機(jī)病毒的傳染模塊由兩部分組成，一是傳染條件判斷部分，二是傳染部分。3、表現(xiàn)模塊

計(jì)算機(jī)病毒的表現(xiàn)模塊也分為兩部分，一是病毒觸發(fā)條件判斷部分，二是病毒的具體表現(xiàn)部分。計(jì)算機(jī)病毒的表現(xiàn)又分為良性表現(xiàn)與惡性表現(xiàn)兩種，相應(yīng)地有良性病毒與惡性病毒之分?！锪夹圆《臼侵冈诓《镜谋憩F(xiàn)模塊中的表現(xiàn)部分對(duì)系統(tǒng)不構(gòu)成嚴(yán)重的威脅，它一般只表示一個(gè)計(jì)算機(jī)病毒的存在。主要目的是表現(xiàn)病毒設(shè)計(jì)者的才華，或者這種表現(xiàn)只是降低了系統(tǒng)的效率，并不破壞系統(tǒng)資源。★惡性病毒的表現(xiàn)部分對(duì)系統(tǒng)具有嚴(yán)重的破壞作用，它可以破壞系統(tǒng)的數(shù)據(jù)資源，甚至將系統(tǒng)文件與應(yīng)用文件及數(shù)據(jù)全部刪除。計(jì)算機(jī)病毒是人為編制的程序。計(jì)算機(jī)病毒一般具有以下八個(gè)特點(diǎn)：破壞性、隱蔽性、潛伏性、傳染性、而執(zhí)行、依附性、針對(duì)性、不可預(yù)見(jiàn)性。計(jì)算機(jī)病毒的特點(diǎn)1、破壞性

任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。另外還有些病毒，有明確的目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤(pán)、格式化磁盤(pán)，有的對(duì)數(shù)據(jù)造成不可挽回的破壞。2、隱蔽性

病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤(pán)較隱蔽的地方，也有個(gè)別的以隱含文件形式的出現(xiàn)。病毒程序與正常程序是不容易區(qū)別的。一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會(huì)感到任何異常。正是由于隱蔽性，計(jì)算機(jī)病毒得以在用戶沒(méi)有察覺(jué)的情況下擴(kuò)散到上百萬(wàn)臺(tái)計(jì)算機(jī)中。3、潛伏性

大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。只有這樣它才可進(jìn)行廣泛地傳播。如著名的“黑色星期五”在逢13號(hào)的星期五發(fā)作。當(dāng)然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時(shí)會(huì)隱藏得很好，只有在發(fā)作日才會(huì)露出本來(lái)面目。4、傳染性傳染性是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行鏈接到其他程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序上。因此，是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。5、而執(zhí)行

一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對(duì)用戶是可見(jiàn)的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。6、依附性計(jì)算機(jī)病毒程序只有依附在系統(tǒng)內(nèi)某個(gè)合法的可執(zhí)行程序上，才可能被執(zhí)行。7、針對(duì)性

計(jì)算機(jī)病毒發(fā)揮作用是有一定環(huán)境要求的，一種病毒并不是對(duì)任何計(jì)算機(jī)系統(tǒng)都能傳染的。由于病毒是一段計(jì)算機(jī)程序，它的正常工作也需要一定的軟/硬件環(huán)境。如攻擊UNIX操作系統(tǒng)的病毒對(duì)DOS系統(tǒng)也是無(wú)效的。8、不可預(yù)見(jiàn)性

不同種類的病毒代碼千差萬(wàn)別，但有些操作是共有的（如駐內(nèi)存，改中斷）。利用病毒的這種共性，制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒技術(shù)。病毒的制作技術(shù)也在不斷地提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。

計(jì)算機(jī)病毒的長(zhǎng)期性

計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)往往是被病毒利用，提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面，但完美的系統(tǒng)是不存在的。提高一定的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性與實(shí)用性，另一方面，信息保密的要求讓人在泄密和抓住病毒之間無(wú)法選擇。

