Ch9-2 计算机病毒概述

我国网络发展状况（CNNIC）
7
8
9
蠕虫与病毒
恶意代码
木马与后门
网页篡改网络嗅探
例》中的定义为：
“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”
16
点为传染性和危害性。

计算机病毒同生物病毒一样，它是能够侵入计算机系统或网络，危害其正常工作的“病原体”。

17
从广义上讲——凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

依据此定义，诸如恶意代码、蠕虫、木马等均可称为计算机病毒。

在国内外，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。

18
身拷贝、嵌入其他程序而实现传染的。

美国国家计算机安全中心出版的《计算机安全术语汇编》定义为：计算机病毒是一种自我繁殖的特洛伊木马，它由任务部分、触发部分、自我繁殖部分组成。

19
计算机病毒
触发性
非法性、衍生性、不可预见性
木马程序
借用古希腊传说中特洛伊战役中木马计故事：特洛伊王子在访问希腊时，诱走希腊王后，因此希腊人远征特洛伊，9 年围攻不下。

第十年，希腊将领献计，将一批精兵藏在一巨大的木马腹中，放在城外，然后佯作撤兵，特洛伊人以为敌人已退，将木马作为战利品推进城去，当夜希腊伏兵出来，打开城门里应外合攻占了特洛伊城。

21
《特洛伊木马》电影图片
小说。

1975 年，美国一位名叫约翰.布勒尔(John Brunei)的科普作家写了一本名为《Shock Wave Rider》的科学幻想小说，作者在该书中第一次描写了在未来的信息社会中，计算机作为正义与邪恶双方斗争工具的故事。

25
☺实际上在第一部商用电脑出现之前，冯·诺伊曼在他的论文《复杂自动装置的理论及组识的进行》里，就已经勾勒出了病毒程序的蓝图。

美国贝尔实验室中的3个年轻程序员在业余时间,为游戏而制作的“磁心大战(core war)”,被公认为计算机病毒的开始。

☺1983年11月3日，Fred Cohen博士研制出第一个计算机病毒（Unix）。

26
1987 年12 月，一份发给IBM公司的电子邮
件传送了一种能自我复制的圣诞程序。

1988 年3 月2 日，苹果公司的苹果计算机
在屏幕上显示出“向所有苹果计算机的用户
宣布世界和平的信息”后停机，以庆祝苹果
计算机的生日。

27
门等新的病毒越来越多，危害越来越大。

MSN、QQ等软件称为病毒新的媒介。

目前一种通过网上聊天程序“MSN Messenger”传播的新型病毒正在迅速蔓延。

如果在网上聊天时打开对话内容附带的“BR2002.exe”文件，就会染上该病毒，一旦染上该病毒，将自动把这一病毒发到通讯簿中所有的名单，扩散到更多的电脑中。

产物。

计算机软硬件产品的脆弱性是根本的计算原因。

计算机的普及应用是计算机病毒产生的必要环境。

29
式。

一些有较丰富的计算机系统知识和编程经验的恶作剧者、计算机狂及一些对社会、对工作心怀不满的人，为了进行蓄意报复，往往有意在计算机系统中加入一些计算机病毒程序。

一些电脑公司为了保护他们的软件不被非法复制，在发行的软件中也加入病毒，以便打击非法复制者。

30
（1）按病毒发作的时间命名
这类病毒的表现或破坏部分一般象定时炸弹，例如“黑色星期五”，其发作在某月的13日且又此日为星期五。

（2）按病毒发作症状命名
例如“小球”病毒，是在发作时屏幕上出现不停运动的小球而得名。

34
以病毒中出现的字符串、病毒标识、存放位置或发作时病毒自身宣布的名称来命名。

如“大麻”病毒中包含Marijuana字样，命名为Marijuana病毒。

（4）按病毒发现地命名
如Vienna病毒是在维也纳首先发现的。

35
（5）按病毒的字节长度命名
以病毒传染文件时，文件的增加长度或病毒自身代码的长度命名。

如1575等。

36
●病毒家族名
●病毒组名
●大变种
●小变种
●修改者
CARO规则的一些附加规则包括：
●不用地点命名
●不用公司或商标命名
●如果已经有了名字就不再另起别名●变种病毒是原病毒的子类
）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621
用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：
反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。

比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。

这样，梅丽莎病毒的一个变种的命名就成了W97M.Melissa.AA，Happy 99蠕虫就被称为
Win32.Happy99.Worm。

38
计算机病毒的产生过程分为：
开发、传播、潜伏、触发、运行、实施攻击。

相应的计算机病毒有一个生命周期，描述如下：（1）开发期——今天有一点计算机编程知识的人都可以制造一个病毒
（2）传染期——在一个病毒制造出来后，病毒的编写者将其拷贝分发出去并确认其已被传播出去。

39
能够进行数据交换的介质都可能成为计算机病毒传播途径。

41
（1）不可移动的计算机硬件设备
通过不可移动的计算机硬设备进行传染, 这些设备有装在计算机内的R OM芯片和硬盘等。

新购置的计算机中,硬盘内也可能带有计算机病毒,该病毒可能在计算机的生产场地、销售环节的某一时刻进入到硬盘中,跨越重洋来到一个新的地点开始传染。

因此对购置的新、旧计算机均应进行病毒检测, 而不应放过这一病毒传染的可能途径。

42
（2）可移动的存储设备
通过可移动式存储设备,使病毒能够进行传染。

可移动式存储设备包括软盘、磁带及可移动式硬盘等。

在这几种移动式存储设备中U盘是使用最广泛、最方便、携带最便利、移动最频繁的存储介质。

因此U盘也成了计算机病毒的主要寄生地。

携带病毒的U盘在PC机上使用后,往往会使该PC机染毒,带毒的PC机又会把病毒传染给此后在这台PC机上使用过的其它U盘。

43
FTP等
现代通信技术的进步,已使空间的距离不再成为信息传递的障碍。

数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送。

计算机病毒可以附着在正常文件中,当你从网络另一端得到一个被感染的程序,并在你的计算机上未加任何防护措施的情况下运行它, 病毒就传染开来了。

这种病毒的传染方式在计算机网络连接很普及的国家是很常见的。

44
分类的标准不同，结果时不同的。

病毒的增加速度越来越迅速，分类是研究和防护的要求。

47
文件；
●文件病毒：感染计算机中的文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；
●引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（ＭＢＲ）；
●混合型病毒：是上述三种情况的混合。

例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

48
记录隐藏在其他地方。

●执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。

●网络传染病毒：这类病毒是当前病毒的主流，特点是通过互联网络进行传播。

例如，蠕虫病毒就是通过主机的漏洞在网上传播。

49
对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

50。