新世纪谈谈病毒防范

　　网络时代的新世纪并不太平，雅虎、MSN.COM等众多知名网站先后被黑客攻击，有关服务器中止服务45分钟到5小时不等，时隔不久，I love you（爱虫）病毒又开始在全球蔓延，感染了数百万台计算机，造成几十亿美元的损失。“病毒”和“黑客”看来将是永远的话题！但只要我们掌握病毒和黑客防范技术，就能斩妖除魔，有备无患！

　　病毒和黑客防范篇

　　一、电脑病毒和黑客程序

　　电脑病毒是带有一段恶意指令的程序，一旦用户运行了被病毒感染的程序，它就会隐藏在系统中不断感染内存或硬盘上的程序，只要满足病毒设计者预定的条件，病毒就会发作，其后果轻则只是和用户开个玩笑，在屏幕上显示几行文字或图片；重则既破坏硬盘数据，又擦除主板BIOS芯片内容（例如CIH病毒，修复办法是重写BIOS），使机器不能继续使用。

　　黑客程序实际上也是人们编写的程序，它能够控制和操纵远程电脑，一般由本地和远程两部分程序组成。黑客通过E-mail或冒充可供下载的文件把程序暗中发送到远程机器上，如果该程序被远程机器主人不经意间运行，该用户机器中的启动文件或注册表就会被自动修改，以后只要这台机器上了因特网，黑客就可以通过网络找到它，并在自己的电脑上对它进行远程控制，随意拷贝、修改、删除远程机器上的文件，甚至能自动关闭或重新启动这台机器。

　　二、病毒的种类及其防范

　　考虑到黑客程序的危害性，我们不妨把黑客程序也归于电脑病毒类，如果按传播方式划分，可以把病毒分为单机病毒和网络病毒。

　　1.单机病毒

　　（1）单机病毒的种类

　　单机病毒就是以前的DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。

　　DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒程序，例如以前著名的“黑色星期五”、“DIR”等病毒，它们运行在DOS平台上，由于Win3.x/Win9x依然采用或含有DOS内核，所以这类病毒仍然能够攻击Windows系统，在Windows平台上发作，感染硬盘上的文件。

　　Windows病毒是在Win3.x/Win9x上编写的纯32位病毒程序，例如4月26号危害全球的CIH病毒等，这类病毒运行于Windows平台，发作时破坏硬盘引导区、感染系统文件和可执行文件、破坏用户资料，甚至擦除主板BIOS，造成主板损坏。众所周知，DOS和Win3.x/Win9x上的病毒数量惊人，而WinNT上的病毒就要少得多。

　　宏病毒是利用Office特有的“宏（Macro）”编写的病毒，它专门攻击微软Office系列Word和Excel文件。这种病毒不仅能运行在Windows环境，还能运行在OS/2或MAC OS上的微软Office软件中，因为Office软件有For Windows、For OS/2或For MAC OS的多种版本，而所有版本中“宏”的定义都相同，所以只要在这些操作系统上打开Office文档，宏病毒就开始发作，感染其它Office文档、改变文件属性，甚至删除文件，例如“七月杀手”宏病毒，会在七月的任一天发作，发作时弹出“醒世恒言”对话框，要求用户选择“确定”或“取消”，如果按了“取消”，就会在autoexec.bat中增加一条删除C盘的命令，重新开机时，就会删除C盘上的全部数据。

　　（2）单机病毒的防范

　　考虑到每种杀毒产品都有其局限性，所以最好准备几套杀毒软件，用它们来交叉杀毒，杀毒软件还要及时升级；定期用杀毒软件检查硬盘，如果用的是Win9x（CIH病毒对WinNT和Win2000不起作用），每月的26号前一定要检查是否有CIH病毒，或者将系统日期跳过26号；在系统中最好安装病毒实时监控软件（一般杀毒软件都带）；所有准备上机的光盘和软盘都要先进行查毒才可使用；用Ghost软件将系统分区备份成一个文件，存放在其它分区上，一旦系统被病毒破坏，几分钟就可恢复，但备份前一定要对硬盘杀毒；最好将硬盘分成多个逻辑盘，例如C、D、E，每个盘最好是FAT32格式，把C盘作为系统盘，容量当然要设大些，C盘最好是FAT32格式，容量应大于2G，这样设置的好处是，有利于提高系统运行速度，此外如果C盘被CIH病毒破坏了，只要它是FAT32格式，且容量大于2G，用一般杀毒软件就可以将C盘上的数据恢复98%。

