计算机病毒及预防简介 - 学科网群

造就良好网络环境东风一中陈义杰一校园局域网二病毒及预防一校园网的网速问题最近一段时间或在一个较长的时间内，大家感到有时上网的速度较慢或根本上不了网。我们也为此一直在查找原因，包括我们在连接东风教育网的情况下又增加中国电信网（十兆带宽）。制约我们网速的原因有三：１．外来的攻击２．路由器的带宽有待于进一步提高３．病毒的攻击病毒的来源主要有以下几个方面：*来自外部的攻击*老师自己的U盘及通过各种渠道搞来的软件*在网络上下载的有关软件等内容*登录一些不了解的网站*计算机之间相互感染病毒我校网络的两道关*路由器*企业版瑞星网络版杀毒软件计算机工作站管理*实名制：所有的个人计算机都以统配的名字命名*配置统一的企业版瑞星网络版杀毒软件如果没有完成上述工作，我们将封闭您的ＩＰ号，禁止您上网，为了大家的利益，请各位老师配合我们把这项工作做好。二计算机病毒及预防简介一.什么是计算机病毒？计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。二．计算机病毒的特征(一)非授权可执行性:用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源。(二)隐蔽性:计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。(三)传染性:传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。(四)潜伏性:计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主(五)表现性或破坏性:无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。(六)可触发性:计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。三．病毒的分类从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。1、按破坏性可分为：良性病毒，恶性病毒。（1）良性病毒：仅仅显示信息、奏乐、发出声响，自我复制的。（2）恶性病毒：封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至电脑中止运行。（3）极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。（4）灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。三．病毒的分类2、按传染方式分为：引导型病毒、文件型病毒和混合型病毒。（1）文件型病毒：一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。（2）混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的TPVO-3783（SPY））。三．病毒的分类3.按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。（1）源码型病毒：较为少见，亦难以编写。（2）入侵型病毒：可用自身代替正常程序种的部分模块或堆栈区。（3）操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。（4）外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。四如何判断计算机感染病毒1、病毒发作前：（1）计算机无故死机（2）计算机无法启动（3）Windows运行不正常或无法正常启动（4）微机运行速度明显变慢（5）曾正常运行的软件常报内存不足（6）微机打印和通讯发生异常（7）曾正常运行的应用程序发生死机或者非法错误（8）系统文件的时间、日期、长度发生变化（9）运行Word，打开文档后，该文件另存时只能以模板方式保存（10）无意中要求对软盘进行写操作（11）磁盘空间迅速减少（12）网络数据卷无法调用（13）基本内存发生变化根据上述几点，我们就可以判断您的微机和网络是否感染上病毒，如当前流行的Win95.CIH病毒，通常也会表现为某些应用软件经常发生死机。根据种种现象去判断您的微机是否感染上病毒。其现象分为:四如何判断计算机感染病毒2、病毒发作中病毒的发作，有的只按时间来确定，有的按重复感染的次数来确定，但更多数是随机发生。发作时表现为：⑴提示一段话⑵发出动听的音乐⑶产生特定的图象⑷硬盘灯不断闪烁⑸进行游戏算法⑹Windows桌面图标发生变化3、病毒发作后恶性病毒发作后会导致下列情况：⑴硬盘无法启动，数据丢失⑵系统文件丢失⑶文件目录发生混乱⑷部分文档丢失⑸部分文档自动加密码⑹丢失被病毒加密的有关数据⑺修改某些Autoexec.bat文件，增加Format一项，导致计算机重新启动时格式化硬盘上的所有数据⑻使部分可升级主板的BIOS程序混乱，主板被破坏。引导型病毒一般侵占硬盘的引导区（即BOOT区），感染病毒后，引导记录会发生变化。五如何根据名称识别计算机病毒病毒命名的一般格式为：病毒前缀.病毒名.病毒后缀病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。五如何根据名称识别计算机病毒下面介绍一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：1、系统病毒:系统病毒的前缀为：Win32、PE、Win95、W32、W95等。2、蠕虫病毒:蠕虫病毒的前缀是：Worm。3、木马病毒、黑客病毒:木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。4、脚本病毒:脚本病毒的前缀是：Script。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）等。5、宏病毒:其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro。下面介绍一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：6、后门病毒:后门病毒的前缀是：Backdoor。7、病毒种植程序病毒:这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）MSN射手(Dropper.Worm.Smibag)等。8．破坏性程序病毒:破坏性程序病毒的前缀是：Harm。9．玩笑病毒:玩笑病毒的前缀是：Joke。也称恶作剧病毒。10．捆绑机病毒:捆绑机病毒的前缀是：Binder。六局域网病毒入侵原理及现象（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播。（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器。（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的“无盘”（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中。在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点（1）感染速度快（4）难于彻底清除（2）扩散面广（3）传播的形式复杂多样（5）破坏性大（6）可激发性（7）潜在性七局域网病毒防范方法我们在防范网络病毒时，需要注意以下几点：(1)留心邮件的附件(2)注意文件扩展名(4)不要盲目转发信件(3)不要轻易运行程序(5)堵住系统漏洞(6)注意共享权限(7)不要随便接受附件(8)从正规网站下载软件(9)多做自动病毒检查(10)使用最新杀毒软件计算机病毒防治，重在防范。随着计算机技术的发展，计算机病毒的传播途径和破坏手段也在逐渐地升级。面对纷繁复杂的网络世界时，一定要倍加小心，随时更新自己的杀毒软件，了解病毒的发展的最新动态，防患于未然才能高枕无忧。不妥之处请指正2007年11月2日