常识学习-恶意代码与计算机病毒-第七章学习

《计算机网络安全》学习第七章

实现真正的安全是很难的，只有安全才是真正的挑战

恶意代码的概念

恶意代码是一种程序，它通过把代码在不被察觉、没有授权的情况下镶嵌到另一段程序中，从而达到运行具有入侵性或破坏性的程序、破坏计算机数据的安全性和完整性的目的。

计算机病毒的概念

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这是我国在1994年2月18日正式颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确定义的。

恶意软件的概念

恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，但已被我国现有法律法规规定的计算机病毒除外。
恶意软件俗称流氓软件。恶意软件的定义是中国互联网协会于2006年定义的，具有一定的权威性。恶意软件具有如下特征。
（1）强制安装：指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装软件。
（2）难以卸载：指不提供通用的卸载方式，或在卸载后仍能活动。
（3）浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网。
（4）广告弹出：指未明确提示用户或未经用户许可的情况下，利用安装在用户计算机或其他终端上的软件弹出广告。
（5）恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息。
（6）恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载非恶意软件。
（7）恶意捆绑：指在软件中捆绑恶意软件。
（8）其他侵犯用户知情权、选择权的恶意行为。

“流氓软件”是介于病毒和正规软件之间的软件。如果计算机中有流氓软件，可能会出现以下几种情况：用户使用计算机上网时，会有窗口不断跳出；浏览器被莫名修改增加了许多工作条；当用户打开网页时，网页会变成不相干的奇怪画面，甚至是黄色广告。有些流氓软件只是为了达到某种目的，比如广告宣传。这些流氓软件虽然不会影响用户计算机的正常使用，但会在用户启动浏览器的时候多弹出来一个网页，以达到其宣传目的。

联系与区别

恶意代码包含计算机病毒和恶意软件，但是计算机病毒和恶意软件相互之间没有关系。

计算机病毒的命名

计算机病毒的命名有一定的规律。看到计算机病毒的名字就可以知道它是哪一类病毒了。(应该是指已发现的吧)

1. 系统病毒 前缀为Win32、PE、Win95、W32、W95等。此类病毒一般是感染Windows操作系统的.exe和.dll文件，并通过这些文件传播。

2. 蠕虫病毒 前缀为Worm。此类病毒通过网络或系统漏洞传播，这类蠕虫病毒都具有向外发送带毒邮件、阻塞网络的特性，如冲击波（阻塞网络）、小邮差（发带毒邮件）等。

3. 木马病毒、黑客病毒 木马病毒前缀为Trojan，黑客病毒前缀为Hack。

4. 脚本病毒 前缀为Script。此类病毒使用脚本语言编写，通过网页传播。有的脚本病毒还会有如下前缀：VBS、JS（表明是哪种脚本编写的）。

5. 宏病毒 前缀为Macro。第二前缀是Word、Excel其中之一，宏病毒是针对Office系列的。

6. 后门病毒 前缀为Backdoor。此类病毒通过网络传播，给系统开后门，给用户的计算机带来安全隐患。

7. 病毒种植程序病毒 前缀为Dropper。此类病毒是运行时从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8. 破坏性程序病毒 前缀为Harm。此类病毒本身具有好看的图标来诱惑用户单击，当用户单击时，病毒会对计算机产生破坏。

9. 玩笑病毒 前缀为Joke，也称为恶作剧病毒。此类病毒也是本身具有好看的图标诱惑用户单击，当用户单击时，病毒会假装做出各种破坏操作来吓唬用户，但并没有对计算机产生破坏。

10. 捆绑机病毒 前缀为Binder。此类病毒会使用特定的捆绑程序将病毒与一些应用程序如QQ、浏览器等捆绑起来，表面上看是正常的文件。当用户运行这些被捆绑的应用程序时，会悄悄地运行捆绑在一起的病毒，从而给用户的计算机造成危害。