　　CIH病毒至少有9个变种，其中V1.2和V1.3在4月26号发作，V1.4在每月的26号发作，还有的版本发作日期在6月26号。遭CIH病毒破坏后，主板BIOS芯片和硬盘数据的恢复方法见表1：

　　2.网络病毒及其防范

　　网络病毒通常是指特洛伊木马和邮件病毒，因为是通过网络传播的，所以称为“网络病毒”。

　　（1）特洛伊木马及其防范

　　特洛伊木马是一种黑客程序，从它对被感染电脑的危害性方面考虑，我们不妨也称之为病毒，但它与病毒有些区别，特洛伊木马本身一般并不破坏受害者硬盘上的数据，它只是悄悄地潜伏在被感染的电脑里，一旦这台电脑上网，就可能大祸临头！黑客就可以通过因特网找到这台机器，在自己的电脑上远程操纵它，窃取用户的上网帐号和密码、随意修改或删除文件，想怎么干就怎么干。特洛伊木马种类繁多，著名的特洛伊木马见表2：

　　特洛伊木马的防范：不要轻易泄露你的IP地址，下载来历不明的软件要警惕其中是否隐藏了木马，使用下载软件前一定要用木马检测工具进行检查。如果你的电脑有异常表现，就要注意了，要查查是否中了木马。对付特洛伊木马除了用上表介绍的手工清除方法外，也可用Lockdown2000（下载地址：http://lockdown2000.com/download.html）、Cleaner3.1（http://www.moosoft.com/download.php）等专门的反木马软件来清除，还可以用它们来检测自己机器上是否有已知或未知的木马程序，实时监视自己电脑端口上是否有“异常活动”，禁止别人访问你的机器。一旦有人企图连接你的机器，它们就会发出声音报警，还能对正在扫描你机器的人进行跟踪，告诉你此人来自何处，正在做什么。

　　（2）邮件病毒及其防范

　　邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传播，所以才称为“邮件病毒”，一般通过邮件中“附件”夹带的方法进行扩散，一旦你收到这类E-mail，运行了附件中的病毒程序，就能使你的电脑染毒。这类病毒本身的代码并不复杂，大都是一些脚本，比如I love you病毒，就是一个用VB Script编写的仅十几kB的脚本文件，只要收到该病毒的E-mail并打开附件后，病毒就会按照脚本指令，将浏览器自动连接上一个网址，下载木马程序，更改一些文件后缀为.vbs，最后再把病毒自动发给Outlook通讯簿中的每个人。

　　还有一种恶作剧需要提醒大家注意，有人用VBScript编写了一个HTML文件，代码如下：

　　只要你打开该网页，你的D盘就被格式化了。如果哪天你收到的E-mail，其中整合有这样的HTML，只要你一打开该E-mail，就会自动启动IE，运行以上HTML代码，根本不需要你打开E-mail的附件，你的D盘就会被格式化。预防办法是禁止HTML中脚本的运行（在浏览器的“工具”/Internet选项/安全中设置禁止JAVA或ActiveX的运行），当IE提示“该页上的某个软件（ActiveX控件）可能不安全，建立您不要运行。是否允许运行？”时千万要记住 选择“不运行”，以免你的硬盘被格式化！常见的邮件病毒见表3：

　　邮件病毒的防范：不要打开陌生人来信中的附件，特别是“.exe”等可执行文件；养成用最新杀毒软件及时查毒的好习惯，对附件中的文件不要打开，先保存在特定目录中，然后用杀毒软件进行检查；收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播；对于通过脚本“工作”的病毒，可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。

　　3.手机病毒及其防范

　　现代手机不仅仅能通讯，还能接入因特网获取网上信息，这也为病毒的传播带来了方便，最近就出现了针对手机等便携式信息设备的病毒（见表4）：

　　4.网上炸弹及其防范

　　网上炸弹有IP炸弹、邮件炸弹、ICQ/QICQ炸弹3类。

　　（1）IP炸弹的防范

　　IP炸弹一般是指用WinNuke、IGMPNuke（运行于Win9x上的）之类的软件，发送大量的特殊数据，对远程机器中Windows系统的漏洞进行攻击，造成对方Windows的蓝屏死机。当你用ICQ、QICQ或在聊天室中聊天时，你的IP地址很容易被别人查到，如果对方要攻击你，只要用WinNuke之类的攻击软件，填上你的IP就可以了。

