小心病毒(上、下) 李肖峰 1999年 第38期 07版 今年的4月26日可能是某些朋友刻骨铭心的一天,在这一天“CIH”电脑病毒猖狂肆虐,摧毁了世界上近百万台电脑。国内也有不少用户面对损坏的电脑主板和硬盘中被恶意删除的数据捶胸顿足、欲哭无泪。而CIH病毒只是横行于电脑世界中数万个病毒中的一种,还有各种各样的病毒仍在窥视和伺机入侵我们心爱的电脑,因此了解病毒以及如何防范病毒的基本知识对每一个电脑初学者都是很有必要的。 #1 一、了解病毒 #1 1.电脑病毒和BO黑客程序 什么是电脑病毒?电脑病毒(以下简称病毒)并不是像医学上所指的那种微生物,而是由某些软件高手故意编写的一段恶意指令(程序)。 病毒有两个主要特点,一是主动传染性,也就是自我复制性。一旦用户运行了被病毒感染的程序,它就会隐藏在系统中不断感染所有运行的程序;二是隐蔽性,各种病毒基本上都不以自己的本来面目出现,而是将自己隐藏在被感染过的可执行文件中进行传播。 所有的病毒都像一种特殊的“定时炸弹”,只要带有病毒的电脑在运行过程中能满足病毒设计者所预定的条件,病毒都将突然发作,其后果则根据病毒的性质而定。有些病毒只是和用户开个玩笑,显示几行文字或一幅图片,有的则开始改写硬盘的引导区,破坏系统引导和删除文件等,如果是前面所说的那种既破坏硬盘数据,又攻击主板BIOS芯片的CIH病毒那危害性就更大了。 什么是BO黑客程序?它实际上是一种专门用来控制和操作远端电脑的软件(Back Orifice)。这种软件分本地和远端两部分,其中远端部分被黑客通过电子邮件或可供下载的文件暗中发送到将被遥控的电脑上,如果该电脑的主人在不经意中运行了这个程序,那这种BO程序就会自动修改用户电脑的启动文件甚至注册表,以后只要这台电脑登录因特网,黑客就可以通过网络找到它并在自己的电脑上对它进行遥控操作,例如拷贝、修改或删除文件,甚至能自动关闭或重新启动那台电脑。试想一下如果你的电脑被人暗中装上了这种“黑客”软件,后果是否很可怕呢?因此“黑客”软件是一种不是病毒但比病毒还要危险的“病毒”。 #1 2.病毒对电脑的危害 尽管病毒有很多种,但它们对电脑的攻击和破坏主要有以下三个方面: 一是感染并破坏电脑硬盘或软盘的引导扇区,或用错误数据改写电脑主板可擦写型BIOS芯片,造成整个系统崩溃甚至主板损坏(需更换或重写BIOS)。 二是感染系统文件和所有可执行文件(应用程序),故意干扰电脑硬件运行,大量消耗系统资源以降低电脑运行速度和效率。 三是任意删除和更改用户软、硬盘上各类文件,破坏用户资料。 #1 3.病毒的种类 如果从专业角度讲,病毒根据它对电脑的攻击对象细分为引导型、文件型以及混合型,但如果按运行环境(因为病毒实际上也是程序)划分又可以将病毒分为DOS病毒、Windows病毒和跨操作系统的宏病毒。 其中DOS病毒主要运行于MS DOS及其兼容操作系统,例如以前比较出名“米开朗基罗”、“黑色星期五”等病毒,另外由于Windows 3.x/9x仍然依托于MS DOS,所以DOS病毒仍然可能感染Windows平台的文件,攻击Windows系统。 Windows病毒主要是指运行于Windows 3.x或Windows 9x中的病毒。由于Windows 3.x已基本淘汰,所以目前Windows病毒主要是运行于Windows 9x中的纯32位病毒,例如“Happy”电子邮件病毒和今年4月26日震惊世界的CIH病毒。 除DOS和Windows病毒外,还有一种专门攻击微软Office系列Word和Excel文件的宏病毒。例如今年轰动美国的“Melissa”梅丽莎病毒就是其中的一种。 宏病毒是利用Office系列特有的“宏(Macro)”编写的病毒。“宏”与DOS中的“批处理”文件很相似,由一系列VBA语句组成。建“宏”的目的原本是为了提高Office的工作效率。宏病毒与上面所说的DOS病毒、Windows病毒的主要不同之处是它可以跨平台运行,除了Windows环境,它还能运行在其它使用微软Office系列软件的操作系统例如OS/2或苹果机的MAC OS中。宏病毒一般在打开受感染的Office(主要是Word)文档后进行传染,宏病毒发作时一般表现为自动新建文件(窗口),改变文档文件的属性(只读或读、写型),甚至删除一部分特定的文件等。虽然目前宏病毒的破坏力没有其它病毒那么严重,但仍然是我们重点防范对象之一。 #1 4.病毒的传播途径 了解病毒的主要传播途径对我们防范病毒能起很重要的作用。目前国内的病毒主要是通过盗版光盘和因特网进行传播。特别是盗版光盘由于制作者缺乏完善的查毒、杀毒手段,所以很多病毒都通过它们进行传播,例如前一阶段的盗版《金山词霸Ⅱ》和《开天辟地》光盘中都有CIH病毒。 现在还有很多朋友通过因特网下载各种软件和文件,因此也会有病毒有意或无意中混在一些供下载的文件中被用户下载到自己的电脑中。 #1 5.常见杀毒软件 目前使用较多的杀毒软件有江民公司的“KV300+”、瑞星公司的“瑞星9x”、冠群金辰公司的“KILL 98”和时代先锋公司的“行天98”,另外还有乐亿阳趋势公司的“PC-cillin”等。