1.繁殖性
计算机病毒可以像生物病毒一样进行繁殖，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。

2.破坏性
计算机中毒后，可能会导致正常的程序无法运行，计算机内的文件被删除或受到不同程度的损坏。磁盘引导扇区及BIOS也会被破坏。

3.传染性
计算机病毒的传染性是指计算机病毒通过修改别的程序将自身的副本或变体传染到其他无毒的对象上，这些对象可以是一个程序，也可以是系统中的某一个部件。

4.潜伏性
计算机病毒的潜伏性是指计算机病毒可以依附于其他媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作，会使计算机变慢。

5.隐蔽性
计算机病毒具有很强的隐蔽性，变化无常，这类病毒处理起来非常困难。

6.可触发性
编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，某个时间或日期，或系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。

计算机病毒的分类

计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。而且增长很快。

1. 按照计算机病毒攻击的系统分类

（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国发现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99%。
（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎，Windows取代DOS成为病毒攻击的主要对象。首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。
（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的计算机系统均采用UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。

2. 按照病毒的攻击机型分类

（1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
（2）攻击小型机的计算机病毒。小型机的应用极为广泛，它既可以作为网络的一个节点机，也可以作为小的计算机网络主机。起初，人们认为计算机病毒只有在微型计算机上才能发作，而小型机不会受到病毒的侵扰，但自1988年11月份Internet网络受到worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
（3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展，所以不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

3. 按照计算机病毒的连接方式分类

计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击。计算机病毒所攻击的对象是计算机系统可执行的部分。
（1）源码型病毒。该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入源代码中，经编译成为合法程序的一部分。
（2）嵌入型病毒。这种病毒是将自身嵌入现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。
（3）外壳型病毒。外壳型病毒将其自身包围在主程序外面，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。
（4）操作系统型病毒。这种病毒用它自己的程序来意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

4. 按照计算机病毒的破坏情况分类 （1）良性计算机病毒。
   良性病毒是指其不包含立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然，认为这只是恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统和应用程序争抢CPU的控制权，导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件反复被几种病毒感染，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此不能轻视所谓良性病毒对计算机系统造成的损害。
   （2）恶性计算机病毒。
   恶性病毒就是指在其代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗基罗病毒（简称“米氏病毒”）。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸，防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，或至少发出警报提醒用户注意。

5. 按照计算机病毒的寄生部位或传染对象分类
   传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，即根据计算机病毒传染方式进行分类，有以下几种。
   （1）磁盘引导区传染的计算机病毒。
   磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着重要信息，如果对磁盘上的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。
   （2）操作系统传染的计算机病毒。
   操作系统是一个计算机系统得以运行的支持环境。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒把自己变成操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒的传染提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。
   （3）可执行程序传染的计算机病毒。
   可执行程序传染的病毒通常寄生在可执行程序中，一旦程序执行，病毒也就被激活，病毒程序首先执行，并将自身驻留内存，然后设置触发条件，进行传染。
   以上三种病毒实际上可以归纳为两大类：一类是引导区型传染的计算机病毒；另一类是可执行文件型传染的计算机病毒。

6. 按照计算机病毒激活的时间分类 按照计算机病毒激活的时间可以将其分为定时的和随机的。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7. 按照传播媒介分类 按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。
   （1）单机病毒。
   单机病毒的载体是磁盘，常见的是病毒从U盘传入硬盘，感染系统，然后再传染其他U盘，U盘又传染其他系统。
   （2）网络病毒。
   网络病毒的传播媒介不再是移动式载体，而是网络，这种病毒的传染能力更强，破坏力更大。

8. 按照寄生方式和传染途径分类 计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。
   混合型病毒集引导型和文件型病毒特性于一体。
   引导型病毒会改写（即一般所说的“感染”）磁盘上的引导扇区（BOOTSECTOR）的内容，U盘或硬盘都有可能感染病毒；或者改写硬盘上的分区表（FAT）。如果用已感染病毒的U盘来启动的话，则会感染硬盘。
   

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统运行，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

有的病毒会潜伏一段时间，等到它所设置的特定日期到达时才发作。有的病毒则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息要么是让用户不要非法复制软件，要么显示特定图形，要么放一段音乐。病毒发作后，不是摧毁分区表，导致无法启动，就是直接格式化硬盘。也有一部分引导型病毒的“手段”没有那么狠，不会破坏硬盘数据，只是搞些“声光效果”让用户虚惊一场。

