文档介绍：第十七讲: 网络病毒及防止
从1988年以来,计算机病毒开始在我国出现并迅速泛滥成灾。到了90年代,随着我国各类计算机网络的迅速建立与普遍应用,如何防止计算机病毒侵入计算机网络已成为一个重要而紧迫的任务。计算机网络的防病毒与反病毒技术已成为计算机操作人员与网络工作人员必须了解与掌握的一项技术。
A: 视窗中的病毒
到目前为止,DOS环境下的病毒已经超过5000种。最近几年,又产生了许多以视窗平台为特定目标的计算机病毒。
为什么视窗中会有病毒存在呢?
原因之一:视窗运行时,首先启动实模式。。接着是引导过程,启动视窗
95的图形部件。当视窗完成启动后,用户可以用打开DOS对话框的方式运行DOS程序。DOS对话框中包括所有在系统初期启动时的程序拷贝,当然也包括可能被装载的病毒代码。因此,每次DOS对话框启动时将始终有相同的程序(包括病毒)是在视窗95图形部份启动前装载的。并且多次启动DOS进程可能导致多次病毒感染。
原因之二:在视窗95中允许DOS程序和病毒对软盘进行直接读写。这对病毒传播十分有利,当然,对用户来说是十分不幸的。病毒象在硬盘中一样,以相同的方式制造麻烦。当用户一时大意,用了一张带病毒软盘来引导时,病毒就会感染MBR。病毒将在每次计算机引导时装载,在每一次启动DOS对话框时安装到系统中。这样当用户对软盘进行操作时,病毒可以将自身繁殖到另外的软盘,从而蔓延到其它的计算机。
原因之三:和DOS一样,视窗没有文件等级保护。利用文件进行传播的病毒可以在视窗95下进行繁殖。这样,文件型病毒完全可以象它们在
DOS环境下一样进行复制。
原因之四:某些新技术可能会促进病毒的传播。比如,工作组网络环境十分容易使病毒快速传播。此外,视窗95没有文件等级保护,如果在网络中的计算机被病毒感染,那么在对等网络中共享的未被保护的驱动器和文件也将很快被病毒感染。
此外,视窗95的特性可能还会导致一些潜在的新病毒。
第一种可能的病毒类型是OLE2病毒。这种类型的病毒通过将自己假扮成公共服务的一个OLE2服务器,从而很容易四处传播。当一个OLE2客户申请一个OLE2服务器时,实际上病毒就取得了控制权。它能将自己繁殖到其它文件和计算机,之后它便替换了原有的OLE2服务器。正常的应用程序甚至不知道自己是在与另一个病毒进行“通话”。如果这个OLE2服务器在一个完全不同网络上,这个病毒可能很快在网络上传播。
第二种可能的病毒是扩展Shell病毒。从技术上讲,病毒能成为其中的一个扩展,因为视窗95对于扩展Shell不需要确认,因此病毒可以写成一种扩展Shell这样就可以取得控制权并且复制自身。
第三种可能的病毒是虚拟设备驱动病毒VxD病毒。视窗95 VxD对整个计算机具有完全控制权。如果通过编制特定程序,它可以直接对硬盘进行写操作。它具有与写视窗 95 Kernel模块相同的特权,并以此来随意控制系统。在视窗 95中增加了动态装载VxD能力,因此,一个VxD不需要每次都在内存中。这意味着病毒可以用一段很小的代码来激活一个动态VXD,这可以导致严重的系统崩溃。因为视窗95对VxD的行为没有限制,因此VxD病毒可以避开用户所采用的任何保护机制。
第四种可能产生病毒的原因在于:视窗95的易操作编程工具十分流行。许多新手可以用可视化开发工具的高级语言来编写病毒。这些病毒更象用户运行的其它程序,因此很难被检测出来。
B: 电子邮件中的病毒
最有名的电子邮件病毒是“美丽杀手”( Melissa)和“怕怕(PAPA)”。它们是英特网上通过感染Office 97和Office 2000的Word文件、Excel文件,然后通过电子邮件进行传播的两种病毒。
“美丽杀手”传染的对象是Office 97软件和Office 2000的Word文件。“美丽杀手”将特定信息以电子邮件方式自动发送到Outlook地址表中前50个邮箱中(一次发送50封邮件),并发送载有80个色情网络站点的列表。当用户打开已传染有该病毒的文件时,“美丽杀手”便传染用户系统。如此又向其他系统发送电子邮件。“美丽杀手”病毒的具体表现症状是:
(1)感染用户视窗95/98注册表
当用户打开被“美丽杀手”传染的病毒文件时,病毒程序首先检查注册表中是否有
“美丽杀手”的注册信息,若有则表明系统已被传染。否则,“美丽杀手”在注册表中创建一条注册项。
(2)电子邮件传播方式
利用Visual Basic指令建立一个OutLook对象,从OutLook的全域地址表中获取成员地址信息,将邮件主题为:“Important Message From - <User Name>”