局域网终端用户病毒特点与防护策略.pdfVIP

局域网终端用户病毒特点与防护策略

据《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》统计，

54%的被调查单位发生过信息网络安全事件；其中发生过3次以上的占22%，比

去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况，

占发生安全事件总数的84%；“遭到端口扫描或网络攻击”（36%）和“垃圾邮件”

（35%）次之。教育科研单位发生网络安全事件发生的比例处于较高之列。校园

局域网的建设，满足了现代化教学的要求为学校开展CAI以及远程教学提供了

开发和运行的平台，通过与Internet的联接提供了多种类型信息高速传送的环境，

从而为教学、科研提供了新的手段和工具，为教学及科研人员能了解最新教育科

研动态与进展，增进学术交流，密切与各科研单位的协作关系提供了很大帮助。

一、计算机病毒种类

事务的发展总是一分为二的,由于校园网中有大量的终端用户,终端用户极易

受到病毒的侵害，校园网络安全已经成为当前各高校局域网络建设中不可忽视的

首要问题。根据病毒感染的型态，计算机病毒分为：

1.开机型：每次开机时,在操作系统还没被加载之前就被加载到内存中。

2.文件型：文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两

种：

(1)非常驻型病毒(Non-memoryResidentVirus)

非常驻型病毒将自己寄生在*.COM,*.EXE或是*.SYS的文件中。当这些

中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

(2)常驻型病毒(MemoryResidentVirus):

常驻型病毒躲在内存中，只要执行文件被执行,它就对其进行感染的动作。

3.复合型:复合型病毒兼具开机型病毒以及文件型病毒的特性。

4.隐形飞机型：又称作中断截取者(InterruptInterceptors)。它通过控制DOS

的中断向量，把所有受其感染的文件“假还原”，再把“看似跟原来一模一样”的文

件丢回给DOS。

5.千面人：在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。

6.文件宏：宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡

是具有写宏能力的软件都有宏病毒存在的可能,如Word、Excel、AmiPro等

等。

7.特洛伊木马病毒与计算机蠕虫:特洛依木马（Trojan）和计算机蠕虫

（Worm）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两

种病毒型态的破坏力，达到双倍的破坏能力。

例如：“MELISSA-梅莉莎”便是结合“病毒”及“计算机蠕虫”的两项特性。该

恶性程序不但会感染Word的Normal.dot，而且会通过OutlookE-mail大量散

播。

二、如何正确判断是否感染

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序

不但具有传统病毒的特性，更结合了“特洛伊木马程序”、“计算机蠕”型态来造成

更大的影响力。那么，怎么来正确地判断计算机是否被感染了病毒呢？

1.系统无法启动：病毒修改了硬盘的引导信息，或者删除了某些启动文件。

如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删

除等。

2.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏

或硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删

除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站

没有及时刷新服务器的内容。

3.报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需

要大量内存资源的软件；系统配置不正确；内存容量太小等。

4.提示硬盘空间不够：病毒复制了大量的病毒文件。硬盘每个分区容量太小；

安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；

如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空

间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

5.软盘等设备未访问时出读写信号：病毒感染，软盘取走了还在打开曾经在

软盘中打开过的文件。

6.出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临

时文件;也或许是一些软件的配置信息及运行记录。

7.数据