计算机病毒及其防治

一、计算机病毒概述

(一)定义

计算机病毒是一种具有自我复制能力的恶意程序代码,它能够通过修改其他程序或数据文件,将自身嵌入其中,从而在计算机系统中传播和扩散。病毒通常隐藏在正常的程序或数据中,当被触发时,会执行其恶意功能,给计算机系统带来各种危害。

(二)特点

  • 寄生性:病毒不能独立存在,必须依附于宿主程序或数据文件中,通过修改宿主来实现自我复制和传播。
  • 传染性:病毒具有很强的传染能力,可以通过多种途径在计算机之间传播,如通过移动存储设备、网络下载、电子邮件附件等。
  • 隐蔽性:病毒通常会隐藏自己的存在,使得用户难以察觉。它可能在系统中潜伏一段时间,直到触发条件满足时才发作。
  • 破坏性:病毒会对计算机系统造成不同程度的破坏,如删除文件、损坏系统、窃取信息、占用资源等,严重影响计算机的正常运行和用户的数据安全。

二、计算机病毒的分类

(一)按寄生方式分类

  • 引导型病毒:寄生在磁盘的引导记录中,当计算机启动时,病毒会先于操作系统运行,从而控制整个系统。例如,CIH病毒就是一种典型的引导型病毒,它会破坏硬盘的主引导记录(MBR)和分区表,导致系统无法启动。
  • 文件型病毒:寄生在可执行文件(如.exe、.com文件)中,当用户运行这些文件时,病毒会被激活并执行。例如,W32/Nimda病毒就是一种文件型病毒,它会感染Windows系统中的可执行文件,并通过网络进一步传播。
  • 宏病毒:寄生在文档文件中,利用应用程序(如Microsoft Office)的宏语言编写而成。当用户打开含有宏病毒的文档时,病毒会自动运行,感染其他文档文件。例如,W97M/Melissa病毒就是一种宏病毒,它会感染Word文档,并通过电子邮件附件传播。

(二)按传播途径分类

  • 网络病毒:通过计算机网络进行传播,如通过电子邮件附件、网络下载、即时通讯工具等。例如,ILOVEYOU病毒就是一种网络病毒,它通过发送带有病毒附件的电子邮件进行传播,导致全球范围内的计算机系统受到严重破坏。
  • 移动存储病毒:通过移动存储设备(如U盘、移动硬盘)进行传播。当用户将含有病毒的移动存储设备连接到计算机时,病毒会自动复制到计算机中。例如,W32/Autorun病毒就是一种移动存储病毒,它会创建一个自动运行的文件(Autorun.inf),当用户双击移动存储设备时,病毒就会自动运行。
  • 系统病毒:专门针对计算机操作系统进行攻击和破坏。例如,W32/CodeRed病毒就是一种系统病毒,它会利用Windows系统中的漏洞进行攻击,导致系统崩溃和数据丢失。

三、计算机病毒的表现形式

(一)系统异常

  • 频繁死机:计算机在运行过程中突然死机,无法正常工作。例如,W32/Blaster病毒会导致Windows系统频繁死机,用户无法正常使用计算机。
  • 系统资源占用过高:病毒运行时会占用大量的系统资源,导致计算机运行缓慢,甚至无法使用。例如,W32/Bagle病毒会生成大量的进程,占用CPU和内存资源,使计算机反应迟钝。
  • 系统文件丢失或损坏:病毒会删除或损坏系统文件,导致系统无法正常启动或运行。例如,W32/CIH病毒会破坏硬盘的主引导记录(MBR)和分区表,使系统无法启动。

(二)文件异常

  • 文件被删除或损坏:病毒会删除或损坏用户的重要文件,导致数据丢失。例如,W32/Ghost病毒会删除用户硬盘中的文件,使用户无法找回丢失的数据。
  • 文件大小异常:病毒会改变文件的大小,使其变大或变小。例如,W32/Parite病毒会感染可执行文件,并在文件末尾添加病毒代码,导致文件大小增加。
  • 文件属性改变:病毒会改变文件的属性,如将文件设置为隐藏或只读等。例如,W32/Conficker病毒会将系统文件设置为隐藏属性,用户无法查看和修改这些文件。

