計(jì)算機(jī)木馬病毒的普遍特征及其解決方案

王永麗

摘 要：本文介紹了計(jì)算機(jī)病毒的發(fā)展歷史，感染用戶計(jì)算機(jī)的的方式。針對(duì)目前流行的木馬病毒，介紹了其普遍特征，并以“COOL-GAMESETUP病毒為例，描述了主要特點(diǎn)和完整解決方案。闡述了計(jì)算機(jī)用戶針對(duì)病毒做好防范的重要性和具體方法。

關(guān)鍵詞：COOL—GAMESETUP； 計(jì)算機(jī)病毒 ；系統(tǒng)注冊(cè)表；可執(zhí)行文件

隨著計(jì)算機(jī)科學(xué)技術(shù)的高速發(fā)展，計(jì)算機(jī)系統(tǒng)功能日漸復(fù)雜，對(duì)社會(huì)及人們的生活產(chǎn)生了巨大的影響，由于計(jì)算機(jī)用戶對(duì)病毒了解知識(shí)層次高低不同，病毒本身的復(fù)雜和隱蔽性，加上現(xiàn)在大部分計(jì)算機(jī)都連結(jié)在網(wǎng)絡(luò)中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴(kuò)散、各種計(jì)算機(jī)病毒層出不窮，計(jì)算機(jī)病毒造成的安全問(wèn)題越來(lái)越嚴(yán)峻。因此，如何提高計(jì)算機(jī)用戶的防御病毒能力，增強(qiáng)安全意識(shí)，已成為當(dāng)前急需解決的問(wèn)題。否則計(jì)算機(jī)病毒會(huì)大面積傳播，給企業(yè)及個(gè)人的財(cái)產(chǎn)、隱私造成極大損失。

從1986年美國(guó)學(xué)生弗里德一科恩以測(cè)試計(jì)算機(jī)安全為目的編寫(xiě)首個(gè)電腦病毒以來(lái)，目前世界上約有6萬(wàn)多種電腦病毒，它們已經(jīng)從最初給用戶帶來(lái)小麻煩發(fā)展到嚴(yán)重威脅電腦和網(wǎng)絡(luò)的安全。隨著用戶操作系統(tǒng)、使用軟件的更新?lián)Q代，計(jì)算機(jī)病毒的發(fā)展也經(jīng)歷了從簡(jiǎn)單到復(fù)雜的過(guò)程。從計(jì)算機(jī)病毒的發(fā)展過(guò)程，可以將計(jì)算機(jī)病毒分為以下幾個(gè)階段：

1、DOS時(shí)期命令行用戶界面下的病毒

DOS時(shí)期的計(jì)算機(jī)病毒主要是引導(dǎo)型病毒和文件感染病毒。DOS病毒出現(xiàn)在早期，當(dāng)時(shí)計(jì)算機(jī)功能比較單一，DOS引導(dǎo)病毒利用軟盤(pán)等移動(dòng)介質(zhì)啟動(dòng)計(jì)算機(jī)時(shí)插入，破壞計(jì)算機(jī)分區(qū)表信息、修改系統(tǒng)自動(dòng)扇區(qū)等，導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)。文件感染型病毒一般感染exe、com、bat等文件，導(dǎo)致文件無(wú)法正常運(yùn)行?，F(xiàn)在絕大多數(shù)用戶使用的是Windows操作系統(tǒng)。DOS病毒已經(jīng)成為歷史，現(xiàn)在基本已經(jīng)無(wú)法對(duì)用戶計(jì)算機(jī)造成損害了。

2、Windows可視化界面下的病毒

隨著Windows可視化操作系統(tǒng)的出現(xiàn)和普及，計(jì)算機(jī)病毒也隨即發(fā)展到一個(gè)新階段，此階段的病毒可分為Office文檔類宏病毒、文件類PE病毒。宏病毒是專門(mén)針對(duì)微軟MS Office軟件的一種病毒，它由MS Office的宏語(yǔ)言編寫(xiě)，只感染MS Office文檔，其中以MSWord文檔為主。用戶在打開(kāi)含有宏病毒的Office文檔后，宏病毒就會(huì)自動(dòng)運(yùn)行，使計(jì)算機(jī)中病毒。PE是windows32位系統(tǒng)的一種文件格式，能感染這種文件的病毒都叫PE病毒。PE病毒較以往病毒更加復(fù)雜，往往調(diào)用Windows系統(tǒng)API函數(shù)接口，解決方法也比較復(fù)雜。此外，Linux也是操作系統(tǒng)之一，但其桌面易用性不為大多數(shù)用戶所接受，Linux環(huán)境下的病毒也比較少，此處就不做敘述。