計(jì)算機(jī)病毒的產(chǎn)生

病毒不是來(lái)源于突發(fā)或偶然的原因。

病毒是人為的特制程序

計(jì)算機(jī)病毒的分類

病毒按其危害程度，分為弱危害性（良性）病毒和強(qiáng)危害性（惡性）病毒；按其侵害的對(duì)象來(lái)分，可以分為：

引導(dǎo)型（BootVirus)、文件型(FileVirus)、

木馬型(TrojanhorseVirus)。

激活條件

發(fā)作條件傳染激活傳染媒介觸發(fā)表現(xiàn)傳染源（感染的病毒）

病毒的工作過(guò)程（如：網(wǎng)絡(luò)釣魚(yú)）

例如

微軟于2005年11月8日向用戶發(fā)出警告稱，在較新版本的Windows操作系統(tǒng)中發(fā)現(xiàn)了一個(gè)“嚴(yán)重級(jí)”新漏洞，黑客可以通過(guò)在數(shù)碼圖片中植入惡毒軟件代碼，從而對(duì)此漏洞發(fā)動(dòng)攻擊，并最終控制計(jì)算機(jī)系統(tǒng)。

WindowsXP、WindowsServer和Windows2000及更新版本較易受到攻擊，因此，這些操作系統(tǒng)的用戶應(yīng)當(dāng)及時(shí)打上補(bǔ)丁。病毒預(yù)報(bào)

(2006.11.20-2006.11.26)

微軟公司發(fā)布了六個(gè)操作系統(tǒng)的漏洞補(bǔ)丁程序，其中五個(gè)補(bǔ)丁程序的危害級(jí)別為“嚴(yán)重”，另一個(gè)為“重要”。這五個(gè)危害級(jí)別“嚴(yán)重”的系統(tǒng)漏洞補(bǔ)丁程序有四個(gè)是針對(duì)Windows操作系統(tǒng)上存在的漏洞。在這五個(gè)“嚴(yán)重”的補(bǔ)丁程序中以下三個(gè)提醒計(jì)算機(jī)用戶注意，它們分別是：

（一）MS06-067：InternetExplorer積累性補(bǔ)丁，微軟瀏覽器InternetExplorer存在漏洞，惡意攻擊者可能利用此漏洞在計(jì)算機(jī)用戶系統(tǒng)上執(zhí)行任意程序。如果這些計(jì)算機(jī)用戶在瀏覽互聯(lián)網(wǎng)絡(luò)上某些網(wǎng)頁(yè)時(shí)，可能會(huì)導(dǎo)致自己計(jì)算機(jī)系統(tǒng)IE瀏覽器崩潰，進(jìn)而導(dǎo)致無(wú)法正常使用瀏覽器。（二）MS06-070：MicrosoftWindowsWorkstation可遠(yuǎn)程執(zhí)行代碼漏洞，MicrosoftWindows的Workstation（工作站）服務(wù)組件中存在棧溢出漏洞，惡意攻擊者可能利用此漏洞在計(jì)算機(jī)用戶服務(wù)器上執(zhí)行任意程序。

（三）MS06-071：InternetExplorerXML中可能允許遠(yuǎn)程執(zhí)行代碼漏洞，微軟公司的瀏覽器InternetExplorerXML（一種標(biāo)識(shí)語(yǔ)言）語(yǔ)法分析器中存在漏洞。惡意攻擊者可以通過(guò)構(gòu)建特制的網(wǎng)頁(yè)來(lái)利用此漏洞，如果計(jì)算機(jī)用戶訪問(wèn)該網(wǎng)頁(yè)或單擊惡意攻擊者發(fā)來(lái)的電子郵件中的網(wǎng)址鏈接，該漏洞就可能允許惡意攻擊在計(jì)算機(jī)用戶的系統(tǒng)上遠(yuǎn)程執(zhí)行任意代碼程序，成功利用此漏洞的攻擊者可以完全控制受影響的計(jì)算機(jī)系統(tǒng)。國(guó)家計(jì)算機(jī)安全應(yīng)急中心病毒預(yù)報(bào)