引导型病毒几乎都会常驻在内存中，差别只在于内存中的位置。所谓“常驻”，是指应用程序把要执行的部分在内存中驻留一份。这样就不必在每次要执行它的时候都到硬盘中搜寻，以提高效率。

引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。
MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻（Stoned）、2708等。
BR病毒是将病毒寄生在硬盘逻辑0扇区或U盘逻辑0扇区（即0面0道第1个扇区）。典型的病毒有Brain、小球病毒等。

文件型病毒主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引入内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。大多数的文件型病毒都会把它们自己的代码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长，但用户不一定能用DIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码，因此感染病毒后文件的长度仍然维持不变。

感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行感染。高明一点的病毒，会在每次进行感染的时候，针对其新宿主的状况而编写新的病毒码，然后才进行感染。因此，这种病毒没有固定的病毒码——以扫描病毒码的方式来检测病毒的查毒软件，遇上这种病毒可就一点用都没有了。但反病毒软件随病毒技术的发展而发展，针对这种病毒现在也有了有效手段。

大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。
源码型病毒是用高级语言编写的，若不进行汇编、链接则无法传染扩散。
嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序，如dBASE病毒。
这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒，这类病毒寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。

混合型病毒综合了系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。这种病毒通过这两种方式来感染，更增加了病毒的传染性以及存活率。无论以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。

引导型病毒相对文件型病毒来讲，破坏性较大，但为数较少，直到20世纪90年代中期，文件型病毒还是最流行的病毒。但近几年情形有所变化，宏病毒后来居上。
宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。据美国国家计算机安全协会统计，这位“后起之秀”已占目前全部病毒数量的80%以上。另外，宏病毒还可衍生出各种变形病毒，这种“父生子，子生孙”的传播方式实在让许多系统防不胜防，这也使宏病毒成为威胁计算机系统的“第一杀手”。

典型的计算机病毒介绍

U盘病毒

U盘病毒，顾名思义，就是通过U盘传输的病毒。通常使用U盘时会出现安全软件的提示U盘有病毒的消息。
这时打开U盘，就会看到里面有一些莫名其妙的隐藏文件，这些隐藏文件里面都是病毒。
随着U盘、移动硬盘、存储卡等移动存储设备的普及，U盘病毒已经成为比较流行的计算机病毒之一。下面来看看几种U盘病毒及其清除方法。

1. runauto..文件夹 经常在计算机硬盘里会发现名为“runauto..”的一个文件夹，在正常模式或安全模式下都无法删除。
   假设这个文件夹在C:盘，则删除办法是：在桌面单击“开始”→“运行”，输入“cmd”，再输入“C:”，接着输入“rd/s/q runauto...\”就可以了。

2. autorun.inf文件病毒 目前几乎所有U盘类的病毒的最大特征都是利用autorun.inf来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上可以是任何病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种，详细的数字应该没人统计。

autorun.inf这个文件是很早就存在的，在WinXP以前的其他Windows系统（如Win98和Win2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统，让系统将它的盘符图标改成某个路径下的图标。所以，这本身是一个常规且合理的文件。

但上面反复提到的“自动”是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如经常使用的各种教学光盘，一插入计算机就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。

有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行，但是堂而皇之地放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方。

一种是假回收站方式：病毒通常在U盘中建立一个名为“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的。

另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，名为“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。

这是因为通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等，一般情况下就看不到了。可以按照下面的方法看到隐藏的文件。打开“我的电脑”，在菜单栏上单击“工具”→“文件夹选项”，出现一个对话框，选择“查看”标签，然后将“隐藏受保护的操作系统文件（推荐）”选项前面的“√”去掉，再将“显示所有文件和文件夹”选项选中。

如果U盘带有上述病毒，还会出现一个现象：当你单击U盘时，会多了一些东西，带病毒的U盘，右键菜单多了“自动播放”“Open”“Browser”等项目；杀毒后的，没有这些项目。

