2024年1月10日发(作者：)

一， 简介

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

二， 几种常见的病毒

1， 木马病毒：指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

（1）：特征：

1、隐蔽性是其首要的特征 如其它所有的病毒一样，木马也是一种病毒，它必需隐藏

在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软

件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远

程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子

来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，

大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务

器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端

在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想

到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和

ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程

序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软

件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，

甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图

片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

不产生图标 它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2，它具有自动运行性 ，它是一个当你系统启动时即自动运行的程序，所以它必需潜

入在你的启动配置文件中，如、、以及启动组等文件

之中。

3，木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有

的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个

文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只

不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一

个ZIP文件式图标，

当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在

不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗

子程序”。

4， 具备自动恢复功能： 现在很多的木马程序中的功能模块已不再是由单一的文件组成而是具有多重备份，可以相互恢复。

5、 能自动打开特别的端口： 木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的。

6、 功能的特殊性： 通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

（2）防治方法：

1，为计算机安装杀毒软件，定期扫描系统、查杀病毒；及时更新病毒库、更新系统补丁；

2, 下载软件时尽量到官方网站或大型软件下载网站，在安装或打开来历不明的软件或文件前先杀毒

3, 不随意打开不明网页链接，尤其是不良网站的链接，陌生人通过QQ给自己传链接时，尽量不要打开；3.不随意打开不明网页链接，尤其是不良网站的链接，陌生人通过QQ给自己传链接时，尽量不要打开；

4 . 使用网络通信工具时不随便接收陌生人的文件，若接收，可在工具菜单栏中“文件夹选项”中取消“隐藏已知文件类型扩展名”的功能来查看文件类型；

5, 对公共磁盘空间加强权限管理，定期查杀病毒；

6. 打开移动存储器前先用杀毒软件进行检查，可在移动存储器中建立名为“”的文件夹（可防U盘病毒启动）；

7. 需要从互联网等公共网络上下载资料转入内网计算机时，用刻录光盘的方式实现转存；

8.对计算机系统的各个账号要设置口令，及时删除或禁用过期账号；

[1]9.定期备份，以便遭到病毒严重破坏后能迅速修复。

个人手机木马防御术

1.务必安装手机安全软件，长时间收不到短信及电话，马上检修手机；

2.不要轻易点击来历不明的链接；

3.不要透露短信验证码，转账前一定要电话确认，尤其是大额转账

2， 宏病毒：是一种寄存在文档或模板的宏中的计算机病毒（即一般存于office软件中）。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机 上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会

“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。宏病毒极其具有系统破坏性。

特征，以word宏病毒（由 .DOT 作为后缀，用于存储宏。宏病毒欺骗 Word）为例：

（1）传播极快：Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及，Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计，宏病毒的感染率高达40%以上，即在现实生活中每发现100个病毒，其中就有40多个宏病毒，而国际上普通病毒种类已达12000多种。

（2）制作、变种方便：以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现，所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种，其变种与日俱增，追究其原因还是Word的开放性所致。Word病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理，它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。

（3）破坏可能性极大：鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE或DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。

（4）多平台交叉感染：宏病毒冲破了以往病毒在单一平台上传播的局限，当WORDJXCEL这类著名应用软件在不同平台（如Windows、Windo_wsNT、OS/2和MACINTOSH等）上运行时，会被宏病毒交叉感染

防治

1， 在确定文档中病毒的情况下，所有打开的文档不要存盘

2， 建议使用综合性杀毒软件，进行查杀，在杀毒过程中不要选择自动处理，因为这很可能会把你的染毒文件直接删除。查找出来的染毒文件如果是重要文档，先用系统自带的写字版进行复制粘贴保存，保存内容后再清除病毒毒，确保重要文档不丢失。、

3， 下载专业的宏病毒清除工具进行复查。综合性的杀毒软件查找问题的能力比普通的杀毒软件要强，但是并不一定能够把病毒清楚干净，所以专业的宏病毒杀毒软件是查杀病毒关键的一步。

4， 提高对宏病毒的警惕性，可在office办公软件当中，在工具—宏—安全性选项当中把宏安全性设置为高。

5， 时刻保持杀毒软件的正常运行，把杀毒软件的更新设置为自动更新，打开杀毒所有的杀毒选项。

6， 不要随意打开不明电子邮件，宏病毒寄存在文档当中，通过邮件及U盘拷贝等形式传播。在收到不明来历的电子邮件，马上删除。

7， 通过U盘拷贝的文档，先进性杀毒软件扫描初步确认后再打开。

3，糯虫病毒，蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的

某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

特征：

1， 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。

2， 计算机蠕虫（Worm）与病毒、木马等类似，都是在用户不知情的情况下，偷偷执行预期外的恶意行为，以达到破坏电脑环境、窃取用户信息或传播自身等操作 。

3， 从传播方式上来说，病毒和木马需要破坏者进行主动的传播；感染型病毒可以搜索并感染同一台电脑上能够访问到的其它文件。与它们不同的是，蠕虫的主要行为是努力通过各种途径将自身或变种传播到其它电脑终端上，因此可能造成更广泛的危害。

4， 蠕虫的传播方式有：通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击5，传播、通过移动设备进行传播、通过即时通讯等社交网络传播。

除此之外，蠕虫通常还会在传播的同时执行一些其它的恶意行为，以达到自己的目的。

一， 勒索病毒

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞[1]“EternalBlue”（永恒之蓝）进行传播 。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万[2]台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自灰鸽子和熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加[密后，无法正常工作，影响巨大。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视

频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复 WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

攻击特点：WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

攻击类型：常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）

并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）

压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）

电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）

数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

开发者使用的源代码和项目文件（.php、.java、.cpp、.asp、.asm）

密匙和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）

美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

虚拟机文件（.vmx、.vmdk、.vdi）等。

勒索病毒的防治：

1， 及时下载更新系统漏洞补丁

2， 目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

3， 临时解决方案：开启系统防火墙，利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务），打开系统自动更新，并检测更新进行安装。

4， 目前已证实受感染的电脑集中在企事业单位、政府机关、高校等内网环境。安全专家指出，病毒加密用户文档后会删除原文件，所以，存在一定机会恢复部分或全部被删除的原文件。建议电脑中毒后，尽量减少操作，及时使用专业数据恢复工具，恢复概率较高。