　　防范办法：为Win9x安装网络安全补丁程序或者安装一套个人防火墙系统。安装网络安全补丁程序的步骤见表5：

　　对付IP炸弹最好的办法是安装个人防火墙。个人防火墙实际上是一套程序，能对进出计算机的所有数据进行分析，拦截炸弹攻击，切断非法连接。使用个人防火墙前一般要进行系统设置，进行“安全规则设置”，如果你对TCP/IP协议很熟，可以自己设置规则，软件一般都设置好了，可以不用设置，启动软件就能完成防火墙功能。个人防火墙工作时，如果有人攻击你，在系统托盘上会有小图标闪动，还会自动生成“攻击日志”，记录攻击情况（例如攻击源的IP地址、攻击时间等），这样只要用IP查询工具，就可以查到谁在攻击我们。著名的个人防火墙见表l6：

　　（2）邮件炸弹的防范

　　如果哪天你的信箱突然出现无数封莫名其妙的邮件，或者出现体积超过你邮箱容量的E-mail，这些E-mail撑破了你的邮箱，就说明你已受到邮件炸弹的攻击。邮件炸弹的原理是向你有限容量的信箱投入足够多或者足够大的邮件，使邮箱崩溃。这类炸弹很多，例如Nimingxin、Quickfyre、Amail、Emailbomb、Upyours系列、雪崩等，它们都能向你发送匿名邮件，连续发送邮件。炸弹的使用也很简单，和平时书写邮件相同，填上收信人的E-mail地址、输入要发送的次数、选择SMTP主机、随意填上自己的地址，按“发信”就开始发送炸弹了。

　　防范办法：象设置垃圾邮件过滤器那样，在邮件软件中或邮件服务器上设置好防范项目。

　　（a）在邮件软件中设置好防范项目

　　例如在Outlook2000中，点击“工具/规则向导”，在向导中选择“新建”，弹出规则向导，选择“邮件到达时检查”，按“下一步”，在检测条件中选中“大小在特定范围内”，在规则描述中点击“特定范围内”，弹出一个设置框，设置邮件大小“至少”为0，“至多”为2024kB，然后按“下一步”，在如何处理栏选择“永久删除该邮件”，按“下一步”，不添加例外规则，为该规则取名，最后点击“完成”。于是只要是大于2M的邮件，就会被删除。

　　例如Outlook Express中，点击“工具/收件箱助理/添加”，在对话窗口中根据信箱容量设置条件是“大于”2M，操作是“从服务器上删除”，于是只要是大于2M的邮件，就会自动从服务器上删除，从而保护了你的邮箱。

　　（b）在邮件服务器上设置过滤器，防范邮件炸弹

　　先打开一封炸弹E-mail，记下发信人的地址，然后登上邮件服务器，进入“邮箱配置”，设置“拒收过滤器”，把发炸弹人的地址输入到黑名单中，一旦收到这些人的信，就会自动在服务器上删除；设置“收件过滤器”，一旦邮件超过一定大小，也在服务器上删除。

　　（c）用删除E-mail炸弹的工具

　　用删除E-mail炸弹的工具如E-mail Chomper（下载地址http://www.xun.8m.com）在服务器上清除炸弹。

　　（d）谨慎使用“自动回信”

　　许多邮件服务器有“自动回信”功能，一旦对方发来一封信而你没有及时收取，邮件服务系统就会按你事先的设定自动给发信人回复一封确认信，如果发信人也使用自动回信功能，就会又发给你一封确认信，于是这种自动回复的邮件就会在你们之间重复发送，直到把双方的邮箱炸了为止。所以要小心使用“自动回信”功能。

　　（e）一些忠告

　　不要在网上到处粘贴你的邮箱地址，特别是ISP给你的邮箱，因为这种邮箱撑破后是要交费的，如果受到E-mail炸弹的攻击，你可能要为此破费几百元到上千元！去申请几个免费邮箱例如新浪http://www.sina.com.cn，免费邮箱不怕炸，炸了以后大不了不要了，再去申请一个就是了；不要向别人发送垃圾邮件，在聊天室或论坛上不要树敌，以免招致对方E-mail炸弹的报复；当别人不停地炸你邮箱时，你可以先打开一封信，然后在E-mail软件中设置过滤器选择不接收该地址的邮件，直接在服务器上删除。

　　（3）ICQ/QICQ炸弹的防范

　　如果你的ICQ/QICQ突然收到大量的重复垃圾信息，就说明你遭受了ICQ/QICQ炸弹的攻击。以前向别人发QICQ炸弹时会暴露自己的QICQ号码，现在的QICQ炸弹完全不会，甚至你没有QICQ也可以发QICQ炸弹。例如QICQbomb使用时只要填上对方的IP地址和QICQ号码，点击“开始”就可以向对方发QICQ炸弹。

