第6章 恶意程序及其防治

３２．什么是恶意程序？

恶意程序又称恶意代码，是以入侵、破坏信息系统或窃取、销毁用户数据为目的的一类代码或程序的统称，包括传统病毒（ＣｏｍｐｕｔｅｒＶｉｒｕｓ）、特洛伊木马（ＴｒｏｊａｎＨｏｒｓｅ）和蠕虫（Ｗｏｒｍ）等。

我们在日常生活中习惯于将这些恶意程序统称为“病毒”。无论是什么种类的恶意程序，都具备或部分具备传染性、破坏性、潜伏性的特征。

随着编制技术的不断发展，恶意程序也在不断“升级”。一是具有传统病毒特点的木马、携带着木马的蠕虫、由蠕虫制造的传统病毒等复合型恶意程序不断出现，更加难防、难查、难杀；二是受影响终端从各类计算机扩展到智能手机、ＰＳＰ游戏机等，影响范围呈现多元化的趋势。

３３．恶意程序能够造成哪些危害？

恶意程序会对网络的通畅、系统的稳定、数据的安全等造成严重威胁，主要有：

（１）破坏用户数据

删除、改写、加密用户数据，造成数据损坏或无法读取。

（２）耗尽系统资源

不停读写硬盘、占用ＣＰＵ资源等，显着降低系统性能，造成系统不稳定。

（３）无法正常运行系统

关闭系统服务，破坏引导扇区，造成开机蓝屏，系统进入后不断要求重新启动。

（４）耗尽网络资源

不断复制自身，占用网络带宽使网络性能下降，访问困难。

（５）窃取用户资料

记录用户动作，复制特定文件，窃取账号口令。

（６）实施远程控制

建立系统后门，远程控制主机，通过被控制主机进一步制造恶意程序或对其他计算机实施攻击。

３４．恶意程序是如何入侵的？

恶意程序入侵主要有三种方式：

（１）通过固件方式预置

通过芯片等可控硬件产品安装在系统中，形成“特洛伊木马”。这种硬件产品被使用后，长期威胁使用者，一旦有指令激活其中的恶意程序，将产生严重后果。如海湾战争时，美国军队通过无线网激活了伊拉克打印机芯片内的计算机“病毒”，最终使伊拉克空军作战系统陷入瘫痪。

（２）通过存储介质（如Ｕ盘、软盘、光盘等）传播

如恶意程序“Ｕ盘寄生虫”，它会在每个分区都创建可执行程序“Ａｕｔｏｒｕｎ”和一个同名的安装信息文本文件，当访问Ｕ盘时就有可能感染计算机，如图４．１所示。

（３）通过网络散布

网络带来便捷的同时，也给恶意程序提供了快捷的入侵通道。

如“ＱＱ尾巴”，感染该恶意程序后，与ＱＱ好友聊天时，聊天内容末尾会添加一些不明网址，一旦点击了这些网址就有可能被感染，成为另一个传播者。

３５．计算机病毒有哪些种类？

根据《中华人民共和国计算机信息系统安全保护条例》，传统病毒被定义为“编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。可以看出，计算机病毒的特点是附着在宿主程序上，具有自我复制能力和破坏性。计算机病毒很多，有以下几种分类方式。

按感染区域可分为：

①文件型病毒。主要感染可执行程序（ｅｘｅ）、动态链接程序（ｄｌｌj輠）和文档文件（ｄｏｃ）。

②引导型病毒。主要感染启动扇区（ｂｏｏｔ）和硬盘的系统引导扇区（ＭＢＲ）。

③混合型病毒。兼有上述两种类型的特点。

按传染方法可分为：

①驻留型病毒。自身驻留在系统内存中并在系统运行时始终保持激活状态。

②非驻留型病毒。不驻留或驻留内存部分不传染的病毒。

按破坏能力可分为：

①良性病毒。以玩笑或技术学习为编写目的，不会对系统造成严重影响的病毒。

②恶性病毒。以恶意破坏或实现非法意图为编写目的，会对系统造成恶性影响的病毒。

３６．木马主要有哪些种类？各有什么危害？

木马又称特洛伊木马（ＴｒｏｊａｎＨｏｒｓｅ），是一类在用户不知情的情况下，恶意窃取、破坏、改写用户数据，或控制其他计算机执行远程攻击的程序。木马隐蔽性极强，多数不以破坏系统为目标。

按照木马在被感染主机上的行为，主要有以下几种类型：

（１）远程控制型

这类木马危害最大、散布最广、最难检测。它实际上是一种恶意远程控制程序，包括服务端程序和控制端程序两部分。木马的服务端程序寄生在多媒体等文件中，在用户不知情的情况下隐蔽安装。木马在宿主计算机上主要执行开启后门的操作，方便控制端对服务端进行实时的远程控制。这类木马现在有“蠕虫”化趋势，所不同的只是蠕虫是无目的复制和散播，而木马是根据控制端的意图进行散播。

（２）动作记录型

这类木马主要记录用户的操作，比如鼠标的移动、键盘的击键、屏幕显示的变化等，借以推定用户输入的账户口令，主要针对银行账户、游戏账户等。

（３）下载机型

这类木马会隐蔽下载安装其他恶意程序并为其他恶意程序的运行创造条件。比如禁用注册表、命令行、进程管理器等系统检测工具，主动关闭杀毒软件进程，改写系统时间使杀毒软件过期等。

