1.4　计算机病毒及其防治

当前，计算机安全的最大威胁是计算机病毒（Computer Virus）。计算机病毒是一种特殊的程序，它能自我复制到其他程序体内，影响和破坏程序的正常执行和数据的正确性，或可非法入侵并隐藏在储媒体中的引导部分、可执行程序或数据文件中，在一定条件下被激活，从而破坏计算机系统。在《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被明确定义为：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”

1.4.1　计算机病毒的特征和分类

1．计算机病毒的特征

计算机病毒一般具有寄生性、破坏性、传染性、潜伏性和隐蔽性的特征。

（1）寄生性。计算机病毒是一种特殊的寄生程序，不是通常意义下的完整的计算机程序，而是寄生在其他可执行的程序中，因此，它能享有被寄生程序所能得到的一切权利。

（2）破坏性。病毒一旦被激活，就可能破坏系统、删除或修改数据，甚至格式化整个磁盘，它们或是破坏系统，或是破坏数据并使之无法恢复。

（3）传染性。计算机病毒往往能够主动将自身的复制品或变种传染到其他未染毒的程序上，传染性是病毒的基本特性，判断一个程序是不是计算机病毒的最重要因素就是看其是否具有传染性。

（4）潜伏性。病毒程序通常短小精悍，在外界激发条件出现之前，病毒可以潜伏、寄生在别的程序上，使得其难以被发现。

（5）隐蔽性：大多数计算机病毒隐蔽在正常的可执行程序或数据文件里，不易被发现。

2．计算机病毒的分类

计算机病毒的分类方法很多，按计算机病毒的感染方式，分为如下5类。

（1）引导区型病毒。使用U盘、光盘及各种移动存储介质，可能感染引导区型病毒。当硬盘主引导记录感染病毒后，病毒就企图感染每个插入计算机进行读写的移动盘的引导区。这类病毒常常将其病毒程序替代主引导区中的系统程序。引导区型病毒总是先于系统文件装入内存储器，获得控制权并进行传染和破坏。

（2）文件型病毒。主要感染扩展名为.com、.exe、.drv、.bin、.ovl、.sys等的可执行文件。通常寄生在文件的首部或尾部，并修改程序的第一条指令。当计算机执行染毒文件时就会先跳转去执行病毒程序，并进行传播和破坏。这类病毒只有当带毒文件执行时才能进入内存，一旦符合激发条件，它就发作。

（3）混合型病毒。这类病毒既传染磁盘的引导区，也传染可执行文件，兼有上述两类病毒的特点。混合型病毒综合系统型和文件型病毒的特性，它的“性情”比系统型和文件型病毒更为“凶残”。这种病毒通过这两种方式来传染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒，就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。

（4）宏病毒。宏病毒是寄存在Microsoft Office文档或模板的宏中的病毒。它只感染Microsoft Word文档文件（DOC）和模板文件（DOT），与操作系统没有特别的关联。它们大多以Visual Basic或Word提供的宏程序语言编写，比较容易制造。它能通过E-mail下载Word文档附件等途径蔓延。当对感染宏病毒的Word文档操作时，它就进行破坏和传播。宏病毒还可衍生出各种变形病毒，这种“父生子子生孙”的传播方式让许多系统防不胜防，这也使宏病毒成为威胁计算机系统的“第一杀手”。Word宏病毒破坏造成的结果是：不能正常打印；封闭或改变文件名称或存储路径，删除或随意复制文件；封闭有关菜单，最终导致无法正常编辑文件。

（5）Internet病毒（网络病毒）。大多是通过E-mail或WWW传播的。黑客是危害计算机系统的源头之一，“黑客”利用通信软件，通过网络非法进入他人的计算机系统，截取或篡改数据，危害信息安全。一些“黑客程序”可以监控被控制的该计算机系统，进而盗取用户的个人私密数据信息，甚至控制监控摄像头，迫使受感染的操作系统主动连接访问互联网中指定的Web服务器，下载其他木马、病毒等恶意程序，给计算机用户的隐私和其操作系统的安全带来更大的危害。

