计算机复习材料：病毒简介

基本简介蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。病毒名称出现时间造成损失莫里斯蠕虫1988年6000多台计算机停机，直接经济损失达9600万美元！美丽杀手1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元！爱虫病毒2000年5月众多用户电脑被感染，损失超过100亿美元以上。红色代码2001年7月网络瘫痪，直接经济损失很大。求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元。Sql蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元。2号病毒2012年3月北京某公司内部网络大面积瘫痪，公司紧急关闭网络服务器，直接经济损失无法估算，大量内部机密文件丢失外漏。漏洞攻击利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND)，使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。CIH病毒病毒名称：CIH_12，别名：CIHV1.2。病毒特点病毒感染Windows95和Windows98的EXE文件。中文名CIH病毒别名Win95.CIH、Spacefiller等感染对象Win95/98下可执行文件版本V1.1、V1.2、V1.3、V1.4外文名CIH首度公布时间1998年6月2日类别计算机系统硬件病毒1历史CIH病毒1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIHv1.2植入感染的系统。这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows95，98和windowsMe系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows9X操作系统，CIH不再像他刚出现时分布那么广泛传播。2病毒破坏当然，CIH对BIOS的破坏，也并非想像中的那么可怕。现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。3病毒版本CIH病毒属文件型病毒，杀伤力极强，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，PortableExecutableFormat)，目前的版本不感染DOS以及WIN3.X(NE格式，WindowsandOS/2Windows3.1executionFileFormat)下的可执行文件，并且在WinNT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好像没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：恶意病毒1病毒名称：Worm.Zotob.aWorm.Zotob.bWorm.Zotob.c2病毒中文名：狙击波3病毒类型：蠕虫、后门危险级别：★★★影响平台：Win9x/WinNT专杀工具：赛门铁克专杀工具江民专杀工具4病毒描述：“狙击波”利用微软刚刚公布的严重系统漏洞(MS05-039)进行主动传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。病毒攻击目标系统时，可能造成系统不断重启，与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Services.exe”。宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。快速导航中文名宏病毒类别计算机病毒Windows型12种外文名Macrovirus解释寄存在文档或模板的宏中病毒1基本概念来源虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。并且在2013年后的杀毒软件已支持宏病毒扫描。这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档时就包含宏。如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择“取消宏”。OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如果愿意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查：单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病毒保护”复选框。不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然屏障。上世纪90年代的宏病毒主要感染文件有word、Excel的文档。并且会驻留在Normal面板上据统计，通过Internet传播的不同类型的病毒数量如下：DOS型：10000至11000种Windows型：12种Macintosh型：35种宏病毒：200余种Unix型：6种其中10000-11000种DOS型病毒能感染所有DOS、Windows95平台的计算机（但不感染Macintosh计算机）；但200余种宏病毒中的大部分能感染所有计算机，包括PC机和Macintosh机。所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务（如Word中的宏命令）。2判断方法虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot已经被感染。鉴于绝大多数人都不需要或者不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！常见病毒类型（1）、良性病毒与生物学的良性病毒一样，计算机中的良性病毒是指那些只表现自己而不破坏系统数据的病毒。它多数是恶作剧者的产物，其目的不是为了对系统数据进行破坏，而是为了让使用这种被传染的计算机系统用户通过屏幕显示的表现形式，了解一下病毒程序编写者在计算机编程技术与技巧方面的超群才华。但这种病毒在一定程度上对系统也有破坏作用（称之为副作用）。通常来说，良性病毒在发作时，仅占用CPU的时间，进行与当前执行程序无关的事件来干扰系统工作（如小球病毒、巴基斯坦病毒）。（2）、恶性病毒恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化，甚至有些病毒既不删除计算机系统的数据，也不格式化硬盘，而只是对系统数