说明：凡是带autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。

对于autorun.inf病毒的解决方案如下。

（1）如果发现U盘有autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。
（2）如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它。
（3）一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住〈Shift〉键，然后插入U盘，建议按键的时间长一点。插入后，用右键单击U盘，选择“资源管理器”来打开U盘。

3. U盘RavMonE.exe病毒及清除方法 U盘有病毒，杀毒软件报告一个RavMonE.exe病毒文件，这也是一个经典的U盘病毒。RavMonE.exe病毒运行后出现在进程里。

RavMonE.exe病毒运行后，会出现同名的一个进程，该程序貌似没有显著危害。程序大小为3.5MB，一般会占用19～20MB左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的6位数字，估计可能有窃取账号、密码之类的危害。

RavMonE.exe病毒清除方法如下。
（1）打开任务管理器（〈Ctrl+Alt+Del〉或者在任务栏右键单击也可），终止所有RavMonE.exe进程。
（2）进入病毒目录，删除其中的RavMonE.exe。
（3）打开系统注册表，依次点开HK_Loacal_Machine\software\Microsoft\windows\Current Version\Run\，在右边可以看到一项值是c:\windows\ravmone.exe，将其删除。
（4）完成后，重新启动计算机，病毒就被清除了。

ARP病毒

1. 病毒描述 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。
   地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不检测该报文的真实性就将其记入本机ARP缓存。
   由此攻击者就可以向某一主机发送伪ARP应答报文，使该主机发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。

ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
ARP欺骗方式共分为两种：
一种是对路由器ARP表的欺骗，该种攻击截获网关数据。向路由器发送一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；
另一种是对内网PC的网关欺骗，仿冒网关的MAC地址，发送ARP包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。

ARP病毒发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫病毒还要严重。该病毒位居2007年病毒排行榜第二位。

该病毒通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“中间人攻击”进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，进行ARP高速缓存机制。
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登录了服务器，病毒主机就会经常伪造断线的假象，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。

2. 解决方法

（1）在遭到ARP欺骗的本机上，在桌面单击“开始”→“运行”，输入“cmd”，再通过命令行窗口输入“arp -a”命令，查看ARP列表，会发现该MAC已经被替换成攻击机器的MAC，记下该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。
（2）借助第三方抓包工具（如sniffer或antiarp）查找局域网中发ARP包最多的IP地址，也可判断出中病毒的计算机。
（3）可以使用360ARP防火墙，这个防火墙可以在http://www.360.cn上下载。安装完成后，可以在综合设置里面设置对ARP病毒的防护。

造成ARP欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

宏病毒

1. Office当中的宏 宏，译自英文单词Macro。宏是微软公司为其Office软件包设计的一个特殊功能。软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来了一种工具。它利用简单的语法，把常用的动作写成代码，当在工作时，就可以直接利用事先编好的代码自动运行，完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

Office中的Word和Excel都有宏。Word为用户事先定义了一个通用模板（Normal.dot），里面包含了基本的宏。只要一启动Word，就会自动运行Normal.dot文件。如果在Word中重复进行某项工作，可用宏使其自动执行。以下是宏的一些典型应用。

• 加速日常编辑和格式设置。
• 组合多个命令，例如插入具有指定尺寸和边框、指定行数和列数的表格。
• 使对话框中的选项更易于访问。
• 自动执行一系列复杂的任务。

Word提供了两种创建宏的方法：宏录制器和Visual Basic编辑器。
宏将一系列的Word命令和指令组合在一起，形成一个命令，以实现任务执行的自动化。在默认的情况下，Word将宏保存在Normal模板中，以便所有的Word文档均能使用，这一特点几乎为所有的宏病毒所利用。
宏实际上是一系列Word命令的组合，用户可以在Visual Basic编辑器中打开宏并进行编辑和调试，删除录制过程中录进来的一些不必要的步骤，或添加无法在Word中录制的指令。创建宏的具体步骤如下。

（1）选择“工具”菜单中的【宏】命令，从级联菜单中单击“宏”命令，出现“宏”对话框。
（2）在“宏名”列表框中选定要编辑或调试的宏的名称。如果该宏没有出现在列表中，请选定“宏的位置”框中的其他宏列表。
（3）单击“编辑”按钮，出现Visual Basic编辑器窗口，可以在这里对宏进行编辑和调试。
（4）编辑完成后，选择“文件”菜单中的“关闭并返回到MicrosoftWord”命令返回Word窗口中。