（病毒預(yù)報(bào)（2006.11.13-2006.11.19）

()

近期，計(jì)算機(jī)病毒疫情較為平穩(wěn)，傳播范圍廣、危害性強(qiáng)的病毒疫情沒(méi)有出現(xiàn)過(guò)。一些企業(yè)和計(jì)算機(jī)個(gè)人用戶受到病毒危害比較集中在蠕蟲(chóng)和木馬程序上，這些蠕蟲(chóng)和木馬程序大多出現(xiàn)的變種很多，有的會(huì)在短時(shí)間內(nèi)就出現(xiàn)很多新變種，讓計(jì)算機(jī)用戶防范起來(lái)十分困難，措手不及。

（2006.11.6-2006.11.12）

近日，木馬（Trojan_DL.delf）出現(xiàn)新變種，該變種在受感染的計(jì)算機(jī)系統(tǒng)中運(yùn)行后，將其自身偽裝成計(jì)算機(jī)系統(tǒng)的正常文件存于系統(tǒng)目錄中，使得計(jì)算機(jī)用戶很難察覺(jué)到，并通過(guò)互聯(lián)網(wǎng)絡(luò)從指定網(wǎng)站或是服務(wù)器上下載惡意程序，同時(shí)修改計(jì)算機(jī)用戶瀏覽器的設(shè)置，使其訪問(wèn)瀏覽網(wǎng)頁(yè)時(shí)會(huì)轉(zhuǎn)向?yàn)g覽指定的惡意網(wǎng)站。并且，該變種還會(huì)在計(jì)算機(jī)用戶操作系統(tǒng)中的桌面、開(kāi)始菜單、快速啟動(dòng)欄、收藏夾等位置上添加一些網(wǎng)站的廣告信息，給計(jì)算機(jī)用戶的正常操作帶來(lái)不便。

另外，近期在互聯(lián)網(wǎng)絡(luò)上專門(mén)盜取用戶網(wǎng)絡(luò)游戲賬號(hào)、密碼的木馬程序傳播比較嚴(yán)重。該木馬程序?qū)ｉT(mén)竊取網(wǎng)絡(luò)游戲玩家的信息（如：賬號(hào)、密碼、服務(wù)器信息等）并發(fā)送給植入木馬程序的攻擊者。建議網(wǎng)絡(luò)游戲的玩家在上網(wǎng)時(shí)務(wù)必升級(jí)自己系統(tǒng)中的防病毒軟件，打開(kāi)防病毒軟件的實(shí)時(shí)監(jiān)控功能。

國(guó)家計(jì)算機(jī)安全應(yīng)急中心病毒預(yù)報(bào)

（病毒預(yù)報(bào)（

2012.11.19-2012.11.25）

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，近期出現(xiàn)一種木馬下載器Trojan_Generic.PJV,該惡意木馬程序通過(guò)Web網(wǎng)頁(yè)掛馬進(jìn)行傳播，并具有以下特點(diǎn)，一是以驅(qū)動(dòng)程序的方式釋放惡意木馬程序進(jìn)程文件到受感染的操作系統(tǒng)中，并感染系統(tǒng)的主引導(dǎo)記錄（MBR）扇區(qū)，實(shí)現(xiàn)隨操作系統(tǒng)開(kāi)機(jī)自啟動(dòng)功能；二是實(shí)時(shí)監(jiān)測(cè)防病毒軟件運(yùn)行情況，如果發(fā)現(xiàn)受感染操作系統(tǒng)中的防病毒軟件正在運(yùn)行，該木馬程序會(huì)自動(dòng)關(guān)閉軟件的進(jìn)程文件,防止其被查殺。

近期，微軟公司發(fā)布了10月的幾個(gè)操作系統(tǒng)的漏洞補(bǔ)丁程序，其中有幾個(gè)補(bǔ)丁程序是對(duì)Windows操作系統(tǒng)和Office辦公軟件中存在的一些漏洞進(jìn)行了修復(fù)。并且這次發(fā)布的漏洞補(bǔ)丁程序其中有四個(gè)安全級(jí)別是“嚴(yán)重”，值得計(jì)算機(jī)用戶關(guān)注留意，他們分別是：

