病毒与计算机安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
命名
前缀
含义
WM
Word6.0、Word95宏病毒
WM97
Word97宏病毒
XM
Excel5.0、Excel95宏病毒
X97M
Excel5.0和Excel97版本下发作
XF
Excel程序病毒
AM
Access95宏病毒
AM97M
Access97宏病毒
W95
Windows95、98病毒
Win
Windows3.x病毒
(二)
计算机安全(computer security)是计算机与网络领域的信息安全(information security)的一个分支。其目的是在保证信息和财产可被受权用户正常获取和使用的情况下,保护此信息和财产不受偷窃,污染,自然灾害等的损坏。
安全设定
在计算机应用上有四种安全设定,通常会结合使用:
W32
32位病毒,感染所有32位Windows系统
WINT
32位Windows病毒,只感染Windows NT
Trojan/Troj
特洛伊木马
VBS
VBScript程序语言编写的病毒
VSM
感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
蠕虫病毒:蠕虫病毒漏洞利用类,也是我们最熟知的病毒,通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合,主要使用缓存溢出技术。
有害
软件
间谍软件和流氓软件,是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。本身对计算机的危害性不大,只是中毒者隐私遭到泄露被收集走和一旦安装上它就无法正常删除卸载了。
可激发性:根据病毒作者的“需求”,设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒,运行后会主动检测中毒者操作系统的语言,如果发现操作系统语言为简体中文,病毒就会自动对计算机发起攻击,而语言不是简体中文版本的Windows,那么你即使运行了病毒,病毒也不会对你的计算机发起攻击或者破坏。[5]
JS
JScript编程语言编写的病毒
PE
32位寻址的Windows病毒
OSX
Mac OSX的病毒
特征
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[2]、表现性或破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。
计算机病毒的生命周期为开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。[3][4]
感染性:某些病毒具有感染性,比如感染中毒用户计算机上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。通常也可以利用网络共享的漏洞,复制并传播给邻近的计算机用户群,使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。
潜伏性:部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一样,这使电脑病毒可以在爆发之前,以最大幅度散播开去。
表现性:病毒运行后,如果按照作者的设计,会有一定的表现特征:如CPU占用率100%,在用户无任何操作下读写硬盘或其他磁盘数据,蓝屏死机,鼠标右键无法使用等。但这样明显的表现特征,反倒帮助被感染病毒者发现自己已经感染病毒,并对清除病毒很有帮助,隐蔽性就不存在了。
破坏性:某些威力强大的病毒,运行后直接格式化用户的硬盘数据,更为厉害一些可以破坏引导扇区以及BIOS,已经在硬件环境造成了相当大的破坏。
[8]2009年中国计算机病毒疫情调查技术分析报告,
病毒与计算机安全
摘要:随着计算机科学的发展,病毒与计算机安全成为越来越不可忽视的部分,为了以后计算机更好地发展,我们必须更加了解计算机病毒与安全,从而找到方法防范病毒,保护计算机安全。
关键词:计算机病毒 计算机安全我国现状
(一)计算机病毒
病毒是什么?我们都知道,一般所说的病毒是一种病毒由一个核酸分子(DNA或RNA)与蛋白质构成的非细胞形态的营寄生生活的生命体。但随着科技的发展,我们越来越无法忽视计算机在我们生活中的作用,于是,一个新的概念出现在我们脑中——电脑病毒。
电脑病毒是一种在人为或非人为的情况下产生的、在用户不知情或批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作。
分类
