网络环境下计算机病毒新特征及其防范

陈文捷，姚红星

（新乡医学院现代教育技术中心，河南 新乡453003）

据中国互联网络信息中心（CNNIC）发布的《第23次中国互联网络发展状况统计报告》显示，截至2008年底，中国网民数达到2.98亿，较2007年增长41.9%［1］.另据金山毒霸“云安全”中心监测数据显示，2008年金山毒霸共截获新增病毒、木马13 899 717个，与2007年相比增长48倍［2］.随着网民数量的爆炸式增长，计算机病毒、木马也呈现几何级膨胀，病毒对信息安全的危害日趋严重.因此，分析网络环境下计算机病毒新特征、探讨有效防范措施，对保证计算机网络顺利运行和个人信息安全，具有现实意义.

1 网络环境下病毒新特征

目前计算机病毒的传播方式、使用技术以及危害的程度与过去相比已经有了较大的变化.在网络环境下，病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点［3］.

1.1 破坏性极大

网络中计算机病毒破坏性极强，病毒往往与其它技术相融合，如:某些病毒集普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征的“爱虫”、“美丽杀”CIH等病毒都给世界计算机信息系统和网络带来灾难性的破坏［4］.有的造成网络拥塞，甚至瘫痪;有的成为“肉鸡”，进而造成重要信息被窃取、个人隐私被偷拍;甚至有的计算机被人网络控制变成攻击别人的“网络僵尸”.

1.2 利用可移动磁盘传播的病毒明显增多

随着可移动磁盘价格下降，拥有可移动磁盘的用户也大量增加，病毒也开始趁机作乱，除了蠕虫，普通的木马大多都可通过可移动磁盘进行传播，主要方式是复制一个病毒体和一个Autorun.inf文件到各盘.由于经常使用可移动磁盘在不同计算机之间交流数据和Windows系统自动播放功能的存在，很容易造成计算机病毒的“交叉感染”.

1.3 病毒隐蔽性强

现在病毒技术不断翻新，更多的VBS病毒只驻留在内存中，不写到硬盘上，根本就没有特征代码和恶意代码，病毒启动时在内存中无法找到病毒体，即使有的病毒有特征代码或恶意代码，也都采用了加密技术，将病毒特征代码和恶意代码进行隐藏可以逃过普通的特征码匹配查找方法，隐藏性更强，使发现病毒变得更加困难.为了更好的隐藏自己阴险的一面，病毒常常伪装成各种能对人感兴趣的东西，例如:世界杯病毒（Script Worldcup）是利用世界杯热潮以竟猜世界杯冠军获奖信息为内容的恶意网络脚本病毒，还有一些病毒伪装成玩笑、动画、甚至病毒修复程序等形式出现.

1.4 对抗安全软件的病毒明显增多

“机器狗”系列病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe，winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点、影子等还原系统软件导致大量用户感染病毒，通过修复SSDT、映像挟持、进程操作、修改注册表等方法使得流行的安全软件失去作用，联网下载大量的盗号木马.AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具，让用户电脑失去安全保障；破坏安全模式，致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法.2008年年末出现的“超级AV终结者”结合了AV终结者、机器狗、震荡波、autorun病毒的特点，是金山毒霸“云安全”中心捕获的新型计算机病毒，它对用户具有非常大的威胁.

1.5 网页挂马式传播

网页挂马已经成为木马、病毒传播的主要途径之一.入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成网络财产的损失.2008年，网站被挂马现象屡见不鲜，大到一些门户网站，小到某地方电视台的网站，都曾遭遇挂马问题.伴随着互联网的日益普及，网页挂马已经成为木马、病毒传播的主要途径之一的今天，金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻，更多的网站将遭遇木马攻击［2］.

1.6 病毒制造经济化、产业化、低门槛化

早期的计算机病毒都是编程高手制作的，编写病毒是为了显示自己的技术.而现在的病毒编写者不再单纯炫耀技术，更多是以经济利益为目的［5］.2008年年截获的新木马病毒中，80%以上都与盗取网络游戏帐号密码有关.同时，网上贩卖病毒、木马和僵尸网络的活动不断增多，且公开化；利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势.种种迹象表明，病毒的制造、传播者追求经济利益的目的越来越强.“病毒制造机”是网上流行的一种制造病毒的工具，病毒作者不需要任何专业技术就可以手工制造生成病毒，在网络上可以轻易找到有诸多此类广告，病毒作者可根据自己对病毒的需求，在相应的制作工具中定制和勾选病毒功能，这种病毒傻瓜式制作导致制作病毒门槛更低.