(三)网络异常

  • 网络连接异常:病毒会破坏网络连接,导致用户无法正常上网。例如,W32/Win32.Sality病毒会阻止用户访问杀毒软件的官方网站,使用户无法下载更新的病毒定义文件。
  • 网络流量异常:病毒会占用大量的网络带宽,导致网络速度变慢。例如,W32/Mydoom病毒会发送大量的垃圾邮件,占用网络带宽,使用户无法正常上网。
  • 自动发送电子邮件:病毒会自动发送带有病毒附件的电子邮件,传播病毒。例如,W32/ILOVEYOU病毒会自动发送带有病毒附件的电子邮件,导致病毒迅速传播。

(四)硬件异常

  • 硬件设备无法正常使用:病毒会破坏硬件设备的驱动程序或固件,导致硬件设备无法正常使用。例如,W32/BlackEnergy病毒会破坏路由器的固件,导致路由器无法正常工作。
  • 硬件设备损坏:病毒会通过过载或错误操作等方式,导致硬件设备损坏。例如,W32/CIH病毒会通过向硬盘发送大量数据,导致硬盘损坏。

四、计算机病毒的预防和清除

(一)预防措施

  • 尽量不用软盘启动系统:如果确有必要,应该用确信无病毒的系统盘启动,以避免病毒通过软盘传播。
  • 公共软件在使用前和使用后用反病毒软件检查:确保无病毒感染,防止病毒通过公共软件传播。
  • 对所有系统盘和不写入数据的盘片应进行写保护:以免被病毒感染,保护系统盘和数据盘的安全。
  • 计算机系统中的重要数据要定期备份:以防病毒破坏数据,确保数据的安全性和可恢复性。
  • 计算机启动后和关机前,用反病毒软件对系统和硬盘进行检查:以便及时发现并清除病毒,防止病毒在系统中潜伏和扩散。
  • 对新购买的软件必须进行病毒检查:确保软件无病毒,防止病毒通过新软件传播。
  • 不在计算机上运行非法复制的软件或盗版软件:因为这些软件可能含有病毒,运行后会导致病毒感染。
  • 对于重要科研项目所使用的计算机系统,要实行专机、专盘和专用:以防止病毒对重要科研项目的干扰和破坏。
  • 发现计算机系统的任何异常现象,应立即采取检测和杀毒措施:如频繁死机、系统资源占用过高、文件异常等,及时检测和清除病毒,防止病毒进一步扩散和破坏。
  • 不轻易打开来历不明的电子邮件:特别是带有附件或链接的电子邮件,以防病毒通过电子邮件传播。

(二)清除方法

  • 使用杀毒软件清除病毒:安装并运行杀毒软件,对系统进行全面扫描和清除病毒。常见的杀毒软件有卡巴斯基、诺顿、瑞星、360杀毒等。
  • 手动清除病毒:对于一些杀毒软件无法清除的病毒,可以手动查找病毒文件或进程,并将其删除。例如,通过任务管理器结束病毒进程,或在磁盘中查找病毒文件并将其删除。
  • 修复系统文件:对于病毒破坏的系统文件,可以使用系统自带的修复工具进行修复。例如,在Windows系统中,可以使用系统文件检查器(SFC)工具修复损坏的系统文件。
  • 格式化磁盘:对于病毒严重感染的磁盘,可以考虑格式化磁盘,彻底清除病毒。但需要注意的是,格式化磁盘会导致数据丢失,因此在格式化前应确保数据已备份。
  • 重装操作系统:对于病毒严重破坏的系统,可以考虑重装操作系统,以恢复系统的正常运行。在重装系统前,应确保所有数据已备份,并在安装新系统后及时安装杀毒软件和系统补丁,防止病毒再次感染。