病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计,占近45%的病毒是木马程序,蠕虫占病毒总数的25%以上,占15%以上的是脚本病毒,其余的病毒类型分别是:文档型病毒、破坏性程序和宏病毒。
参考资料:
[1]黑色的病毒产业,新华网
[2]计算机病毒的生命周期,Microsoft Corporation
[3]病毒特性之一可激发性,北京航空航天大学
[4]病毒的生命周期,辽宁石油化工大学
[5]对简体中文语言的可激发性病毒,联合早报网
[6]保护计算机的常识,新华网
[7]全球十大计算机病毒排名 CIH病毒居首,新华网
脚本病毒:宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word,Excel这些办公软件本身支持运行可进行某些文档操作的命令,所以也被Office文档中含有恶意的宏病毒所利用。对Microsoft的VBS宏仅进行编辑支持而不运行,所以含有宏病毒的MS Office文档在下打开后病毒无法运行。
木马/僵尸网络:一般也叫远程监控软件,如果木马能连通的话,那么可以说已经得到了远程计算机的全部操作权限,操作远程计算机与操作自己计算机没什么大的区别,这类程序可以监视被控用户的摄像头与截取密码。而Windows NT以后的版本自带的“远程桌面连接”,如果被不良用户利用的话,那么也与木马没什么区别。用户一旦中毒,就会成为“丧尸”或被称为“肉鸡”,成为黑客手中的“机器人”,通常黑客或脚本小孩(script kids)可以利用数以万计的“丧尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击,造成被攻击目标瘫痪。
以下是一些有关诱捕、防止以及查杀病毒的工具的链接:
蜜罐;杀毒软件;防火墙;入侵预防系统(HIPS);反间谍软件。
对制造者的制裁
在当下,计算机科技越来越发达,与此同时,病毒也越来越猖獗,有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的CIH病毒被一些人认为“迄今为止危害最大的病毒”[7],使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾当时的法律,他被判损毁罪面临最高3年以下的有期徒刑。
而在传播途径方面,我国计算机病毒主要通过电子邮件、网页下载或浏览、局域网和移动存储介质等途径传播。通过调查发现,病毒通过移动存储介质传播的比例又有所上升,该项调查结果在2007年高达41.34%,通过加强管理2008年为21.9%,呈现大幅下降趋势,但是2009年又出现上升势头达到25.40%。由于优盘等各种类型的移动存储介质的广泛使用,越来越多的病毒、木马将移动存储介质作为传播途径,并且病毒木马利用移动存储介质在内外网之间、涉密与非涉密系统之间进行数据拷贝交换的时候,窃取敏感或者涉密信息。[8即数据来源]
我们不能让病毒“霸占”我们的计算机,所以,我们应该首先严厉打击网络犯罪活动,采取各种有效的措施来提高网站安全防护水平,加强对各类网上交易系统的安全保障措施,毕竟网络是病毒传播的主要途径,扼杀了病毒在网络上的传播能为计算机安全做出极大的贡献。除此之外,政府还应该加强对计算机病毒防治产品质量的监督管理工作,并且积极推动反病毒服务业的发展,多多宣传,提高人们保护计算机安全的意识。
灰色
软件
恶作剧软件,如破坏性很大的“格盘炸弹”,运行程序后格式化硬盘,原本只为“愚人”目的,但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文档感染器(File infector)以及在DOS下的根扇区病毒。
文件型病毒:文件型病毒通常寄居于可执行文件(扩展名为.EXE或.COM的文件),当被感染的文件被运行,病毒便开始破坏电脑。
中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪与金融犯罪起诉,最终的判决结果是无期徒刑。
(三)我国现状
而在我国,近年来病毒的发展现状可参见以下两张图。可见近十年来计算机病毒感染率都在80%上下,从2007年达到91.47%的高峰后开始下降,说明用户们的计算机安全意识有了提高。
修补漏洞
在我们了解了系统的安全设定之后,再让我们看看如何修补操作系统以及其捆绑的软件的漏洞。