2 防病毒措施

2.1 树立良好的安全意识

安装使用正版杀毒软件并及时升级病毒库，如瑞星、卡巴斯基等，同时开启防火墙和实时监控功能，定期查杀计算机病毒，经常上网了解病毒发展的最新动态，以最大限度发挥软件的功效.在使用U盘等移动存储设备共享文件，阅读电子邮件和网上下载应用软件安装之前，先执行杀毒操作，以免病毒趁机而入.自觉抵制网络诱惑，不去访问不清楚的网站，不给挂马式病毒/木马以可趁之机.

2.2 及时修补软件漏洞

当大部分用户已养成定时给系统打漏洞补丁的习惯后，木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道.被利用的第三方ActiveX插件漏洞，涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中，而且其中多数漏洞曾经是或者现在仍是0day漏洞.对这些常用软件及时更新，在发现漏洞后及时修复尤其重要；安装360安全卫士软件能及时发现并下载安装安全补丁程序.

2.3 系统、重要数据及时备份

将操作系统单独存放于一个分区，数据、文件等存放在其他的分区，并做好系统以及数据的备份，以便在遭受病毒感染后及时恢复，降低损失.另外，可在电脑没有染毒时，做系统启动盘，或利用ghost等软件把系统做成镜像文件，以便万一电脑感染病毒或系统瘫痪时，在短时间内将系统恢复正常.

2.4 设置用户访问权限

在不影响用户正常工作的情况下对系统文件设置最低的访问权限，以防止文件型病毒的侵害.安装在Windows XP操作系统中的许多程序,都要求用户具有一定的管理权限才能让用户使用程序，因此为了能够使用好程序，需要临时分配一个访问程序的管理权限.

2.5 主动修改注册表

计算机病毒攻击系统，一般需要一定的触发条件.一旦阻止该条件,就可以避免病毒程序的启动.通过修改注册表设置来截断病毒的触发条件,从而防范病毒入侵.最近流行的通过U盘等移动设备进行传播的“U盘寄生虫”这类蠕虫病毒，就是利用Windows系统在发现 U盘时自动寻找并运行该盘根目录下的AutoRun.inf文件,执行文件中所要加载的病毒程序从而达到自启动的目的.对此，可以通过修改注册表来禁止磁盘的AutoRun功能.

2.6 禁用Windows Scripting Host

Windows Scripting Host（WSH）运行各种类型的文本，但基本都是VBScript或Jscript.换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript、Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等.许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件.

3 结束语

病毒的花样不断翻新，编程手段越来越高，且主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展.尽管如此，利用第三方软件漏洞和网页挂马仍将是目前病毒传播的主要途径.特别是Internet的广泛应用，更是促进了病毒的空前活跃，网络蠕虫病毒传播也更快更广，更为甚者，病毒已被一些别有用心的人利用其特有的性质与其它功能相结合进行有目的的犯罪活动.因此，要想彻底消灭病毒几乎是不可能的，病毒与反病毒的斗争将是一个长期复杂的过程.对于个人计算机用户而言，树立网络安全意识，认真研究计算机病毒不断变化的新特点，采取一些主动防御的措施，不给病毒可趁之机，受到病毒危害的几率就会大大降低.

［1］中国互联网络信息中心.第23次中国互联网络发展状况统计报告［EB/OL］.http://www.cnnic.cn/htmL/Dir/2009/01/12/5447.htm，2009-03-18.

［2］飞羽无痕.2008年中国电脑病毒疫情及互联网安全报告［EB/OL］.http://news.duba.net/contents/2009-02/05/6235.htmL，2009-08-06.

［3］韩其奎.对网络环境下计算机病毒防范工作的分析与建议［J］.华南金融电脑，2006，（1）:83-84.

［4］王鑫，蒋华.网络环境下的计算机病毒及其防范技术［J］.计算机与数字工程，2008，（2）:88-90.

［5］汪雁翎.网络中计算机病毒的新特点及防范技术［J］.湖南经济管理干部学院学报,2006,17(2):140-141.