网络媒体的强制性传播和反传播现象探析（中）

陆　地　高　菲

网络媒体的强制性传播和反传播现象无所不在。除了网络广告和网络恶意软件外，还有普遍性、危害性有过之而无不及的网络病毒。

从传播学的角度来说，网络病毒就是以计算机或计算机网络和配套器件（如各种存储介质）为主要载体的一组具有传染性、繁殖性、破坏性和强制传播性特征的代码或程序。电脑染上病毒后，如果没有发作，通常很难觉察；一旦发作，则对文件和电脑正常程序的破坏性极大，非常危险。电脑染毒后的主要表现有：工作不正常，莫名其妙死机，突然重新启动，程序运行不了。有的病毒发作时满屏幕会下雨，有的屏幕上会出现毛毛虫等，甚至在屏幕上出现对话框。

互联网的发展使病毒和恶意软件、黑客等相互结合起来，对信息社会造成极大的威胁。根据CNNIC的调查，网络病毒已成为2006年以来网民们最头疼的事情。

网络病毒的种类

像生物病毒一样，网络病毒的种类也很多。按照不同的属性和方法可以进行不同的分类：

一、按照病毒存在的载体进行分类。根据病毒存在或者感染的载体，网络病毒可以细分为网际病毒、文件病毒和引导型病毒。网际病毒通过计算机网络传播感染网络中的可执行文件。文件病毒主要感染计算机内存的文件（如：COM，EXE，DOC等）。引导型病毒又叫系统型病毒，主要感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。也有上述三种情况混合的复合型病毒（文件和引导型），可以同时感染文件和引导扇区两种目标。此外，还有专门感染Microsoft Word文档的“宏病毒”。这类病毒通常都具有复杂的编程，使用非常规的办法侵入系统，同时使用了加密和变形算法，防止难度很大。

二、按照病毒传染的方法进行分类。根据病毒传染的方法，网络病毒可以细分为驻留型病毒和非驻留型病毒。驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，并处于激活状态，一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染。这类病毒也被划分为非驻留型病毒。

三、按照病毒破坏的能力进行分类。根据病毒破坏的能力，网络病毒可以细分为无危险型病毒、危险性病毒和高度危险型病毒。无危险型病毒对计算机除了传染时减少磁盘的可用空间或显示图像、发出某种声音外，对系统基本没有其它影响。危险型病毒在计算机系统操作中可以造成严重的错误。高度危险型病毒可以删除程序、破坏数

据、清除系统内存区和操作系统中重要的信息，造成的后果会非常严重。

网络病毒的特点

1988年11月2日下午5时1分59秒，美国康奈尔大学计算机科学系23岁的研究生莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，引起了人们对计算机病毒的恐慌。1988年下半年，我国在统计局系统首次发现了“小球”病毒。此后由计算机病毒发作而引起的“病毒事件”接连不断。2006年，湖北省的一个小青年编制并大量散播的“熊猫烧香”病毒引起了全社会的恐慌。“熊猫烧香”“木马代理”“网游大盗”和“传奇木马”等一批以侵财为目的的计算机病毒大量传播，直接危害人民群众切身利益，造成了恶劣的影响。网络病毒破坏性巨大，必须随时防范，而认识病毒的特点是防范的第一步。具体来说，网络病毒具有以下特点：

寄生性。网络病毒一般不会单独存在，而是寄生在其他程序之中。当这个程序被执行时，病毒就会发作，而在未启动这个程序之前，它是不易被人发觉的。

传染性。网络病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其传播速度之快令人咂舌。

潜伏性。有些网络病毒像定时炸弹一样，让它什么时间发作是制作者或者传播者预先设计好的。比如黑色星期五病毒，不到预定时间根本觉察不出来，条件一旦具备马上爆发，对系统大肆进行破坏。

隐蔽性。网络病毒具有很强的隐蔽性，有的可以通过反病毒软件检查出来，有的根本就查不出来，有的则时隐时现、变化无常，防不胜防。

计算机或者计算机网络受到病毒感染后，会表现出不同的症状，如：

机器不能正常启动。通电后计算机不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。

运行速度降低。如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能意味着计算机染上病毒并发作了。

磁盘空间迅速变小。由于病毒程序要进驻内存，而且又能繁殖，因此使计算机内存空间迅速变小甚至变为“零”，用户什么信息也进不去。

文件内容和长度有所改变。一个文件存入磁盘后，本来它的长度和内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件的内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。

