陳文捷，姚紅星

（新鄉(xiāng)醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心，河南 新鄉(xiāng)453003）

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2008年底，中國網(wǎng)民數(shù)達(dá)到2.98億，較2007年增長41.9%［1］.另據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，2008年金山毒霸共截獲新增病毒、木馬13 899 717個，與2007年相比增長48倍［2］.隨著網(wǎng)民數(shù)量的爆炸式增長，計算機(jī)病毒、木馬也呈現(xiàn)幾何級膨脹，病毒對信息安全的危害日趨嚴(yán)重.因此，分析網(wǎng)絡(luò)環(huán)境下計算機(jī)病毒新特征、探討有效防范措施，對保證計算機(jī)網(wǎng)絡(luò)順利運(yùn)行和個人信息安全，具有現(xiàn)實(shí)意義.

1 網(wǎng)絡(luò)環(huán)境下病毒新特征

目前計算機(jī)病毒的傳播方式、使用技術(shù)以及危害的程度與過去相比已經(jīng)有了較大的變化.在網(wǎng)絡(luò)環(huán)境下，病毒除了具有可傳播性、可執(zhí)行性、破壞性等計算機(jī)病毒的共性外，還具有一些新的特點(diǎn)［3］.

1.1 破壞性極大

網(wǎng)絡(luò)中計算機(jī)病毒破壞性極強(qiáng)，病毒往往與其它技術(shù)相融合，如:某些病毒集普通病毒、蠕蟲、木馬和黑客等技術(shù)于一身，具有混合型特征的“愛蟲”、“美麗殺”CIH等病毒都給世界計算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)帶來災(zāi)難性的破壞［4］.有的造成網(wǎng)絡(luò)擁塞，甚至癱瘓;有的成為“肉雞”，進(jìn)而造成重要信息被竊取、個人隱私被偷拍;甚至有的計算機(jī)被人網(wǎng)絡(luò)控制變成攻擊別人的“網(wǎng)絡(luò)僵尸”.

1.2 利用可移動磁盤傳播的病毒明顯增多

隨著可移動磁盤價格下降，擁有可移動磁盤的用戶也大量增加，病毒也開始趁機(jī)作亂，除了蠕蟲，普通的木馬大多都可通過可移動磁盤進(jìn)行傳播，主要方式是復(fù)制一個病毒體和一個Autorun.inf文件到各盤.由于經(jīng)常使用可移動磁盤在不同計算機(jī)之間交流數(shù)據(jù)和Windows系統(tǒng)自動播放功能的存在，很容易造成計算機(jī)病毒的“交叉感染”.

1.3 病毒隱蔽性強(qiáng)

現(xiàn)在病毒技術(shù)不斷翻新，更多的VBS病毒只駐留在內(nèi)存中，不寫到硬盤上，根本就沒有特征代碼和惡意代碼，病毒啟動時在內(nèi)存中無法找到病毒體，即使有的病毒有特征代碼或惡意代碼，也都采用了加密技術(shù)，將病毒特征代碼和惡意代碼進(jìn)行隱藏可以逃過普通的特征碼匹配查找方法，隱藏性更強(qiáng)，使發(fā)現(xiàn)病毒變得更加困難.為了更好的隱藏自己陰險的一面，病毒常常偽裝成各種能對人感興趣的東西，例如:世界杯病毒（Script Worldcup）是利用世界杯熱潮以竟猜世界杯冠軍獲獎信息為內(nèi)容的惡意網(wǎng)絡(luò)腳本病毒，還有一些病毒偽裝成玩笑、動畫、甚至病毒修復(fù)程序等形式出現(xiàn).

1.4 對抗安全軟件的病毒明顯增多

“機(jī)器狗”系列病毒直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗(yàn)，通過感染系統(tǒng)文件（比如explorer.exe，userinit.exe，winhlp32.exe等）達(dá)到隱蔽啟動；通過底層技術(shù)穿透冰點(diǎn)、影子等還原系統(tǒng)軟件導(dǎo)致大量用戶感染病毒，通過修復(fù)SSDT、映像挾持、進(jìn)程操作、修改注冊表等方法使得流行的安全軟件失去作用，聯(lián)網(wǎng)下載大量的盜號木馬.AV終結(jié)者最大特點(diǎn)是禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式，致使用戶根本無法進(jìn)入安全模式清除病毒；強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入“病毒”相關(guān)字樣，網(wǎng)頁遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無法登陸，用戶無法通過網(wǎng)絡(luò)尋求解決辦法.2008年年末出現(xiàn)的“超級AV終結(jié)者”結(jié)合了AV終結(jié)者、機(jī)器狗、震蕩波、autorun病毒的特點(diǎn)，是金山毒霸“云安全”中心捕獲的新型計算機(jī)病毒，它對用戶具有非常大的威脅.