安装系统以及其捆绑的软件如Internet Explorer、Windows Media Player的漏洞安全补丁,以操作系统Windows为例,Windows NT以及以下版本可以在Microsoft Update更新系统,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系统的“自动更新”程序下载补丁进行安装。设置一个比较强的系统密码,关闭系统默认网络共享,防止局域网入侵或弱口令蠕虫传播。定期检查系统配置实用程序启动选项卡情况,并对不明的Windows服务予以停止。安装并及时更新杀毒软件与防火墙产品,保持最新病毒库以便能够查出最新的病毒,如一些反病毒软件的升级服务器每小时就有新病毒库包可供用户更新。而在防火墙的使用中应注意到禁止来路不明的软件访问网络。由于免杀以及进程注入等原因,有个别病毒很容易穿过杀毒以及防火墙的双重防守,遇到这样的情况就要注意到使用特殊防火墙来防止进程注入,以及经常检查启动项、服务。一些特殊防火墙可以“主动防御”以及注册表实时监控,每次不良程序针对计算机的恶意操作都可以实施拦截阻断。 不要点来路不明连接以及运行不明程序[6]来路不明的连接,很可能是蠕虫病毒自动通过电子邮件或即时通讯软件发过来的,如QQ病毒之一的QQ尾巴,大多这样信息中所带连接指向都是利用IE浏览器漏洞的网站,用户访问这些网站后不用下载直接就可能会中更多的病毒。另外不要运行来路不明的程序,如一些“性诱惑”的文件名骗人吸引人去点击,点击后病毒就在系统中运行了。
信任所有软件都遵守安全策略,但软件本身不可信。
信任所有软件都遵守安全策略,并且该软件也被证实为可信的
不信任软件,但通过不可信的保护机制执行安全策略
不信任软件,但通过可信的硬件机制执行安全策略
许多系统无意中使用了以上的第一种设定。由于第二种方法成本昂贵和不确定性,其使用受到很大限制。第一种和第三种方法会导致失败。第四种方法更具实用性,这是由于它通常基于硬件机制,避免了抽象性和自由性。
传播性:病毒一般会自动利用电子邮件传播,利用对象为某个漏洞。将病毒自动复制并群发给存储 的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
隐蔽性:一般的病毒仅在数KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中,所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文档,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文档捆绑合并成一个文档,那么运行正常吸引他的文档时,病毒也在我们的操作系统中悄悄的运行了。
前缀
含义
WM
Word6.0、Word95宏病毒
WM97
Word97宏病毒
XM
Excel5.0、Excel95宏病毒
X97M
Excel5.0和Excel97版本下发作
XF
Excel程序病毒
AM
Access95宏病毒
AM97M
Access97宏病毒
W95
Windows95、98病毒
Win
Windows3.x病毒
(二)
计算机安全(computer security)是计算机与网络领域的信息安全(information security)的一个分支。其目的是在保证信息和财产可被受权用户正常获取和使用的情况下,保护此信息和财产不受偷窃,污染,自然灾害等的损坏。
安全设定
在计算机应用上有四种安全设定,通常会结合使用:
W32
32位病毒,感染所有32位Windows系统
WINT
32位Windows病毒,只感染Windows NT
Trojan/Troj
特洛伊木马
VBS
VBScript程序语言编写的病毒
VSM
感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
蠕虫病毒:蠕虫病毒漏洞利用类,也是我们最熟知的病毒,通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合,主要使用缓存溢出技术。
有害
软件
间谍软件和流氓软件,是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。本身对计算机的危害性不大,只是中毒者隐私遭到泄露被收集走和一旦安装上它就无法正常删除卸载了。
可激发性:根据病毒作者的“需求”,设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒,运行后会主动检测中毒者操作系统的语言,如果发现操作系统语言为简体中文,病毒就会自动对计算机发起攻击,而语言不是简体中文版本的Windows,那么你即使运行了病毒,病毒也不会对你的计算机发起攻击或者破坏。[5]
JS
JScript编程语言编写的病毒
PE
32位寻址的Windows病毒
OSX
Mac OSX的病毒
特征