经常出现“死机”现象。正常的操作是不会造成计算机死机现象的，即使是初学者，命令输入不对也不会死机。如果计算机经常死机，那可能是由于系统被某种病毒感染了。

外部设备工作异常。以前人们一直以为病毒只能破坏软件，对硬件毫无办法，可是CIH病毒则不然。这很容易理解，因为外部设备受系统的控制，计算机一旦染上了病毒，与系统程序连接的外部设备在工作时就可能出现一些异常情况，或者出现一些用技术、理论或经验解释不清的现象。

总之，随着信息网络化的发展，网络病毒传播速度、范围和能量迅速增大，对用户和社会的威胁日益严重，反病毒传播的任务也更加艰巨了。

网络病毒传播

和恶意软件、蠕虫、木马的区别

值得一提的是，也有人把网络病毒（Computer Virus）、恶意软件(Malware)、蠕虫(Worm)、木马(Trojan horse)通称为病毒。从都是给计算机或计算机网络造成不正常、不健康状况的程序这一点来看，网络病毒、恶意软件、蠕虫、木马确实可以说都是病毒，或者说都是恶意软件。但是，仔细分析一下，它们之间还是有明显区别的。

一、寄生程度不同。病毒代码一般都是潜藏在系统程序、文件、硬盘分区表或引导扇区中等待时机，需要传播受感染的驻留文件来进行复制，一旦条件成熟便会发作。而蠕虫是一种通过网络传播的恶性病毒，不利用文件寄生(有的只存在于内存中)即可在系统之间进行自我复制。恶意软件和木马则一般不需要寄生物可以在计算机网络上独立存在。

二、传染程度不同。普通病毒和一般的恶意软件以及所有的木马是无法自我传播的。一般的病毒都具有很强的感染性，可以随着软盘、U盘、电子邮件等传输方式或者媒介传染到其他机器，但是一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。

特洛伊木马不具传染性，也不能像病毒那样复制自身，也并不“刻意”地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络上吸引人下载执行等。

蠕虫广义上可以算是病毒中的一种，且具有病毒的一些共性，但它的传播不必通过“宿主”程序或文件，便可潜入别人的系统并允许其他人远程控制感染的计算机，因而危害较普通病毒更为严重。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。典型的蠕虫病毒有尼姆达、震荡波等。

三、隐蔽程度不同。一般的病毒都有一定的潜伏性、隐蔽性。特洛伊木马的名称取自希腊神话，名字本身即意味着具有隐蔽性、欺骗性的特点。蠕虫的隐蔽性也比较高。恶意软件又称流氓软件，颇有一种“我是流氓我怕谁”的无赖气质，基本上是明火执仗，强取豪夺。

四、作用机制不同。病毒能够自行执行，可以将自己的代码置于另一个程序的执行路径中，而且能够自我复制。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码。感染病毒和木马的常见方式是：要么运行了被感染有病毒、木马的程序；要么浏览网页、邮件时，病毒和木马自动下载运行了。木马程序分为服务器程序和控制器程序：服务器程序以图片、电子邮件、一般应用程序等伪装，让用户下载，自动安装后，木马里藏着的“伏兵”就在用户的电脑上开个“后门”，使拥有控制器的人可以随意出入用户的电脑存取文件，操纵用户的电脑，监控用户的所有操作，窃取用户的资料。一些蠕虫不使用驻留文件即可在系统之间进行自我复制，它能控制计算机上可以传输的文件或信息的功能，一旦用户的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机。

由于作用机理不同，杀毒和杀木马必须使用两种不同的软件程序。金山毒霸、瑞星、诺顿、卡巴斯基等软件都是针对病毒的，对木马无效。杀木马的工具是专有的，比如金山的木马专杀等。

五、传播目的不同。电脑病毒的作用一是为了搞破坏——破坏电脑里的资料数据，二是有些病毒制造者为了达到某些目的而进行敲诈勒索或者炫耀技术。蠕虫的作用与病毒相似。“木马”的作用是偷偷地监视别人和盗窃别人密码、数据甚至网上银行账户等，达到偷窥别人隐私和获得经济利益的目的。恶意软件的作用与木马相似，不过手段略有不同而已。

网络病毒和恶意软件、蠕虫、木马有三个最明显的共同特征，即都是人为的程序；传播的非授权性；危害性巨大。病毒和蠕虫是一种接近自动化的强制性传播。恶意软件和木马是一种非授权性的强制性传播。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标、键盘等等，而这些权力并不是服务端赋予的，而是通过恶意软件或者木马程序窃取的。但是不管哪一种，本质上都是强制性传播或强制性反传播活动。

（作者分别为北京大学新闻与传播学院教授和北京电视台研究发展部编辑）本文责编：陈道生