1.5 網(wǎng)頁掛馬式傳播

網(wǎng)頁掛馬已經(jīng)成為木馬、病毒傳播的主要途徑之一.入侵網(wǎng)站，篡改網(wǎng)頁內(nèi)容，植入各種木馬，用戶只要瀏覽被植入木馬的網(wǎng)站，即有可能遭遇木馬入侵，甚至遭遇更猛烈的攻擊，造成網(wǎng)絡(luò)財產(chǎn)的損失.2008年，網(wǎng)站被掛馬現(xiàn)象屢見不鮮，大到一些門戶網(wǎng)站，小到某地方電視臺的網(wǎng)站，都曾遭遇掛馬問題.伴隨著互聯(lián)網(wǎng)的日益普及，網(wǎng)頁掛馬已經(jīng)成為木馬、病毒傳播的主要途徑之一的今天，金山毒霸反病毒工程師預(yù)測2009年網(wǎng)絡(luò)掛馬問題將更加嚴(yán)峻，更多的網(wǎng)站將遭遇木馬攻擊［2］.

1.6 病毒制造經(jīng)濟(jì)化、產(chǎn)業(yè)化、低門檻化

早期的計算機(jī)病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術(shù).而現(xiàn)在的病毒編寫者不再單純炫耀技術(shù)，更多是以經(jīng)濟(jì)利益為目的［5］.2008年年截獲的新木馬病毒中，80%以上都與盜取網(wǎng)絡(luò)游戲帳號密碼有關(guān).同時，網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多，且公開化；利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢.種種跡象表明，病毒的制造、傳播者追求經(jīng)濟(jì)利益的目的越來越強(qiáng).“病毒制造機(jī)”是網(wǎng)上流行的一種制造病毒的工具，病毒作者不需要任何專業(yè)技術(shù)就可以手工制造生成病毒，在網(wǎng)絡(luò)上可以輕易找到有諸多此類廣告，病毒作者可根據(jù)自己對病毒的需求，在相應(yīng)的制作工具中定制和勾選病毒功能，這種病毒傻瓜式制作導(dǎo)致制作病毒門檻更低.

2 防病毒措施

2.1 樹立良好的安全意識

安裝使用正版殺毒軟件并及時升級病毒庫，如瑞星、卡巴斯基等，同時開啟防火墻和實(shí)時監(jiān)控功能，定期查殺計算機(jī)病毒，經(jīng)常上網(wǎng)了解病毒發(fā)展的最新動態(tài)，以最大限度發(fā)揮軟件的功效.在使用U盤等移動存儲設(shè)備共享文件，閱讀電子郵件和網(wǎng)上下載應(yīng)用軟件安裝之前，先執(zhí)行殺毒操作，以免病毒趁機(jī)而入.自覺抵制網(wǎng)絡(luò)誘惑，不去訪問不清楚的網(wǎng)站，不給掛馬式病毒/木馬以可趁之機(jī).

2.2 及時修補(bǔ)軟件漏洞

當(dāng)大部分用戶已養(yǎng)成定時給系統(tǒng)打漏洞補(bǔ)丁的習(xí)慣后，木馬制造者又看中了第三方軟件漏洞傳播這一“隱蔽”渠道.被利用的第三方ActiveX插件漏洞，涉及迅雷、暴風(fēng)影音、百度超級搜霸、realplayer等多款常見軟件的部分版本中，而且其中多數(shù)漏洞曾經(jīng)是或者現(xiàn)在仍是0day漏洞.對這些常用軟件及時更新，在發(fā)現(xiàn)漏洞后及時修復(fù)尤其重要；安裝360安全衛(wèi)士軟件能及時發(fā)現(xiàn)并下載安裝安全補(bǔ)丁程序.