2. 宏病毒 宏病毒是一种寄生在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。宏病毒的主要特点如下。

（1）传播快。
Office宏病毒通过.doc文档及.dot模板进行自我复制及传播。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染，而对外来的文档、文件基本是直接浏览使用，这给Word宏病毒传播带来更多便利。
（2）制作和变种方便。
以往病毒是以二进制的计算机器码形式出现的，而宏病毒则是以人们容易阅读的源代码宏语言Word basic形式出现，所以编写和修改宏病毒比以往的病毒更容易。
（3）破坏极大。
由于宏病毒用Word basic语言编写，而Word basic语言提供了许多系统底层调用，如直接使用DOS命令，调用Windows API，因此破坏极大。以上这些操作可能对系统直接构成威胁，而Word在指定安全性、完整性上检测能力很弱，所以破坏系统的指令很容易被执行。
（4）多平台交叉感染。
宏病毒突破了以往病毒在单一平台上传播的局限，当Word、Excel这些应用软件在不同平台上运行时，会被宏病毒交叉感染。
（第3点是一个例子，大家可以自己去书上看或者搜索台湾一号病毒，这里先记录一些书上的原理和方法）

4. 判断是否感染了宏病毒 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，可以百分之百地断定Office文档或Office系统中有宏病毒。

（1）在打开“宏病毒防护功能”的情况下，当打开一个自己写的文档时，系统会弹出相应的警告框。而你清楚自己并没有在其中使用宏或并不知道宏到底怎么用，那么你可以完全肯定你的Office文档已经感染了宏病毒。
（2）同样是在打开“宏病毒防护功能”的情况下，您的Office文档中一系列的文件都在打开时给出宏警告。由于在一般情况下很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。
（3）软件中的宏病毒防护选项启用后，不能在下次开机时依然保存。Word中一般都提供了对宏病毒的防护功能，它可以在“文件/选项/信任中心设置/宏设置”中进行设定。但有些宏病毒为了对付Office中提供的宏警告功能，在感染系统（这通常只有在你关闭了宏病毒防护选项或者出现宏警告后你不留神选取了“启用宏”才有可能）后，会在你每次退出 Office时自动屏蔽宏病毒防护选项。因此你一旦发现自己的计算机中设置的宏病毒防护功能选项无法在两次启动Word之间保持有效，则你的系统一定已经感染了宏病毒。也就是说一系列Word模板特别是Normal.dot已经被感染。

鉴于绝大多数人都不需要或者不会使用“宏”这个功能，可以得出一个相当重要的结论：如果你的Office文档在打开时，系统给出一个宏病毒警告框，那么你应该对这个文档保持高度警惕，它已被感染的概率极大。
注意：简单地删除被宏病毒感染的文档并不能清除Office系统中的宏病毒。

5. 在Office文件当中禁止宏 方法是打开任何一个Excel文件（Word是一样的），选择“文件”菜单，选择“选项”，选择“信任中心”，再单击“信任中心设置”，选择“宏设置”，再单击选项“禁用所有宏，并发出通知”选项。

做完上面的步骤以后，计算机就不会有宏病毒了。如果有地方用到宏，系统会提示。如果你确定所使用的宏是有用的，启用即可。

6. 使用杀毒软件查杀宏病毒 除了常用的360、瑞星、江民等通用杀毒软件能查杀宏病毒外，还有一些Office宏病毒专杀工具（如CleanMacro）也可以使用。使用反病毒软件是一种高效、安全和方便的清除方法，也是一般计算机用户的首选方法。

蠕虫病毒

1. 蠕虫病毒的原理 蠕虫病毒是一种常见的计算机病毒。它利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初定义为蠕虫病毒是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母。

蠕虫病毒是自包含的程序（或是一套程序），它能传播自身的副本或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。与一般的病毒不同，蠕虫不需要将其自身附着到宿主程序。

