大家還記得2006年在網絡上肆虐的“熊貓燒香”病毒嗎?
雖然圖標是一隻小熊貓舉着三根香,但是它是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒,它不但能感染系統中exe,com,pif,src,html,asp等文件,它還能終止大量的反病毒軟件進程並且會刪除擴展名爲gho的文件(刪除後會使用戶的系統備份文件丟失)。
熊貓燒香是計算機病毒中的蠕蟲病毒,除了通過網站帶毒感染用戶之外,還會在局域網中傳播。當時,熊貓燒香病毒在極短時間內就感染了幾千臺計算機,中毒企業和政府機構超過千家,其中不乏金融、稅務、能源等關係到國計民生的重要單位。
熊貓燒香只是衆多計算機病毒中的其中一種,那到底什麼是計算機病毒呢?如何在日常使用電腦中防止感染病毒呢?接下來我們來簡單聊一聊。
計算機病毒的特徵
所謂病毒,是指一段可執行的程序代碼,通過對其他程序的修改,進而感染這些程序,使其含有該病毒程序的一個副本。病毒與正常程序唯一的區別是它能將自己附着在另一個程序上,在宿主程序運行時觸發病毒程序代碼的執行。一旦病毒執行,它可以完成病毒程序預設的功能,例如刪除文件和程序等。
一個典型的病毒會經歷下面 4 個階段。
-
潛伏階段:該階段病毒處於未運行狀態,一般需要通過某個事件來觸發,例如一個時間點、一個程序或文件的存在、宿主程序的運行等。不過並不是所有病毒都經過這個階段。
-
繁殖階段:該階段病毒將自己的副本放入其他程序或磁盤上的特定系統區域,使得程序包含病毒的一個副本,即對程序進行感染。
-
觸發階段:該階段由於各種可能觸發條件的滿足,導致病毒被激活,以執行病毒程序預設的功能。
-
執行階段:病毒程序預設的功能被完成。
一些計算機病毒經過編程,會通過破壞程序、刪除文件或重新格式化硬盤驅動器來損害目標計算機。還有一些只是通過簡單地複製自己從而使網絡流量被佔滿,進而無法執行其他互聯網活動。即使危害較小的計算機病毒也會嚴重破壞系統性能,消耗計算機內存並導致計算機頻繁崩潰。
除了危害計算機本身,當前的計算機病毒還加入了許多惡意軟件變種,用於竊取用戶信息、敲詐勒索等等。2013 年,殭屍網絡病毒 Gameover Zues 被發現使用點對點分發勒索軟件並實施銀行欺詐。它會模仿銀行向用戶發送郵件,缺乏安全意識的銀行用戶可能會按照提供的說明打開電子郵件附件,導致感染木馬病毒,並利用它們竊取資金。此外,它還可以繞過中央服務器並創建自己的獨立服務器來發送敏感信息。
病毒的分類
病毒名稱的一般格式爲 <病毒前綴>.<病毒名>.<病毒後綴>。病毒前綴是指病毒的種類,不同種類的病毒其前綴是不同的。比如常見的木馬病毒前綴爲 Trojan,蠕蟲病毒的前綴是 Worm 等。病毒名是指一個病毒的家族特徵,例如振盪波蠕蟲病毒的家族名是 “Sasser”。病毒後綴是用來區別某個家族病毒的不同變種的,一般採用英文字母來表示,如 Worm.Sasser.b 就是指振盪波蠕蟲病毒的變種 b。
病毒名稱可以幫助用戶判斷病毒的基本情況,在殺毒程序無法自動查殺打算採用手工方式查殺病毒時,病毒名稱提供的信息會對查殺病毒有所幫助。
常見的病毒可以根據其行爲特徵歸納爲以下幾類:
1、系統病毒:其前綴爲 Win32、PE、Win95 等。這些病毒的一般共同特性是感染 Windows 操作系統的 exe 和 dll 文件,並通過這些文件進行傳播。例如 CIH 病毒。
2、蠕蟲病毒:其前綴是 Worm。這種病毒會通過網絡或系統漏洞進行傳播,大部分蠕蟲病毒都有向外發送帶毒郵件、阻塞網絡的特性。例如文章開頭提到的熊貓燒香病毒(Worm.WhBoy.cw)。
3、木馬病毒和黑客病毒:木馬病毒的前綴爲 Trojan,黑客病毒的前綴爲 Hack。木馬病毒的特徵是通過網絡或系統漏洞進入用戶系統並隱藏起來,然後向外界泄露用戶的解密信息;而黑客病毒有一個可視的界面,能對用戶的計算機進行遠程控制。