　　防范方法：一般的防火墙对ICQ/QICQ炸弹是不起作用的，因为这些炸弹有自己的协议和端口，攻击的是操作系统的表层，而防火墙是防范对操作系统底层的攻击的。对付这类攻击，可用ICQ/QICQ专门的垃圾信息过滤器，它们不仅能阻挡攻击，还能隐藏自己的IP地址，黑客查不到你的IP地址，也就无法向你发送ICQ/QICQ炸弹了。

　　杀毒软件选择篇

　　由于笔者的计算机一般工作在Win2000环境下，所以下面只介绍Win2000平台上的杀毒软件。

　　一、Win2000杀毒软件使用技巧

　　运行DOS下的杀毒软件时你不能做其它事情，而Win2000杀毒软件却可以在后台运行。在杀毒时你还可以运行其它程序，笔者现在就是一边用Word写文章，一边在后台用“瑞星杀毒软件”杀毒的！

　　安装了Win2000杀毒软件例如“瑞星”后，要杀毒时，只要鼠标右键点击盘符，在弹出的菜单中选择“瑞星杀毒”，就会进行杀毒。杀毒前最好点“高级设置”进行设置：选中查压缩文件、仅查程序文件、查杀未知宏病毒。为了防止杀毒软件安装在硬盘上将来本身染上病毒，可以把它们安装在C盘上（主引导分区，NTFS格式），因为只有在NTFS格式的C盘上，Win2000才能对目录进行安全保护。

　　下面我们对杀毒软件所在目录进行写保护，拒绝任何写操作来防止杀毒软件本身染毒：鼠标右键点击杀毒软件目录，弹出菜单，选“属性”，在属性的常规窗口下选中“只读”，按“应用”后，在弹出的窗口中选择“将更改应用于该文件夹、子文件夹和文件”，把该目录定义为只读；然后进入属性的安全界面，在“拒绝”、“写入”上打勾，最后按“应用”退出。

　　二、如何选择反毒软件

　　面对众多的反毒软件，如何选择优秀的产品？选择反毒产品应该遵循以下原则：

　　1.能查杀病毒的数量要多，安全可靠性要强

　　Internet的发展使病毒的传播更加迅速，导致病毒的全球化。杀毒软件所能查杀的病毒数量、查毒率应该是反病毒产品性能的重要指标。除了能查杀的病毒足够多外，还应要求反病毒产品在杀毒时不破坏文件，运行可靠，杀毒时不出死机现象，既安全又可靠。

　　2.要有实时反病毒的“防火墙”技术

　　要求反病毒产品具有这种技术。实时防毒技术就是时刻监视系统状况，对病毒传播的各种途径如软盘、光盘、网络、网络驱动器等进行严密的封锁，将病毒阻止在操作系统之外，这种技术应直接在操作系统底层打上反病毒补丁，使操作系统本身具备反病毒功能。采用这种技术要保证与操作系统、应用程序等“和睦相处”，还要注意由于实时部分需常驻内存而带来的系统效率问题，要使实时部分内存占有量尽可能小。

　　3.内存占有量要低

　　现代的杀毒软件必须具备防火墙技术，要提供实时监控软件常驻内存，既然常驻内存，就要消耗系统资源，这就要求杀毒软件体积越小越好，特别是实时监控软件内存占有量要低，否则会影响系统的运行。

　　4.要能够查杀压缩文件中的病毒

　　为了减少传输时间，因特网上的文件大都是压缩过的。压缩文件中的数据与原来的大不相同，隐藏在压缩包文件中的病毒代码由于被压缩，同样也“面目全非”。有压缩文件反病毒功能的杀毒软件，应该掌握所有通用压缩格式的压缩算法，深入分析压缩文件的数据内容，查杀其中的病毒；还要掌握自解压文件（后缀为EXE的压缩文件）的算法，能展开自解压文件，分析其中的每个文件，清除病毒。

　　5.恢复数据能力要强

　　一旦病毒发作，杀毒软件应能提供应急恢复功能，修复被破坏的硬盘分区表，然后恢复分区上数据。

　　三、Win2000杀毒软件主流产品一瞥

　　1.瑞星千禧世纪版

　　2.KILL2000专用版

　　3.金山毒霸

　　4.PC-007

　　5.McAfee VirusScan

　　6.Norton AntiVirus2000

　　7.AntiViral Toolkit Pro

　　注：编者在Win2000杀毒软件主流产品一瞥中进行了精简，主要考虑到本刊上期已刊载过一篇非常详细的2000年桌面反病毒产品民间测试报告，读者可参阅该文。（李红）