以上这几种防毒软件除具有DOS、Windows和宏病毒的查、除能力外,也能清查BO等黑客程序。 由于目前的病毒主要横行在Windows 9x系统,所以以上几种杀毒软件还具有Windows平台中的实时监控功能。而前段时间国家公安部门在电视上公开推荐的PC-cillin在实际使用时对病毒的实时监控能力则更强一些。 这几种杀毒软件的使用方法相似。在进行查毒时,一般首先使用查毒盘或另外专门制作的无毒系统引导盘重新冷启动系统后进行查毒。而对电脑进行实时监控时,则需要将用于Windows 9x中的监控软件先安装在系统中并且每次引导Windows 9x时常驻内存后才能使用。 另外,几乎所有的杀毒软件都能事先备份正常的硬盘引导区,然后在以后硬盘被病毒感染时,先清除病毒再将引导区重新拷贝回硬盘以保证硬盘能正确引导系统。 #1  二、防范病毒   通过“走近病毒”我们对病毒的特点、传播方式和对电脑的危害已经有了初步了解,勉强也算是知己知彼吧,为了自己心爱的电脑的安全,我们可以采用以下措施对病毒进行防范。 #1  1.御敌于国门之外   病毒只有侵入才能对电脑造成破坏,因此不让病毒有进入我们电脑的任何机会,“御敌于国门之外”是对病毒最有力的防范。   不让病毒进入电脑的最基本措施就是检查所有准备上机运行的软件光盘或软盘。对于普通用户来说,最简单的检查方法就是使用防毒软件对所有准备上机的光盘和软盘进行查毒扫描。   使用杀毒软件查毒的方法有两种,一是在Windows系统中安装病毒实时监控软件,二是在准备使用某张光盘或软盘前运行杀毒软件进行检查。其中第一种方法的优点是可在电脑运行时及时发现通过网络、软件光盘或软盘等渠道进入系统的病毒,防止电脑受到感染。但这种实时监控目前还只能在电脑运行Windows 9x时进行。第二种方法是直接检查准备使用的光盘或软盘,防止病毒进入电脑,但对电脑上网时通过邮件或下载软件进入电脑的病毒缺乏及时的防范。   所以如果想将病毒杜绝在电脑之外,最好的方法是在电脑上安装具有实时监控功能的防病毒软件。根据目前笔者了解的反病毒软件的发展情况,目前国内市场上的KV300、瑞星、PC- cillin和KILL等防毒软件都具备实时监控功能。另外根据笔者使用体会,其中PC- cillin的实时监控功能更强一些,它可以在读盘或拷贝某一文件(包括已被压缩的文件)时就能及时发现其中的病毒。 #1  2.定期检查电脑,防患于未然   除了在电脑上安装具有实时监控功能的防毒软件外,由于目前电脑病毒的危害性很大,特别是CIH病毒破坏主板BIOS芯片,让大多数用户无法自己修复,因此定期对电脑进行主动查毒非常必要。查毒的方法是用另外制作的干净的系统软盘启动电脑,然后再运行防毒软件对电脑系统进行检查。使用另外制作的干净系统盘启动电脑的主要目的是保护用户所购买的防毒软件软盘。因为如果直接使用防毒软件盘启动系统,那么在使用过若干次后这张防毒软件原盘很可能就会损坏。制作好系统启动软盘后记住将盘上的防写滑块拨到防写位置,以防病毒感染系统启动盘。 #1  3.合理设置硬盘分区,预留补救措施   根据江民公司和瑞星公司公布的用杀毒软件恢复被CIH病毒破坏的硬盘数据,如果用户的硬盘分成多个逻辑盘,那么当C盘为FAT32格式并且容量大于1G,硬盘上的数据被CIH病毒破坏后使用防毒软件可将C盘上数据恢复98%,其余逻辑盘的数据可恢复99%;但当C盘为FAT16且容量小于2G时,那么只能将C盘数据恢复5%,而其余逻辑盘的数据也只能恢复95%。因此,我们应尽量将电脑的硬盘设成FAT32格式,分区容量也应大于1G以上,这样万一硬盘数据和文件被CIH病毒破坏时至少还能恢复98%,这样就大大提高电脑对病毒侵害的恢复能力。 #1  4.Ghost软件备份硬盘,快速恢复系统   安装过Windows 95/98的朋友都知道,如果从头安装系统并且完成硬件驱动程序更新至少需要30分钟以上,因此如果事先使用Ghost软件将硬盘(至少是系统分区)备份下来,这样一旦在系统被病毒破坏时就能在几分钟内迅速恢复系统。 #1  5.及时升级防毒软件,提高防范能力   由于电脑界中的个别好事之徒依然没有闲着,继续在炮制新的病毒以表现自我或者报复社会,同样,各防毒软件开发单位也在不断地升级版本以提高防范病毒的能力并通过因特网和BBS站点为用户提供免费升级的下载文件。从电脑的安全出发,拥有各种防毒软件的朋友一定不要怕麻烦,应该尽快通过各种正当途径获取相应的升级文件后对自己的防毒软件进行技术升级。而且根据笔者使用经验,各种防毒软件升级都很简单,以瑞星为例,只要你运行由瑞星公司提供的相应版本升级文件后,程序就能自动将文件拷贝到原瑞星9x软盘中进行升级。虽然KV300稍微麻烦一些,但也只是将升级文件解压后用手工拷贝到KV300原软盘中即可完成版本升级。   以上关于病毒的介绍和病毒的防范可供初学电脑的朋友参考。最后提醒大家:善良的人们啊,你们可要警惕!