4、宏病毒:前綴是 Marco。宏病毒是一種寄存在文檔或文檔模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活。
5、後門病毒:前綴是 Backdoor。這類病毒的共同特性是通過網絡傳播,給系統開後門,給用戶的計算機帶來安全隱患。
6、破壞性程序病毒:前綴是 Harm。這類病毒的共性是本身具有好看的圖標來誘惑用戶點擊。當用戶點擊後,病毒便會對計算機產生破壞。
7、玩笑病毒:前綴是 Joke。也稱惡作劇病毒。這類病毒也是通過好看的圖標誘惑點擊。當用戶點擊後,病毒會呈現出各種破壞性畫面來嚇唬用戶,不會對計算機造成破壞。例如女鬼病毒(Joke.Girlghost)。
8、捆綁機病毒:前綴是 Binder。這類病毒會使用特定的捆綁程序將病毒與一些應用程序(如 QQ、IE)捆綁起來,表面看是正常文件。用戶運行後,表面運行的是應用程序,實際上隱藏地運行了捆綁在一起的病毒,從而造成危害。
一旦病毒通過感染一個程序進入系統,被感染程序執行時,它就處於可執行文件的位置。防止病毒感染非常困難,因爲病毒可以是任何程序的一部分。任何操作系統和應用程序,都存在着已知或者未知的漏洞,都存在着被病毒攻擊的風險。
計算機是如何感染病毒的
即使有時我們很小心,也可能通過正常的 Web 活動感染病毒,例如:
-
與其他用戶共享音樂、文件或照片
-
訪問了受感染的網站
-
打開垃圾郵件或不明來源的電子郵件附件
-
非正規渠道下載遊戲、工具或其他應用程序
個人和公司都可能成爲受害者。計算機病毒可以暴露數據並利用它來獲取利潤、投放廣告、破壞系統或控制外部計算機。
如何判斷計算機感染了病毒呢?下面這些症狀表明計算機可能感染了計算機病毒:
-
電腦無故自動關機,或系統突然崩潰
-
計算機運行速度比平時慢得多(由於處理器負載增加)
-
網絡速度比平時慢(由於數據流量增加)
-
突然彈出垃圾廣告或遊戲窗口,例如促銷彈出窗口、“一刀 999”;瀏覽器主頁自動重定向到不受歡迎的網站,工具欄多出很多廣告書籤
-
程序有故障或崩潰。某些病毒甚至可以停用防病毒程序和防火牆,這可能是惡意軟件已滲透到系統的另一個跡象
-
安裝了不需要的程序,有時還會自動運行
-
計算機上的變化很明顯(例如,不認識的新文件或文件夾、遠程控制的鼠標光標)
如何防止計算機感染病毒
除了安裝防護軟件保護計算機,平常使用過程中也要正常、正規、正確的訪問互聯網。擦亮雙眼,學會甄別信息真僞。
-
安裝防病毒軟件,開啓系統防火牆;始終保持殺毒軟件的最新版本,使用最新的病毒庫;定期更新操作系統,安裝補丁
-
只接受來自可信來源的程序和文件。軟件和更新應始終從官方網站下載;如果是免費軟件,則應從信譽良好的知名下載門戶網站下載
-
安裝新程序時,要仔細確認不會意外安裝其他不需要的程序
-
不要點擊任何舊的廣告、橫幅或彈出窗口,尤其要避免鏈接廣告優惠或任何其他有問題的交易
-
不要打開來自未知發件人的電子郵件附件和鏈接,或者單擊任何帶有可疑主題的郵件
-
對銀行信息、賬號登錄信息和密碼等敏感數據保持謹慎
百密一疏,萬一懷疑電腦感染了病毒該怎麼辦?首先可以通過殺毒軟件進行掃描查殺,清理惡意軟件。最好使用最新版本的殺毒軟件進行全盤掃描,不過這隻能清除已知的病毒。對於一些新型的病毒,若殺毒軟件的病毒庫沒有收錄也是無事無補。可以嘗試下載市面上較爲可靠的惡意軟件檢測程序,不過一定要注意正規渠道下載哦!清除病毒之後馬上更改所有登錄過的賬戶密碼。如果計算機受到惡意軟件的嚴重影響,甚至無法啓動,那麼可能需要使用備份系統,或重新安裝系統。
總之,在網絡中,還是要時刻保持警惕,避免產生不必要的麻煩。