（４）点击型

这类木马会对某个特定网站发送数据，主要用来制造点击量和发起分布式服务攻击（ＤＤｏｓ）。它们会替换或改写某些浏览器文件，使浏览器对预期目标发送特定指令。

３７．木马是怎样植入和隐藏的？

古希腊神话中“特洛伊木马计”是对木马植入方式的最好诠释。就像藏在木马腹中的士兵一样，木马服务端程序通过特殊的“捆绑程序”，隐藏在图像、视频、音频、电子书、压缩文件等各种程序中。一旦用户点击这些文件，就会在不知不觉中安装服务端程序，成为潜在的被控制主机。此外，网站“挂马”也是常用的植入方式，木马种植者会在网站上发布含有木马的网址链接，诱骗用户点击，甚至直接攻击网站，篡改数据，使访问者被种植木马。

为了持续地存活，木马采用多种方式隐藏自己，主要有：

（１）代码伪装

木马通常会通过“加壳（ｓｈｅｌｌ）”对自己改头换面，逃避杀毒软件的查杀。加壳指利用特殊算法对可执行程序资源进行压缩，原本是保护可执行程序、防止他人反编译的一种文件保护手段，在这里却成了木马的“帮凶”。加了壳的木马，特征代码被改变，隐蔽性更高。

（２）系统进程隐藏

按下“ｃｔｒｌ＋ａｌｔ＋ｄｅｌｅｔｅ”可以调出“任务管理器”查看系统进程。木马会想方设法在这个列表中隐藏自己，主要是通过三种手段：

①巧妙取名，木马进程会采用与系统进程相似的名称如ｓｖｏｈｏｓｔ等，鱼目混珠。

②将系统进程注册为系统服务，这样系统进程管理器中就不会列出该进程名。

③通过编程技术拦截系统控制函数，控制系统服务和进程的调用，使用这种方法的木马可以说已经成为系统内核的一部分，很难被发觉。

（３）通讯隐藏

木马采取了多种巧妙的通讯方式，逃避防火墙的拦截：

①反弹式连接，早期的木马都是由攻击方的客户端连接服务端主机，很容易被防火墙拦截，引起用户的注意，现在很多木马采取由木马宿主机器主动连接的方式，防火墙对于己方的机器一般是信任的，不会拦截这种连接，这种木马被称为“反弹式木马”。

②注入合法程序，传统木马为了防止通讯冲突一般会打开一些较大的端口号，容易被察觉，现在木马会将自己注入合法网络程序如ＱＱ、ＩＥ中，通过它们的合法端口进行通讯。

（４）攻击杀毒软件和检测程序①改写系统日期，使杀毒软件过期，关停杀毒软件。

②动态监测窗口和进程，发现杀毒、检测相关的关键字就进行拦截。

③改写注册表和组策略，禁止用户对注册表、命令行、控制面板进行访问。

３８．什么是蠕虫？

蠕虫（Ｗｏｒｍ）是独立运行的恶意程序，利用系统资源侵入网络，在网络中主动传播和自我复制，蠕虫较传统病毒破坏性更大。

传统病毒是一个代码片断，自我复制局限于某个文件系统，不能主动传播；而蠕虫是一个独立的程序，可以直接复制自己并自行传播，扩散速度惊人。蠕虫不但会影响终端计算机，还会消耗网络资源，令网络瘫痪。蠕虫扩散的渠道主要有Ｅｍａｉｌ、即时聊天、ＩＲＣ聊天、文件共享等。

３９．如何判定计算机中存在恶意程序？

如果计算机系统出现下述症状，应检查是否存在恶意程序：

（１）系统性能明显下降

系统性能明显下降包括系统开启、关闭速度减慢，打开网页速度变慢等。

（２）系统硬件不正常运转

系统硬件不正常运转包括鼠标自行移动，摄像头自动开启，硬盘无故读取，ＣＰＵ占用１００％等。

（３）文件状态不正常

文件状态不正常包括文件消失，文件属性自动变更，图标不正常显示等。

（４）大量发送数据包

查看网络通信状态，发送数据包量远大于接收数据包量。

（５）网管监视出现异常

一些网管系统在分析终端流量时，会发现ＡＲＰ报文数过高，ＬＰ报文过高而用户没有操作等异常情况。

４０．如何预防恶意程序？

个人用户平时在使用计算机时，要注意以下几个方面：

①安装防病毒软件并及时更新病毒库。

②对重要数据应进行备份。

③发现计算机异常时，及时采取查杀措施。

④下载软件和电子邮件的附件，应在查毒后再点击开启。

⑤尽量避免移动存储设备，如移动硬盘、Ｕ盘、光盘等的自动运行。

⑥个人移动存储设备在其他计算机上使用后应查杀病毒。

网络管理员在工作中应当注意：

①尽量使用硬盘引导服务器，防止引导扇区型病毒的感染和破坏。

②安装系统时应注意在分区上隔离系统卷、共享卷、用户卷，避免系统被破坏后重新安装可能带来的数据损失。

③对终端用户进行完善的身份认证和安全检查，减少存在安全隐患的终端接入网络。

④系统卷不应对非管理员用户开放写入权限，避免非管理员用户的操作引入病毒。

⑤只允许管理员在共享卷中安装软件。

⑥发现网段内存在带毒计算机时应及时隔离，防止进一步扩散。