（一）MS06-058：MicrosoftPowerPoint遠(yuǎn)程代碼執(zhí)行漏洞，MicrosoftPowerPoint是非常流行的電子文稿演示工具。PowerPoint在處理包含有畸形字符串的電子文稿文件時(shí)存在漏洞，可能允許惡意攻擊者執(zhí)行任意指令。

（二）MS06-059：Excel中可能允許遠(yuǎn)程執(zhí)行代碼漏洞，Excel在解析文件和處理畸形的類型記錄時(shí)存在緩沖區(qū)溢出漏洞，惡意攻擊者可能利用此漏洞在計(jì)算機(jī)用戶系統(tǒng)上執(zhí)行任意指令。

（三）MS06-060：Word中可能允許遠(yuǎn)程執(zhí)行代碼漏洞，當(dāng)Word解析包含有畸形數(shù)據(jù)串的文件時(shí)，惡意攻擊者可能會(huì)將此類特制文件放置在電子郵件附件中或惡意網(wǎng)站上，一旦計(jì)算機(jī)用戶點(diǎn)擊或是訪問(wèn)就會(huì)受到控制，進(jìn)而受到病毒的入侵感染。（四）MS06-062：Office可能允許遠(yuǎn)程執(zhí)行代碼漏洞，Office中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，當(dāng)Office解析帶有畸形字符串的文件時(shí)，惡意攻擊者可能利用此漏洞在計(jì)算機(jī)用戶系統(tǒng)上執(zhí)行任意指令。如果用戶使用管理用戶權(quán)限登錄，成功利用此漏洞的惡意攻擊者便可完全控制受影響的系統(tǒng)。

提醒計(jì)算機(jī)用戶及時(shí)下載安裝這些系統(tǒng)安全漏洞補(bǔ)丁程序，特別是危害級(jí)別嚴(yán)重的四個(gè)補(bǔ)丁程序，阻止惡意攻擊者利用這些漏洞進(jìn)行攻擊，保護(hù)好自己的計(jì)算機(jī)系統(tǒng)免受病毒的入侵破壞。

2006年10月2日起出現(xiàn)一個(gè)新的蠕蟲(chóng)變種Worm_Stration.WO，該蠕蟲(chóng)通過(guò)郵件傳播，并且將自身拷貝作為郵件附件，該附件可能是壓縮文件（.zip或.rar）、文本文件(.txt)或是可執(zhí)行文件(.exe)等，大小約為115k。計(jì)算機(jī)用戶一旦收取并點(diǎn)擊郵件附件就會(huì)受到感染，感染后的計(jì)算機(jī)系統(tǒng)會(huì)使用系統(tǒng)內(nèi)置的SMTP郵件引擎向郵件地址簿里的所有收件人發(fā)送帶有病毒體自身拷貝的郵件，實(shí)現(xiàn)蠕蟲(chóng)的進(jìn)一步傳播擴(kuò)散。并且蠕蟲(chóng)還會(huì)添加注冊(cè)表項(xiàng)，使得自身能夠在計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。

另外，上周發(fā)現(xiàn)的微軟操作系統(tǒng)瀏覽器IE嚴(yán)重漏洞，本周時(shí)間微軟公司發(fā)布了該漏洞的補(bǔ)丁程序，它是：

MS06-055：矢量標(biāo)記語(yǔ)言中可能允許遠(yuǎn)程執(zhí)行代碼的漏洞，微軟操作系統(tǒng)中矢量標(biāo)記語(yǔ)言(VML)運(yùn)行中存在一個(gè)遠(yuǎn)程可執(zhí)行代碼的漏洞。惡意攻擊者可以利用該漏洞來(lái)構(gòu)建帶有惡意代碼的網(wǎng)頁(yè)或高級(jí)標(biāo)注語(yǔ)言(HTML)電子郵件，如果計(jì)算機(jī)用戶訪問(wèn)該網(wǎng)頁(yè)或查看該電子郵件，那么該攻擊者就有可能控制受感染的計(jì)算機(jī)系統(tǒng)。病毒名稱：“網(wǎng)絡(luò)天空”變種(Worm_Netsky.D)