有两种类型的蠕虫：主机蠕虫与网络蠕虫。

主机蠕虫完全包含在它们运行的计算机中，并且使用网络仅将自身复制到其他计算机中。主机蠕虫在将其自身的副本加入另外的主机后，就会终止它自身（因此在任意给定的时刻，只有一个蠕虫的副本运行）。这种蠕虫有时也叫“野兔”，很多这种蠕虫病毒是通过1434端口漏洞传播。

网络蠕虫在传播自身的同时，自身不会消失，所以会以一传十、十传百的速度，飞快地向外传播。

蠕虫一般包括三个模块。

（1）传播模块：负责蠕虫的传播，通过检查主机或远程计算机的地址库，找到可进一步传染的其他计算机。
（2）隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。
（3）目的功能模块：实现对计算机的控制、监视或破坏等功能。

传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。

• 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。
• 攻击：攻击模块按漏洞攻击步骤自动攻击找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。
• 复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

蠕虫将自身复制到某台计算机之前，也会试图判断该计算机以前是否已被感染过。在分布式系统中，蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己命名，从而伪装自己。同时，可以看到，传播模块实现的实际上是自动入侵的功能。所以，传播技术是蠕虫的首要技术，没有传播技术，也就谈不上什么蠕虫技术了。

危害很大的“尼姆达”病毒就是蠕虫病毒的一种，“熊猫烧香”及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

震网病毒

2010年9月，伊朗布舍尔核电站遭到震网病毒Stuxnet攻击，导致核电设施推迟启用。

震网病毒是第一个专门定向攻击真实世界中基础（能源）设施（比如核电站、水坝和国家电网）的蠕虫病毒。

震网病毒极具毒性和破坏力。它的代码非常精密，主要有两个功能，一是使伊朗的离心机运行失控，二是掩盖发生故障的情况，“谎报军情”，以“正常运转”记录回传给管理部门，造成决策的误判。“震网”定向明确，具有精确制导的“网络导弹”能力。它是专门针对工业控制系统编写的恶意病毒，能够利用Windows系统和西门子SCADA系统的多个漏洞进行攻击，根据指令，定向破坏伊朗离心机等要害目标。

震网病毒主要通过U盘的方式传播，针对微软操作系统中的MS10-046漏洞（Lnk文件漏洞）、MS10-061（打印服务漏洞）、MS08-067等多种漏洞，使用伪造的数字签名，利用一套完整的入侵传播流程，突破工业专用局域网的物理限制，对西门子的SCADA软件进行特定攻击，下图表示震网病毒的传播。 震网病毒传播的过程是首先感染外部主机，然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了西门子Win CC软件的主机，展开攻击。

震网病毒的复杂程度远超一般计算机黑客的能力。震网病毒于2010年6月首次被检测出来。在许多人的观念中，电视机、冰箱、空调这样的硬件设备和计算机病毒是没什么关系的。再厉害的计算机病毒，最多也就是把自己计算机中的所有文件都破坏。用户只需要拿起鼠标进行简单操作，许多软件都可以在重新还原系统后继续使用。

这也是震网病毒能迅速引发关注的原因。它所针对的，就是那些看似没有病毒威胁的工业基础设备。传统的工业控制系统是一种“史前”技术，隔离网络、规模庞大、通信单一，这样的设置就是为了完全隔离任何外界可能进行的攻击。要针对这样的系统进行攻击，传统的互联网理论是行不通的。因为与攻破一台连接到互联网的计算机不同，想要攻击工控设施的黑客被隔离在外，根本没办法对其进行破坏。

震网病毒被制造出的目的与普通病毒有着根本性的不同，它拥有与武器类似的目标，那就是破坏。而正因为它的打击对象是全球各地的重要目标，因此被一些专家定性为全球首个投入实战的“网络武器”，而且无需借助网络连接进行传播。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制计算机软件，并且代替控制系统对工厂其他计算机“发号施令”。

震网病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而震网病毒不像一些恶意软件那样可以赚钱，它需要花钱研制。这是专家们相信震网病毒出自情报部门的一个原因。