2.3 系統(tǒng)、重要數(shù)據(jù)及時備份

將操作系統(tǒng)單獨(dú)存放于一個分區(qū)，數(shù)據(jù)、文件等存放在其他的分區(qū)，并做好系統(tǒng)以及數(shù)據(jù)的備份，以便在遭受病毒感染后及時恢復(fù)，降低損失.另外，可在電腦沒有染毒時，做系統(tǒng)啟動盤，或利用ghost等軟件把系統(tǒng)做成鏡像文件，以便萬一電腦感染病毒或系統(tǒng)癱瘓時，在短時間內(nèi)將系統(tǒng)恢復(fù)正常.

2.4 設(shè)置用戶訪問權(quán)限

在不影響用戶正常工作的情況下對系統(tǒng)文件設(shè)置最低的訪問權(quán)限，以防止文件型病毒的侵害.安裝在Windows XP操作系統(tǒng)中的許多程序,都要求用戶具有一定的管理權(quán)限才能讓用戶使用程序，因此為了能夠使用好程序，需要臨時分配一個訪問程序的管理權(quán)限.

2.5 主動修改注冊表

計算機(jī)病毒攻擊系統(tǒng)，一般需要一定的觸發(fā)條件.一旦阻止該條件,就可以避免病毒程序的啟動.通過修改注冊表設(shè)置來截斷病毒的觸發(fā)條件,從而防范病毒入侵.最近流行的通過U盤等移動設(shè)備進(jìn)行傳播的“U盤寄生蟲”這類蠕蟲病毒，就是利用Windows系統(tǒng)在發(fā)現(xiàn) U盤時自動尋找并運(yùn)行該盤根目錄下的AutoRun.inf文件,執(zhí)行文件中所要加載的病毒程序從而達(dá)到自啟動的目的.對此，可以通過修改注冊表來禁止磁盤的AutoRun功能.

2.6 禁用Windows Scripting Host

Windows Scripting Host（WSH）運(yùn)行各種類型的文本，但基本都是VBScript或Jscript.換句話說，Windows Scripting Host在文本語言之間充當(dāng)翻譯的角色，該語言可能支持ActiveX Scripting界面，包括VBScript、Jscript或Perl，及所有Windows的功能，包括訪問文件夾、文件快捷方式、網(wǎng)絡(luò)接入和Windows注冊等.許多病毒/蠕蟲，如Bubbleboy和KAK.worm使用Windows Scripting Host，無需用戶點(diǎn)擊附件，就可自動打開一個被感染的附件.

3 結(jié)束語

病毒的花樣不斷翻新，編程手段越來越高，且主要朝著能更好的隱蔽自己并對抗反病毒手段的方向發(fā)展.盡管如此，利用第三方軟件漏洞和網(wǎng)頁掛馬仍將是目前病毒傳播的主要途徑.特別是Internet的廣泛應(yīng)用，更是促進(jìn)了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲病毒傳播也更快更廣，更為甚者，病毒已被一些別有用心的人利用其特有的性質(zhì)與其它功能相結(jié)合進(jìn)行有目的的犯罪活動.因此，要想徹底消滅病毒幾乎是不可能的，病毒與反病毒的斗爭將是一個長期復(fù)雜的過程.對于個人計算機(jī)用戶而言，樹立網(wǎng)絡(luò)安全意識，認(rèn)真研究計算機(jī)病毒不斷變化的新特點(diǎn)，采取一些主動防御的措施，不給病毒可趁之機(jī)，受到病毒危害的幾率就會大大降低.

［1］中國互聯(lián)網(wǎng)絡(luò)信息中心.第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告［EB/OL］.http://www.cnnic.cn/htmL/Dir/2009/01/12/5447.htm，2009-03-18.

［2］飛羽無痕.2008年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告［EB/OL］.http://news.duba.net/contents/2009-02/05/6235.htmL，2009-08-06.

［3］韓其奎.對網(wǎng)絡(luò)環(huán)境下計算機(jī)病毒防范工作的分析與建議［J］.華南金融電腦，2006，（1）:83-84.

［4］王鑫，蔣華.網(wǎng)絡(luò)環(huán)境下的計算機(jī)病毒及其防范技術(shù)［J］.計算機(jī)與數(shù)字工程，2008，（2）:88-90.

［5］汪雁翎.網(wǎng)絡(luò)中計算機(jī)病毒的新特點(diǎn)及防范技術(shù)［J］.湖南經(jīng)濟(jì)管理干部學(xué)院學(xué)報,2006,17(2):140-141.