危害程度：該病毒通過(guò)郵件傳播，使用UPX壓縮。運(yùn)行后，在%Windows％目錄下生成自身的拷貝，名稱為Winlogon.exe。（其中，%Windows%是Windows的默認(rèn)文件夾，通常是C:\Windows或C:\WINNT），病毒使用Word的圖標(biāo)，并在共享文件夾中生成自身拷貝。病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。病毒郵件的發(fā)信人、主題、內(nèi)容和附件都是不固定的。病毒名稱：“高波”（Worm_AgoBot）蠕蟲(chóng)病毒危害程度：該病毒是常駐內(nèi)存的蠕蟲(chóng)病毒，利用RPCDCOM緩沖區(qū)溢出漏洞、IIS5/WEBDAV緩沖區(qū)溢出漏洞和RPCLocator漏洞進(jìn)行傳播，還可通過(guò)弱密碼攻擊遠(yuǎn)程系統(tǒng)進(jìn)行主動(dòng)傳播以及利用mIRC軟件進(jìn)行遠(yuǎn)程控制和傳播。病毒運(yùn)行后，在%System％文件夾下生成自身的拷貝nvchip4.exe。添加注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。病毒名稱：“Worm_Mytob.X”

危害程度：病毒是Worm_Mytob變種，并利用自身的SMTP引擎按照郵件地址列表中的郵件地址向外發(fā)送病毒郵件。該病毒還可以通過(guò)網(wǎng)絡(luò)的共享文件夾進(jìn)行搜索并嘗試在這些文件夾中產(chǎn)生自身的拷貝文件。還具有后門(mén)功能，會(huì)使用不同的端口連接到指定的服務(wù)器上面，該服務(wù)器監(jiān)聽(tīng)來(lái)自遠(yuǎn)程惡意用戶的指令，利用這個(gè)指令遠(yuǎn)程用戶可以控制受感染機(jī)器。同時(shí)，該變種利用一個(gè)任意的端口建立一個(gè)FTP服務(wù)器，遠(yuǎn)程用戶可以下載或上傳文件或是惡意程序。病毒名稱：“魔波”（Worm_Mocbot.A）危害程度：它可以利用微軟公司在8月8日剛剛發(fā)布的MS06-040（MicrosoftWindowsServer服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞）安全公告公布的緩沖區(qū)漏洞進(jìn)行傳播。該蠕蟲(chóng)可以通過(guò)系統(tǒng)存在的漏洞在計(jì)算機(jī)用戶不知情的情況下主動(dòng)進(jìn)行傳播，一旦感染該蠕蟲(chóng)有可能會(huì)被惡意攻擊者遠(yuǎn)程控制，會(huì)影響到系統(tǒng)中一些服務(wù)的正常運(yùn)行，有可能會(huì)導(dǎo)致網(wǎng)絡(luò)連接的中斷，甚至可能會(huì)造成計(jì)算機(jī)系統(tǒng)中一些進(jìn)程崩潰。

“黛蛇（Dasher）”蠕蟲(chóng)病毒

CNCERT/CC項(xiàng)目組（中國(guó)蜜網(wǎng)項(xiàng)目組）于2005年12月15日截獲一個(gè)可利用微軟視窗操作系統(tǒng)最新高危漏洞——微軟MS05-051傳播的名為“黛蛇”（Dasher.B）的蠕蟲(chóng)。該蠕蟲(chóng)主要針對(duì)Windows2000操作系統(tǒng)、部分WindowsXP系統(tǒng)和部分WindowsServer2003操作系統(tǒng)，通過(guò)攻擊TCP/1025端口獲得遠(yuǎn)程執(zhí)行命令的權(quán)限；此外，該蠕蟲(chóng)還可以針對(duì)微軟MS04-045、MS04-039漏洞或利用SQL溢出工具進(jìn)行攻擊。蠕蟲(chóng)感染成功后將安裝鍵盤(pán)記錄程序暗中記錄用戶的按鍵操作，從而使用戶面臨泄密的危險(xiǎn)。