1.4.2　计算机病毒的防治

1．计算机感染病毒的常见症状

尽快发现计算机病毒，是有效控制病毒危害的关键。检查计算机有无病毒，一是靠反病毒软件进行检测，另外要细心留意计算机运行时的异常状况，下列异常现象可作为检查计算机病毒的参考。

（1）系统的内存空间明显变小。

（2）磁盘文件数目无故增多。

（3）文件或数据无故丢失，或文件长度自动发生了变化。

（4）系统引导或程序装入时速度明显减慢，或正常情况下可以运行的程序却突然因内存区不足而不能装入。

（5）计算机系统经常出现异常死机和重启动现象。

（6）系统不承认硬盘或硬盘不能引导系统。

（7）显示器上经常出现一些莫名其妙的信息或异常现象。

（8）文件的日期/时间值被修改成最近的日期或时间（用户自己并没有修改）。

（9）编辑文本文件时，频繁地自动存盘。

2．计算机病毒的清除

发现计算机病毒应立即清除，将病毒危害减少到最低限度。发现计算机病毒后的解决方法如下。

（1）启动最新的反病毒软件，对整个计算机系统进行病毒扫描和清除，使系统或文件恢复正常。

（2）发现病毒后，应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。

（3）某些病毒在Windows状态下无法完全清除，此时应用事先准备好的干净系统引导盘引导系统，然后运行相关杀毒软件进行清除。

（4）如果计算机染上了病毒，反病毒软件也被破坏了，最好立即关闭系统，以免继续使用而使更多的文件遭受破坏。然后应用事先准备好的干净系统引导盘引导系统，安装运行相关杀毒软件进行清除。

目前较流行的杀毒软件有360、瑞星、诺顿、卡巴斯基、金山毒霸及江民杀毒软件等。

3．计算机病毒的防范

计算机感染病毒后，用反病毒软件检测和消除病毒是被迫的处理措施，况且已经发现相当多的病毒在感染之后会永久性地破坏被感染程序，如果没有备份将不易恢复。因此，做好计算机病毒的防范，是防治病毒的关键。所谓防范，是指通过合理、有效的防范体系及时发现计算机病毒的侵入，并能采取有效的手段阻止病毒的破坏和传播，保护系统和数据安全。

计算机病毒主要通过移动存储介质（如U盘、移动硬盘）和计算机网络两大途径进行传播。人们从工作实践中总结出一些预防计算机病毒的简易可行的措施，这些措施实际上是要求用户养成良好的使用计算机的习惯。具体归纳如下。

（1）有效管理系统内建的Administrator账户、Guest账户以及用户创建的账户，包括密码管理、权限管理等，使用计算机系统的口令来控制对系统资源的访问，以提高系统的安全性，这是防病毒最容易和最经济的方法之一。

（2）安装有效的杀毒软件并根据实际需求进行安全设置。同时，定期升级杀毒软件并经常全盘查毒、杀毒，也是预防病毒的重中之重。

（3）打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。

（4）扫描系统漏洞，及时更新系统补丁。

（5）对于未经检测过是否感染病毒的光盘、U盘及移动硬盘等移动存储设备，在使用前应首先用杀毒软件查毒，未经检查的可执行文件不能拷入硬盘，更不能使用。

（6）不使用盗版或来历不明的软件，浏览网页、下载文件时要选择正规的网站，对下载的文件使用查毒软件检查。

（7）尽量使用具有查毒功能的电子邮箱，尽量不要打开陌生的可疑邮件。

（8）禁用远程功能，关闭不需要的服务。

（9）修改IE浏览器中与安全相关的设置。

（10）关注目前流行病毒的感染途径、发作形式及防范方法，做到预先防范，感染后及时查毒，以避免遭受更大损失。

（11）准备一张干净的系统引导光盘或U盘，并将常用的工具软件拷贝到该盘上，然后妥善保存。此后一旦系统受到病毒侵犯，就可以使用该盘引导系统，进行检查、杀毒等操作。

（12）分类管理数据，对各类重要数据、文档和程序应分类备份保存。

计算机病毒的防治是一项系统工程，除了技术手段之外，还涉及法律、教育、管理制度等诸多因素。要通过教育，使广大用户认识到病毒的严重危害，了解病毒的防治常识，提高尊重知识产权的意识，增强法律、法规意识，最大限度地减少病毒的产生与传播。