3、網(wǎng)絡(luò)環(huán)境下的病毒

在Internet大面積普及的今天，大部分計(jì)算機(jī)都已經(jīng)成為了網(wǎng)絡(luò)世界中的一個(gè)節(jié)點(diǎn)。網(wǎng)絡(luò)的流行使得人們交換信息變得更加便捷，同時(shí)也給計(jì)算機(jī)病毒的傳播提供了更多的途徑。網(wǎng)絡(luò)環(huán)境下的病毒主要傳播途徑有網(wǎng)絡(luò)郵件、WEB頁(yè)面?zhèn)鞑ズ途钟蚓W(wǎng)內(nèi)傳播。不明身份者發(fā)來(lái)的郵件，不明下載點(diǎn)的軟件都有可能成為病毒的載體。病毒往往偽裝成郵件附件，文件名含以計(jì)算機(jī)中常用文件后綴名，加以各類命名誘使使用者打開(kāi) WEB頁(yè)面中藏有JS、VBS等惡意代碼，使用者一打開(kāi)該網(wǎng)頁(yè)，代碼立即運(yùn)行，使使用者計(jì)算機(jī)病毒。局域網(wǎng)也是病毒傳播的溫床，公司網(wǎng)絡(luò)中一旦一臺(tái)機(jī)器中毒，馬上蔓延到局域網(wǎng)中其他機(jī)器。網(wǎng)絡(luò)病毒種類繁多，主要以蠕蟲(chóng)類病毒和木馬類病毒為主。蠕蟲(chóng)類病毒善于復(fù)制自身，能迅速感染到網(wǎng)絡(luò)類所有計(jì)算機(jī)，利用操作系統(tǒng)的漏洞等，容易突然爆發(fā)，大面積波及。木馬類病毒主要插種在軟件中，容易導(dǎo)致計(jì)算機(jī)用戶私人隱私外泄，造成個(gè)人網(wǎng)絡(luò)賬號(hào)、密碼、網(wǎng)銀賬戶等的財(cái)產(chǎn)損失。

計(jì)算機(jī)木馬病毒在網(wǎng)絡(luò)條件下傳播速度尤其快，一般會(huì)導(dǎo)致用戶感染后無(wú)法使用注冊(cè)表編輯器、無(wú)法查看隱藏文件，無(wú)法格式化硬盤(pán)，分區(qū)格式化也不能操作，無(wú)法進(jìn)入安全模式進(jìn)行病毒查殺。以“COOL—GAMESETUP”病毒為例，它是一個(gè)熊貓燒香的變種，容易偽裝成應(yīng)用程序的圖標(biāo)來(lái)迷惑用戶，它會(huì)下載其他病毒并執(zhí)行，使得計(jì)算機(jī)內(nèi)所有可執(zhí)行文件（.exe）無(wú)法運(yùn)行，用戶計(jì)算機(jī)感染該病毒后具有以下特征：

后具有以下特征：

（1）病毒會(huì)刪除安全軟件的開(kāi)機(jī)啟動(dòng)項(xiàng)目和服務(wù)項(xiàng)目

（2）每1秒添加自己的啟動(dòng)項(xiàng)，并將文件隱藏顯示注冊(cè)表鍵值破壞。

（3）每隔6秒在每個(gè)驅(qū)動(dòng)器下（A和B驅(qū)動(dòng)器除外），刪除所在的autorun.inf文件或文件夾，并創(chuàng)建autorun.inf和對(duì)應(yīng)的（空格）.exe文件。

（4）每隔6秒停止部分安全軟件服務(wù)，刪除部分安全軟件的服務(wù)和開(kāi)機(jī)自啟動(dòng)項(xiàng)目。

（5）每10秒關(guān)閉程序進(jìn)程。～Navp.exe、rav.exe、rsagent.exe、ravmon.exe、raymond.exe、ravstub.exe、ravtask.exe、ccenter.exe、360tray.exe、360safe.exe等，被關(guān)閉的進(jìn)程大部分為卡巴斯基、瑞星、360安全衛(wèi)士等防病毒或木馬軟件進(jìn)程。