CNCERT/CC被黑網(wǎng)頁(yè)統(tǒng)計(jì)報(bào)告

2012年肆虐我國(guó)的十大計(jì)算機(jī)病毒1、鬼影病毒鬼影病毒是當(dāng)之無(wú)愧的2012年度毒王，它主要依靠帶毒游戲外掛或色播傳播，年內(nèi)出現(xiàn)數(shù)個(gè)變種：包括鬼影5、鬼影6、鬼影6變種（CF三尸蠱）等，它和殺毒軟件的技術(shù)對(duì)抗也達(dá)到了一個(gè)新的高度。目前，主流的殺毒軟件均能防御鬼影病毒，經(jīng)常下載使用帶毒游戲外掛的電腦用戶是感染鬼影病毒的高危群體。2、AV終結(jié)者末日版AV終結(jié)者末日版是一個(gè)惡意對(duì)抗殺軟的病毒，從整個(gè)手法來(lái)看作者是有意在炫耀自己的技術(shù)。它釋放ADS流病毒，原理是利用NTFS數(shù)據(jù)流來(lái)隱藏病毒；它釋放3個(gè)驅(qū)動(dòng)破壞殺毒軟件并保護(hù)自身，如隱藏文件、進(jìn)程等；它刷網(wǎng)站流量，在中毒機(jī)器上開(kāi)啟3389端口用于接受黑客控制；它發(fā)現(xiàn)一旦發(fā)現(xiàn)進(jìn)程中存在“PowerTool.exe”,“XueTr.exe”則通知驅(qū)動(dòng)刪除系統(tǒng)的文件，從而破壞整個(gè)系統(tǒng)。3、網(wǎng)購(gòu)木馬網(wǎng)購(gòu)木馬的全稱是網(wǎng)購(gòu)交易劫持木馬，12年流行網(wǎng)購(gòu)木馬的特點(diǎn)：利用組策略禁止主流安全軟件運(yùn)行，在系統(tǒng)無(wú)保護(hù)的情況下，網(wǎng)購(gòu)木馬即可在買(mǎi)家網(wǎng)購(gòu)付款環(huán)節(jié)輕易篡改交易信息。使買(mǎi)家要購(gòu)買(mǎi)的東西沒(méi)有支付，卻替病毒作者購(gòu)買(mǎi)了游戲或手機(jī)充值卡。4、456游戲木馬

