计算机病毒与防护

2010-04-09

从广义上说，凡能引起计算机故障，破坏或 窃取计算机数据的程序都统称为计算机病毒。 计算机病毒其实一段程序 它与平时所用的程序没有本质区别 不同的是正常的程序(软件)是用来解决问题的，

而病毒专门用来破坏的

破坏性 传染性 隐藏性 可激活性 针对性

计算机病毒是为了特定的目的而编制的，一 般来说，计算机病毒程序包括三个功能模块：借助宿主程序将病毒程序驻入内存，以便传染模块和破 坏模块进入活动状态。

引导模块

传染模块 将病毒迅速传染，尽可能扩大染毒范围 条件判断部分 传染条件是否成立 程序主体部分 将病毒程序与宿主程序连接 破坏模块 编写者的意图所在，首先判断条件是否成立，只有条件完全满足才开始其破坏活动

N 宿主(病毒程序) 宿主(病毒程序)

满足破 坏条件 Y

N

运行程序(病毒) 运行程序(病毒) 激活病毒程序

病毒加载 运行破坏工作

寻找感染对象 运行原程序 N

满足感 染条件 Y 运行传染文件

关机/重启 关机 重启 Y 停机/宿主目的 停机 宿主目的

一般来说，按照病毒的 寄生方式，可以分为以下 几种形式：引导型病毒 文件型病毒 混合型病毒 宏病毒

通常传播病毒的以下途径：软盘 硬盘(U盘等存储硬件) 光盘 网络(网页、程序、邮 件等)

根据杀毒软件的查毒杀毒机制，可以将其 分为：扫描型、行为封锁型、访问控制型、 完整性检查程序等，其中以扫描型为主流， 它具有检测速度快、误报率低的特点，缺点 是需要经常升级。

经常升级防病毒软件 加强对邮件的保护 注意对杀毒软件的设置 注意网络的安全 注意对硬盘数据的备份

在服务器的“应用程 序集”目录里，每 一个人都可以进去。 里面有很多有用的 工具，当然包括病 毒升级程序。而且， 我们将会把更多有 用的程序放在里面。

常见的黑客方法是利用欺骗法或利用操作系 统、应用软件和互联网的漏洞 防范：小心电子邮件 勤升级你的系统和杀毒软件 最好有入侵检测软件 拥有良好的口令意识

Kido ( 又叫 Conficker 或 Downadup ) 是一种蠕虫病毒， 卡巴斯基实验室早在2008年11月就发现它的第一个版本。 该蠕虫通过本地网络和可移动存储介质进行传。Kido 蠕虫 最新的变种无法通过自身进行传播，但是正如其之前的变种 一样，它可以通过在线更新的方式来进行升级。 Kido 蠕虫创建了一个十分强大的僵尸网络，这个僵尸 网络由大量的受感染计算机组成。按照该程序的设计，它会 在2009年4月1日进行在线升级，并且其最新的变种能够通 过随机算法生成高达50,000个域名，并从中选择500个以供 该僵尸网络

中的大量“肉鸡”进行在线更新。 Kido 蠕虫使用了非常高端的病毒技术，包括：它能够 从不停变换的在线资源中下载其更新；使用P2P网络作为额 外的下载源；使用强加密技术来防止其和其命令控制中心之 前的通讯被干扰；试图阻止反病毒软件进行反病毒数据库更 新。

通过被Kido感染的计算机“肉鸡”所组成的巨大僵 尸网络，网络罪犯便有能力对任何的网络资源发起致 命的DDoS攻击，从“肉鸡”中盗取大量的隐私数据， 并大范围发布垃圾数据(如垃圾邮件等)。经过统计， 世界上因为被Kido感染而沦为“肉鸡”的计算机数 量已经达到了500万至600万之多。 Kido 早期是通过本地网络和可移动存储设备进行传 播的，并且通过微软的MS08-067漏洞对计算机进行 感染。虽然微软已经在2008年10月发布了相应的补 丁，但是根据我们的统计数据表明，直到2009年1月 Kido蠕虫大规模爆发时，仍有大量的计算机未打补 丁

卡巴斯基实验室的所有产品都能够有效地保护计算机系统 不受所有Kido蠕虫变种的侵袭。请确保您计算机上安装 的卡巴斯基产品开启了自动升级功能，并对您的系统进 行全面的扫描。尽管卡巴斯基全功能安全软件2009能够 在您的系统未打微软补丁时，也能够提供全面的安全防 御，确保您的计算机不被Kido蠕虫所感染，但是我们仍 Kido 然强烈建议您为您的计算机完整安装最新的微软补丁 (特别是MS08-067)。

1、安全助手会自动给你打上补丁； 2、禁用U盘自动播放；

所谓的autorun并非某种病毒的名称，只是 病毒感染系统的一种途径。具体来说就是通过在 移动存储设备或者硬盘的根目录下创建 autorun.inf文件，来帮助触发病毒。 autorun.inf通常可以实现两种功能： 一是自动播放，例如将安装光盘放入光驱后 会自动运行安装程序，将U盘插入后会自动释放 病毒。 二是修改屏蔽原来的“打开”“资源管理器” 等菜单命令，使之与病毒关联。此时双击U盘或 者右键菜单选择“打开/资源管理器”也会触发 病毒的运行。