（6）每3O分鐘會(huì)檢測(cè)用戶是否聯(lián)網(wǎng)，從指定網(wǎng)站下載一次木馬。

（7）病毒會(huì)感染擴(kuò)展名為exe、pf、com、sic的文件，把自己附加到文件的頭部，并在擴(kuò)展名為htm、html、asp、php、Jsp、aspx的文件中添加一網(wǎng)址，用戶一旦打開(kāi)了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫(xiě)入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的。且該網(wǎng)頁(yè)有漏洞，新變種的病毒會(huì)被下載并運(yùn)行。

（8）感染后會(huì)在感染目錄下創(chuàng)建Desktop～.ini文件，其內(nèi)寫(xiě)入當(dāng)前系統(tǒng)時(shí)間，減緩計(jì)算機(jī)運(yùn)行速度。針對(duì)木馬病毒的特征和發(fā)作嚴(yán)重程度，可執(zhí)行以下解決方案：

（1）拔掉計(jì)算機(jī)的網(wǎng)線，斷開(kāi)網(wǎng)絡(luò)連接。將計(jì)算機(jī)的共享目錄設(shè)置密碼或者取消網(wǎng)絡(luò)用戶的寫(xiě)權(quán)限。

（2）如計(jì)算機(jī)已經(jīng)無(wú)法進(jìn)入安全模式，即進(jìn)入安全模式就藍(lán)屏，使用U盤(pán)啟動(dòng)盤(pán)或光盤(pán)啟動(dòng)盤(pán)啟動(dòng)，進(jìn)行純DOS方式下查殺病毒。另外一種方式是直接使用安裝盤(pán)進(jìn)行重新安裝或者純凈的Ghcst鏡像進(jìn)行恢復(fù)。

（3）純DOS方式查殺病毒結(jié)束或重新安裝結(jié)束后，進(jìn)入Win—dows界面。對(duì)于“COOL—GAMEsETuP”病毒，需要制作一個(gè)bat文件進(jìn)行運(yùn)行，

當(dāng)今的計(jì)算機(jī)病毒具有相當(dāng)?shù)碾[蔽性，令用戶防不勝防。計(jì)算機(jī)使用者應(yīng)該從以下幾個(gè)方面來(lái)進(jìn)行計(jì)算機(jī)病毒的防范：

1、注意本機(jī)操作系統(tǒng)的補(bǔ)丁升級(jí)，養(yǎng)成良好習(xí)慣，每周堅(jiān)持上網(wǎng)到微軟公司網(wǎng)站更新一次系統(tǒng)補(bǔ)丁。同時(shí)安裝正版的殺毒軟件，保證殺毒軟件病毒庫(kù)的更新。完整安裝網(wǎng)上銀行保護(hù)的網(wǎng)盾、網(wǎng)上交易支付寶類的安全插件，保證自己帳號(hào)的安全。

2、提高安全意識(shí)，不要使用來(lái)路不明的U盤(pán)、軟盤(pán)等卡移動(dòng)存儲(chǔ)媒體。當(dāng)使用他人的這些存儲(chǔ)介質(zhì)時(shí)，要先進(jìn)行病毒查殺。對(duì)不知底細(xì)的應(yīng)用程序，不要輕易運(yùn)行。

3、在聯(lián)網(wǎng)環(huán)境下，不要從任何不可靠的渠道下載任何軟件；不要隨便共享文件；不要隨意打開(kāi)郵件附件，如果想打開(kāi)的話，那在打開(kāi)之前先用殺毒軟件查殺一下。

殺毒軟件并不是萬(wàn)能的，最主要的是計(jì)算機(jī)用戶養(yǎng)成良好的使用習(xí)慣，這樣，才能真正做到計(jì)算機(jī)病毒的防范。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒還將會(huì)長(zhǎng)期存在，如何做好計(jì)算機(jī)病毒的防治，是一個(gè)永恒的課題。計(jì)算機(jī)用戶只有提高自身的計(jì)算機(jī)水平，培養(yǎng)規(guī)范的操作方法，才能從根本上防范病毒的入侵。