456游戲木馬指捆綁在456游戲大廳中并利用456游戲加載的遠(yuǎn)控木馬或盜號(hào)木馬。年度流行的456游戲木馬變種主要通過(guò)捆綁456游戲大廳傳播，通過(guò)劫持456游戲的dzip32.dll執(zhí)行第三方loader(存在漏洞軟件的exe可執(zhí)行文件）加載啟動(dòng)病毒dll，然后在內(nèi)存中解密一個(gè)gh0st遠(yuǎn)程控制木馬程序并執(zhí)行。5、連環(huán)木馬（后門(mén)）這是一個(gè)木馬后門(mén)程序，中此木馬的用戶電腦會(huì)成為遠(yuǎn)控者的一個(gè)肉雞，它指受控制端的指令來(lái)執(zhí)行各種網(wǎng)絡(luò)攻擊，同時(shí)也具有下載其它程序的功能。6、QQ粘蟲(chóng)木馬QQ粘蟲(chóng)木馬是指以透明窗體覆蓋QQ登錄框或偽造QQ登錄/重新登錄框的盜號(hào)木馬。7、新淘寶客病毒新淘寶客病毒是利用驅(qū)動(dòng)過(guò)濾劫持淘寶網(wǎng)搜索結(jié)果的病毒，它使用了游戲捆綁，加數(shù)字簽名，驅(qū)動(dòng)隱藏過(guò)濾，驅(qū)動(dòng)切斷云掃描等方法，使得病毒的隱藏能力大大增強(qiáng)。8、瀏覽器劫持病毒該病毒主要通過(guò)互聯(lián)網(wǎng)下載以及局域網(wǎng)和移動(dòng)存儲(chǔ)設(shè)備感染進(jìn)行傳播，會(huì)劫持瀏覽器主頁(yè)和其它網(wǎng)址導(dǎo)航類網(wǎng)站，強(qiáng)制推廣病毒合作網(wǎng)站，以此來(lái)提高指定網(wǎng)站流量，讓病毒作者從中獲利9、傳奇私服劫持者該病毒捆綁于傳奇私服登陸器，屬于流量劫持木馬，它通過(guò)DNS劫持/hosts劫持/驅(qū)動(dòng)劫持等方式把大量的私服網(wǎng)站解析到固定的一個(gè)私服網(wǎng)站，以達(dá)到流量劫持的目的。10、QQ群蠕蟲(chóng)病毒QQ群蠕蟲(chóng)病毒是指利用QQ群共享漏洞傳播流氓軟件和劫持IE主頁(yè)的蠕蟲(chóng)病毒，QQ群電腦用戶一旦感染QQ群蠕蟲(chóng)病毒，又會(huì)向其他群QQ群內(nèi)上傳該病毒，以“一傳十，十傳百”式放大效應(yīng)傳播。三、病毒的傳播途徑

在計(jì)算機(jī)應(yīng)用的早期，軟盤(pán)是傳播病毒的最主要方式，當(dāng)使用染毒的軟盤(pán)引導(dǎo)系統(tǒng)啟動(dòng)，或者是復(fù)制文件時(shí)病毒趁機(jī)感染系統(tǒng)。隨著網(wǎng)絡(luò)的飛速發(fā)展和軟盤(pán)趨于淘汰，網(wǎng)絡(luò)這個(gè)載體給病毒的傳播插上了翅膀。

四、計(jì)算機(jī)病毒的預(yù)防

預(yù)防計(jì)算機(jī)病毒要注意以下幾個(gè)環(huán)節(jié)：

（1）創(chuàng)建緊急引導(dǎo)盤(pán)和最新緊急修復(fù)盤(pán)。（2）盡量少用外來(lái)軟盤(pán)，一旦必須用時(shí)，要先殺毒再使用。（3）為計(jì)算機(jī)安裝病毒檢測(cè)軟件，隨時(shí)殺去病毒或防止有病毒的程序進(jìn)入計(jì)算機(jī)，并注意及時(shí)升級(jí)殺病毒軟件。（4）將無(wú)毒盤(pán)用于其他計(jì)算機(jī)時(shí)，要注意打開(kāi)寫(xiě)保護(hù)。

（5）為計(jì)算機(jī)安裝專門(mén)用于殺毒、防毒的軟件或必需硬件。（6）重要文件，要做備份（Backup），一旦計(jì)算機(jī)感染病毒，對(duì)重要數(shù)據(jù)不會(huì)造成影響。（7）在上網(wǎng)時(shí)，盡量減少可執(zhí)行代碼交換，能脫網(wǎng)單機(jī)工作時(shí)盡量脫網(wǎng)工作。

計(jì)算機(jī)網(wǎng)絡(luò)的安全口令加密和保密

互連網(wǎng)防火墻

目前普遍采用的安全機(jī)制主要有以下幾種：當(dāng)用戶想要訪問(wèn)被保護(hù)的資源時(shí)，就被要求輸入口令。很多計(jì)算機(jī)系統(tǒng)采用口令機(jī)制來(lái)控制對(duì)系統(tǒng)資源的訪問(wèn)。口令目前主要使用的幾種加密技術(shù)：

（1）對(duì)稱密鑰加密（2）公開(kāi)密鑰加密

（3）數(shù)字簽名的鑒定

加密和保密用于保護(hù)一個(gè)單