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[2]、表现性或破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。
计算机病毒的生命周期为开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。[3][4]
感染性:某些病毒具有感染性,比如感染中毒用户计算机上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。通常也可以利用网络共享的漏洞,复制并传播给邻近的计算机用户群,使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。
潜伏性:部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一样,这使电脑病毒可以在爆发之前,以最大幅度散播开去。
表现性:病毒运行后,如果按照作者的设计,会有一定的表现特征:如CPU占用率100%,在用户无任何操作下读写硬盘或其他磁盘数据,蓝屏死机,鼠标右键无法使用等。但这样明显的表现特征,反倒帮助被感染病毒者发现自己已经感染病毒,并对清除病毒很有帮助,隐蔽性就不存在了。
破坏性:某些威力强大的病毒,运行后直接格式化用户的硬盘数据,更为厉害一些可以破坏引导扇区以及BIOS,已经在硬件环境造成了相当大的破坏。
[8]2009年中国计算机病毒疫情调查技术分析报告,
病毒与计算机安全
摘要:随着计算机科学的发展,病毒与计算机安全成为越来越不可忽视的部分,为了以后计算机更好地发展,我们必须更加了解计算机病毒与安全,从而找到方法防范病毒,保护计算机安全。
关键词:计算机病毒 计算机安全我国现状
(一)计算机病毒
病毒是什么?我们都知道,一般所说的病毒是一种病毒由一个核酸分子(DNA或RNA)与蛋白质构成的非细胞形态的营寄生生活的生命体。但随着科技的发展,我们越来越无法忽视计算机在我们生活中的作用,于是,一个新的概念出现在我们脑中——电脑病毒。
电脑病毒是一种在人为或非人为的情况下产生的、在用户不知情或批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作。
分类
病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计,占近45%的病毒是木马程序,蠕虫占病毒总数的25%以上,占15%以上的是脚本病毒,其余的病毒类型分别是:文档型病毒、破坏性程序和宏病毒。
参考资料:
[1]黑色的病毒产业,新华网
[2]计算机病毒的生命周期,Microsoft Corporation
[3]病毒特性之一可激发性,北京航空航天大学
[4]病毒的生命周期,辽宁石油化工大学
[5]对简体中文语言的可激发性病毒,联合早报网
[6]保护计算机的常识,新华网
[7]全球十大计算机病毒排名 CIH病毒居首,新华网
脚本病毒:宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word,Excel这些办公软件本身支持运行可进行某些文档操作的命令,所以也被Office文档中含有恶意的宏病毒所利用。对Microsoft的VBS宏仅进行编辑支持而不运行,所以含有宏病毒的MS Office文档在下打开后病毒无法运行。
木马/僵尸网络:一般也叫远程监控软件,如果木马能连通的话,那么可以说已经得到了远程计算机的全部操作权限,操作远程计算机与操作自己计算机没什么大的区别,这类程序可以监视被控用户的摄像头与截取密码。而Windows NT以后的版本自带的“远程桌面连接”,如果被不良用户利用的话,那么也与木马没什么区别。用户一旦中毒,就会成为“丧尸”或被称为“肉鸡”,成为黑客手中的“机器人”,通常黑客或脚本小孩(script kids)可以利用数以万计的“丧尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击,造成被攻击目标瘫痪。
以下是一些有关诱捕、防止以及查杀病毒的工具的链接:
蜜罐;杀毒软件;防火墙;入侵预防系统(HIPS);反间谍软件。
对制造者的制裁
在当下,计算机科技越来越发达,与此同时,病毒也越来越猖獗,有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的CIH病毒被一些人认为“迄今为止危害最大的病毒”[7],使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾当时的法律,他被判损毁罪面临最高3年以下的有期徒刑。
