【任务描述】
雅鹿公司电商专员小王需要对公司网站进行一次计算机病毒和木马的常规检查。请帮助小王完成上述任务。
【任务分析】
计算机病毒的防范可分为计算机病毒的识别、清除和预防3个方面。
【知识准备】
1.计算机病毒的特点
从已经发现的计算机病毒来看,它们具有一些共同的特性。
1)破坏性
计算机病毒入侵计算机系统后,其破坏性的主要表现如下:
(1)占用CPU时间和内存开销,从而造成进程堵塞,使计算机运行速度下降,耗尽计算机系统资源;
(2)对数据或文件进行破坏和删除;
(3)在计算机系统开设后门,窃取数据或文件。
2)隐蔽性
计算机病毒入侵后可通过改名或者隐藏自身文件等方法,混杂在正常程序之中,很难被发现。
3)潜伏性
计算机病毒入侵后,一般不立即活动,需要等一段时间,条件成熟后才作用。例如,臭名昭著的CIH病毒每逢4月26日发作。
4)传染性
对于绝大多数计算机病毒来说,传染是它的一个重要特性。它通过修改别的程序,并把自身复制包括进去,从而达到扩散传染的目的。
2.计算机病毒的分类
1)按表现性质,计算机病毒可分为良性病毒和恶性病毒。
(1)良性病毒:良性病毒的危害性小,不破坏系统和数据,但大量占用系统开销,使机器无法正常工作甚至陷于瘫痪。如国内出现的圆点病毒就是良性病毒。
(2)恶性病毒:恶性病毒可能会毁坏数据文件,也可能使计算机停止工作。若按激活的时间又可将其分为定时病毒和随机病毒。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
2)按入侵方式,计算机病毒可分为操作系统型病毒、源码病毒、外壳病毒和入侵病毒。
(1)操作系统型病毒:大麻病毒就是典型的操作系统型病毒,这种病毒具有很强的破坏性(用它自己的程序加入或取代部分操作系统进行工作),可以导致整个系统的瘫痪。
(2)源码病毒:在程序被编译之前插入到由FORTRAN、C或PASCAL等语言编制的源程序,完成这一工作的病毒程序一般在语言处理程序或连接程序中。
(3)外壳病毒:常附在主程序的首尾,对源程序不作修改,这种病毒较常见,易于编写,也易于发现,一般测试可执行文件的大小即可知。
(4)入侵病毒:入侵到主程序之中,并替代主程序中部分不常用的功能模块或堆栈区,这种病毒一般是针对某些特定程序而编写的。
【任务实施】
1.判断计算机感染病毒的方法
一般来说,当计算机出现以下不正常现象时,应当怀疑是否感染了病毒:
(1)文件的大小和日期发生变化;
(2)系统启动速度比平时慢;
(3)没做写操作时出现“磁盘有写保护”信息;
(4)系统运行速度异常慢;
(5)有特殊文件自动生成;
(6)磁盘空间自动产生坏簇或磁盘空间减小;(www.xing528.com)
(7)文件莫名其妙丢失;
(8)系统异常死机的次数增加;
(9)“COMMAND.COM”“AUTOEXEC.BAT”“CONFIG.SYS”文件被修改;
(10)程序载入时间和访问磁盘时间比平时长;
(11)用户并没有访问的设备,却出现“忙”信号;
(12)出现莫名其妙的隐藏文件。
2.编写宏病毒
宏病毒属于文件型病毒,会感染Office文档,其危害性很大。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,文档中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Office文档的Normal模板上,所有自动保存的文档都会感染上宏病毒,而且如果其他用户打开了感染宏病毒的文档,宏病毒又会转移到该用户的计算机上。
1)宏病毒自我复制功能演示
(1)打开一个Word文档,然后按“Alt+F11”组合键调用宏编写窗口(“工具”→“宏”→“Visual Basic”→“宏编辑器”),在左侧的“Project”→“MicrosoftWord对象”→“This Document”文本框中输入源代码(macro_1.txt),保存。
(2)当前Word文档就含有宏病毒,只要下次打开这个Word文档,就会执行以上代码,并将自身复制到“Normal.dot”(Word文档的公共模板)和当前文档的This Document中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open)。
(3)此时所有的Word文档在打开或关闭时都将运行以上病毒代码,在此基础上可以加入适当的恶意代码,进一步影响Word的正常使用。本例中只是简单地跳出一个提示框。
2)“台湾1号”病毒演示
(1)对前面的恶意代码稍加修改就可以成为宏病毒代码,使其具有一定的破坏性。
(2)以著名宏病毒“台湾1号”的恶意代码部分为基础,对源代码作适当修改,使其能够在Word版本中运行。
(3)该病毒的效果如下:当打开被感染的Word文档时,先进行自我复制,感染Word模板,然后检查日期,看是否是1日(即在每月的1日会发作),然后跳出一个对话框,要求用户进行一次心算游戏,如4个小于10的数相乘,如果用户的计算正确,那么就会新建一个文档,弹出如下字幕:“何谓宏病毒,答案:我就是……;如何预防宏病毒,答案:不要看我……”。如果计算错误,就新建20个写有“宏病毒”字样的Word文档,然后再一次进行心算游戏,总共进行3次,然后跳出程序。
3)计算机病毒查杀
使用宏病毒专杀工具,可对受感染的Office文档进行查杀,清除宏病毒,具体操作如下:
(1)打开受感染的Word文档,进入宏编辑环境(Alt+F11),选择“Normal”→“Microsoft Word对象”→“This Document”选项,清除其中的病毒代码(只要删除所有内容即可)。
(2)执行“Project”→“MicrosoftWord”→“This Document”命令,即可清除其中的病毒代码。
(3)实际上,模板的病毒代码只要在处理最后一个受感染文件时清除即可,然而清除模板病毒后,如果重新打开其他已感染文件,模板将再次被感染。
(4)为了保证病毒被彻底清除干净,可以下载宏病毒专杀工具,查杀受感染文档的模板,清除宏病毒。
3.计算机病毒的防范
计算机病毒的防范主要包括如下三方面。
1)备份计算机中的文件
养成定期备份数据和文档的习惯,万一文件被计算机病毒破坏,可以马上恢复。
2)加固计算机系统
安装正版杀毒软件,并定时更新病毒库,同时为计算机安装防火墙,定时更新系统修补漏洞。
3)增强计算机病毒防护意识
定期升级计算机杀毒软件,不使用来历不明的文件,使用文件前必须要用杀毒软件扫描,确认没有病毒后才能进行复制和使用。制订计算机病毒感染突发情况的应急方案,提高警惕性,实行安全巡检制度等。
【动手做一做】
上网通过搜索引擎搜索资料,回答以下问题:
(1)“台湾1号”病毒的主要特征是什么?它是如何传播的?
(2)“台湾1号”病毒有没有变种?举出两个例子,并简单描述它们的特征。
(3)比较“美丽莎”宏病毒和“台湾1号”病毒,分析它们的异同。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。