第2讲：计算机病毒防治.doc

计算机病毒防治 作者：程一 目录： 计算机病毒防治 作者：程一 1 计算机病毒的定义 2 几个著名病毒：冲击波、尼姆达、熊猫烧香和灰鸽子。 3 “熊猫烧香”病毒： 4 Win Vista系统对熊猫烧香的反应 5 灰鸽子 7 病毒入侵的途径： 10 哪些类型文件是危险的 10 养成良好的操作习惯 11 手工对U盘进行病毒免疫的方法 13 小心*.rmvb格式电影带你入歧途。 13 通过任务管理器进行spoolsv.exe木马程序查杀 14 小结： 16 财务部某电脑病毒处理案例： 17 瑞星防病毒系统查杀失效的截图 27 U盘免疫的效果实例 30 网页是否有病毒，搜索引擎帮你做判断 31 病毒使用的伪装技巧：起相似的系统文件名 34 病毒伪装成Word文档的例子 34 两招看遍U盘隐藏文件属性的病毒 36 绿鹰PC万能精灵 38 IE7特性简介 42 一个做网络的公司，居然网页上病毒成群。 44 防病毒软件的选择和使用原则： 45 流氓软件及CNNIC的清理方法 46 防病毒十题 57  计算机病毒的定义 　　关于计算机病毒目前还没有一个公认的定义，因为从不同的角度有不同的认识。我国公安部计算机安全监察司对计算机病毒的定义是： 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码. 传统的计算机病毒可以分为两类：系统型病毒（如在磁盘引导区传染的计算机病毒）、文件型病毒（病毒附着在大量的可执行文件之上）。随着病毒的发展，又出现许多别的形态，比如宏病毒、脚本病毒、蠕虫病毒、木马病毒等。按其形态而言，有变型病毒（又称幽灵病毒），这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。这导致防病毒软件的特征扫描技术（没有一个防病毒软件不用这个技术）无效。 宏病毒通常隐藏在Office系统文档中，比如Word、Excel等。打开一个包含了宏病毒的文档，系统就会被感染。 脚本病毒利用Windows的“WSH（Windows Scripting Host）”进行制作和传播，它是一种内嵌于Windows操作系统中的脚本语言工作环境。从Win98起，WSH为用户带来更为强大的功能，例如处理注册表项、创建登录脚本、管理AD（活动目录）等等。 典型的蠕虫病毒只驻留内存，一般不会像传统病毒一样感染大量文件，但会利用一切网络连接机会感染计算机。蠕虫病毒的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。每当感染一台计算机后，会以这台计算机为跳板，向下一台计算机发起进攻。蠕虫病毒传播很快。 木马病毒是一种客户/服务器（C/S）型的病毒，它分为客户端和服务器两个部分。其中设计者会极力用各种方法（最常用的是把木马藏在主页里，诱骗你浏览它而导致自动下载并执行）把服务端放在目标计算机上，然后服务端会主动联系客户端，并接受客户端的控制。木马病毒能够监视中招者电脑的显示器、并监测和控制目标机的键盘、鼠标的操作。木马病毒的最大危害是能够窃取用户的秘密信息。人们平时所说的盗号（黑客自曝偷QQ号日进千元）病毒都是木马病毒。 蠕虫和木马病毒都会更改系统设置，为自己今后卷土重来做好准备。这也就是通常所说的“留下后门”。所以如果仅仅是清除蠕虫和木马病毒是不够的，蠕虫和木马通常都会很快卷土重来。 传统的文件型病毒也以新的形式和传播途径出现，比如“熊猫烧香”病毒在本质上就是一个文件型的病毒，但它的变种可以盗号具有木马特征，又通过U盘和局域网传播，具有蠕虫的特点。 下列文件可能携带病毒：*.bat，*.exe，*.com，*.pif， *.src（屏幕保护）， *.htm（html、asp、php、jsp等动态脚本也包括）。 ■ 几个著名病毒：冲击波、尼姆达、熊猫烧香和灰鸽子。 冲击波(Msblast)蠕虫病毒利用了Windows系统漏洞，通过网络（只要你联网，不去访问任何站点也会中毒）直接打入系统，感染速度极快，不到一天就感染到全球。每一台中毒计算机都立刻成为攻击基地，立刻向别的计算机发起进攻。 尼姆达蠕虫病毒：该蠕虫由JavaScript脚本语言编写，病毒体长度57344字节，它修改在本地驱动器上的.htm, .html.和.asp文件。通过这个病毒，IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含，因此，不需要拆开或运行这个附件病毒就被执行。 “尼姆达”病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。尼姆达病毒的特点是传播方式多，感染速度快，它通过email、共享网络资源、IIS服务器传播，同时它也是一个感染本地文件的