而在传播途径方面,我国计算机病毒主要通过电子邮件、网页下载或浏览、局域网和移动存储介质等途径传播。通过调查发现,病毒通过移动存储介质传播的比例又有所上升,该项调查结果在2007年高达41.34%,通过加强管理2008年为21.9%,呈现大幅下降趋势,但是2009年又出现上升势头达到25.40%。由于优盘等各种类型的移动存储介质的广泛使用,越来越多的病毒、木马将移动存储介质作为传播途径,并且病毒木马利用移动存储介质在内外网之间、涉密与非涉密系统之间进行数据拷贝交换的时候,窃取敏感或者涉密信息。[8即数据来源]
我们不能让病毒“霸占”我们的计算机,所以,我们应该首先严厉打击网络犯罪活动,采取各种有效的措施来提高网站安全防护水平,加强对各类网上交易系统的安全保障措施,毕竟网络是病毒传播的主要途径,扼杀了病毒在网络上的传播能为计算机安全做出极大的贡献。除此之外,政府还应该加强对计算机病毒防治产品质量的监督管理工作,并且积极推动反病毒服务业的发展,多多宣传,提高人们保护计算机安全的意识。
灰色
软件
恶作剧软件,如破坏性很大的“格盘炸弹”,运行程序后格式化硬盘,原本只为“愚人”目的,但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文档感染器(File infector)以及在DOS下的根扇区病毒。
文件型病毒:文件型病毒通常寄居于可执行文件(扩展名为.EXE或.COM的文件),当被感染的文件被运行,病毒便开始破坏电脑。
中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪与金融犯罪起诉,最终的判决结果是无期徒刑。
(三)我国现状
而在我国,近年来病毒的发展现状可参见以下两张图。可见近十年来计算机病毒感染率都在80%上下,从2007年达到91.47%的高峰后开始下降,说明用户们的计算机安全意识有了提高。
修补漏洞
在我们了解了系统的安全设定之后,再让我们看看如何修补操作系统以及其捆绑的软件的漏洞。
安装系统以及其捆绑的软件如Internet Explorer、Windows Media Player的漏洞安全补丁,以操作系统Windows为例,Windows NT以及以下版本可以在Microsoft Update更新系统,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系统的“自动更新”程序下载补丁进行安装。设置一个比较强的系统密码,关闭系统默认网络共享,防止局域网入侵或弱口令蠕虫传播。定期检查系统配置实用程序启动选项卡情况,并对不明的Windows服务予以停止。安装并及时更新杀毒软件与防火墙产品,保持最新病毒库以便能够查出最新的病毒,如一些反病毒软件的升级服务器每小时就有新病毒库包可供用户更新。而在防火墙的使用中应注意到禁止来路不明的软件访问网络。由于免杀以及进程注入等原因,有个别病毒很容易穿过杀毒以及防火墙的双重防守,遇到这样的情况就要注意到使用特殊防火墙来防止进程注入,以及经常检查启动项、服务。一些特殊防火墙可以“主动防御”以及注册表实时监控,每次不良程序针对计算机的恶意操作都可以实施拦截阻断。 不要点来路不明连接以及运行不明程序[6]来路不明的连接,很可能是蠕虫病毒自动通过电子邮件或即时通讯软件发过来的,如QQ病毒之一的QQ尾巴,大多这样信息中所带连接指向都是利用IE浏览器漏洞的网站,用户访问这些网站后不用下载直接就可能会中更多的病毒。另外不要运行来路不明的程序,如一些“性诱惑”的文件名骗人吸引人去点击,点击后病毒就在系统中运行了。
信任所有软件都遵守安全策略,但软件本身不可信。
信任所有软件都遵守安全策略,并且该软件也被证实为可信的
不信任软件,但通过不可信的保护机制执行安全策略
不信任软件,但通过可信的硬件机制执行安全策略
许多系统无意中使用了以上的第一种设定。由于第二种方法成本昂贵和不确定性,其使用受到很大限制。第一种和第三种方法会导致失败。第四种方法更具实用性,这是由于它通常基于硬件机制,避免了抽象性和自由性。
传播性:病毒一般会自动利用电子邮件传播,利用对象为某个漏洞。将病毒自动复制并群发给存储 的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
隐蔽性:一般的病毒仅在数KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中,所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文档,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文档捆绑合并成一个文档,那么运行正常吸引他的文档时,病毒也在我们的操作系统中悄悄的运行了。