据全球最大网络保安公司赛门铁克（Symantec）和微软（Microsoft）公司的研究，近60%的感染发生在伊朗，其次为印度尼西亚（约20%）和印度（约10%），阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

工业控制系统安全非常重要，工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。

勒索病毒

勒索病毒简介

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害计算机或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密。如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

勒索病毒常见的攻击方式

攻击者将病毒伪装为盗版软件、外挂软件、播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外，勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。勒索病毒针对个人用户的攻击流程如图

勒索病毒的防范

·浏览网页时提高警惕，不下载可疑文件，警惕伪装为浏览器更新或者flash更新的病毒。
·安装杀毒软件，保持监控开启，及时升级病毒库。
·安装防勒索软件，防御未知勒索病毒。
·不打开可疑邮件附件，不单击可疑邮件中的链接。
·及时更新系统补丁，防止受到漏洞攻击。
·备份重要文件，建议采用本地备份+脱机隔离备份+云端备份。

QQ、MSN病毒

网上利用QQ、MSN等聊天工具，进行病毒传播时有发生。另外还有黑客给QQ、MSN加木马，以盗取QQ、MSN的密码等信息。病毒会向MSN联系人发送文字信息，夹带毒包欺骗用户打开。 到www.ip.cn网站上查找一下就会发现这个网站实际上在地方。

对于QQ和MSN病毒的防治，可以采用专杀工具。例如，对于QQ病毒可以下载QQ kav专杀工具，进行查杀。

计算机病毒的治理

在计算机病毒治理过程中，经常提到如下三个问题：如何检测计算机是否已经中了病毒？如果计算机已经中了病毒该如何处置？如何防范计算机病毒？

如何检测计算机是否已经感染病毒

1. 查看进程 首先排查的就是进程了，方法简单，开机后，什么都不要启动！

第一步：按〈Ctrl+Alt+Delete〉三个键，直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以上网查询一下。
第二步：打开“冰刃”等软件，先查看有没有隐藏进程（“冰刃”中以红色标出），然后查看系统进程的路径是否正确。
第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入正常进程中。

2. 检查自启动项目 进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig查看是否有可疑的服务。方法是单击“开始”，在搜索框里输入“CMD”进入DOS状态，输入“msconfig”
这时出现的系统配置界面。切换到“服务”选项卡，勾选“隐藏所有Microsoft服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎）。

第二步：用msconfig查看是否有可疑的自启动项。切换到“启动”选项卡，逐一排查即可。

3. 查看CPU时间 如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程。方法如下： 打开任务管理器，切换到“进程”选项卡，在菜单中点“查看”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了SystemIdleProcess和SYSTEM以外，CPU时间较大的进程，这个进程需要引起一定的警惕。

感染病毒该如何处置

发现计算机病毒应立即清除，将病毒危害减少到最低限度。发现计算机病毒后的解决方法如下。
（1）关闭计算机所有外部连接，包括拔掉网线、关掉无线连接等。
（2）在清除病毒之前，要先备份重要的数据文件。
（3）启动最新的反病毒软件，对整个计算机系统进行病毒扫描和清除，使系统或文件恢复正常。
（4）发现病毒后，一般应利用反病毒软件清除文件中的病毒。如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。
（5）某些病毒在Windows状态下无法被完全清除，此时应用事先准备好的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。
（6）如果清除不了病毒，最好找专业的安全管理人员处理。
（7）如果病毒已经把文件删除，最好不要动计算机，直接关机，把计算机带到专业的数据恢复公司进行数据恢复。

如何防范计算机病毒

（1）杀毒软件经常更新，以快速检测到可能入侵计算机的新病毒或者变种。
（2）使用安全监视软件（如360安全卫士、瑞星卡卡），主要防止浏览器被异常修改、插入钩子程序、安装恶意插件。
（3）使用防火墙或者杀毒软件自带的防火墙。
（4）关闭计算机自动播放，并对计算机和移动储存工具进行常见病毒查杀。
（5）定时进行全盘病毒扫描。
（6）注意网址的正确性，避免进入山寨网站。
（7）不随意接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。
（8）使用正版软件。
（9）使用移动存储器前，最好要先查杀病毒再使用。