个人网络安全手册──病毒与木马 斑马多媒体工作室 2001年 22期 病毒的确让人害怕,我们难免会遇到它,只有了解病毒的相关知识,对症下药,才能最终解决问题!   电脑病毒一步步从无到有、从小到大发展到今天,有一个漫长的历程。   随着Internet网的发展,使病毒传播更加方便、更加广泛,邮件病毒、网络蠕虫病毒已成为病毒主力,我们应对它们严加防犯。   #1一、计算机感染病毒后的主要症状   (1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。   (2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增大。   (3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。   (4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。   (5) 由于病毒程序的异常活动,造成异常的磁盘访问。   (6) 由于病毒程序附加或占用系统引导部分,使系统导引变慢。   (7) 无故丢失数据和程序。   (8) 中断向量发生改变。   (9) 打印出现问题。   (10) 死机现象增多。   (11)生成不可见的表格文件或特定文件。   (12) 系统出现异常动作,例如:突然死机,又在无任何外界介入下自行起动。   (13)出现一些无意义的画面问候语等显示。   (14)程序运行出现异常现象或不合理的结果。   (15) 磁盘的卷标名发生变化。   (16) 系统不认识磁盘或硬盘,不能引导系统等。   (17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。   (18)在使用没有写保护的软盘时屏幕上出现软盘写保护的提示。   (19) 异常要求用户输入口令。   #1二、几种典型的病毒   #21.宏病毒   宏是微软公司为其OFFICE软件设计的一个特殊功能,这些系统内置了一种类BASIC的宏编程语言。用户编制“宏”这一功能的目的是为了让用户能够用简单的编程方法,来简化一些经常性的操作。但由于宏容易编制,这也为那些心怀叵测的人提供了一种简单高效的制造新病毒的手段。   宏病毒与有用的正常宏采用相同的语言编写,只是这些宏的执行效果有害,而且在编写上利用了Word允许宏自动执行这一特点,一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒。如果其他用户打开了感染病毒的文档,宏病毒又会转移到他们的计算机上。   感染Normal.dot模板是宏病毒的最常用的传染方式。此外,与系统启动相类似,Word在启动过程中会自动执行 C盘根目录下名为Autoexec.dot文档中包含的宏和office\startup\(是指Word的安装目录)目录内的模板文件所包含的宏,有些病毒通过这两个“突破口”感染Word系统,使每次启动后的Word都成为带毒环境。   早期的宏病毒破坏方式往往是更改所附着的文档内容、扰乱文档的正常打印、开启一个无法关闭的对话框或不断开启新的文件直到系统资源耗尽、Word运行出错为止等。随着Office新版本的推出,微软不断加强宏的功能,宏病毒的危害也就越来越大。前一段流行的Melissa病毒是利用宏来对E-mail管理程序Outlook通讯录中记录的前五十个地址发信,而最近较有影响的July Killer(七月杀手)宏病毒的破坏方式则是产生一个只有一条命令“deltree/y c:\”的Autoexec.bat文件来替代你现有的该文件,当你下次启动机器时这条指令就会删除C盘中的所有文件, 同时该病毒还会使“工具”菜单下的“宏”、“模板和加载项”、“自定义”、“选项”等选项无法工作,以达到阻止采用编辑宏等一般方法来手动清除病毒的目的。   目前国内最流行的宏病毒有TaiWan No.1、CAP、SetMode、July killer、OPEY.A等。遇到宏病毒时不必惊慌失措,用户可以选择目前一些较能妥善处理宏病毒的杀毒软件,如安全之星、金山毒霸、KV3000等。   通过电子邮件传播计算机病毒,是近年来病毒爆发性流行的一个重要渠道,并产生了巨大的危害。由英国网络病毒调查公司MessageLabs近日进行的调查发现,去年一年是各种电子邮件病毒出现最多的一年,种类和数量较之前年增加了3倍。   #22.邮件病毒   长期以来,人们对于邮件病毒的防范与处理总是处于被动挨打的状态。一方面,目前的杀毒软件对于邮件系统的监控力度不够理想,不能对邮件进行有效的实时监控,不能及时发现病毒。另外对于附着在邮件中的病毒不能有效杀灭,往往只能连同邮件一起删除,造成用户的可用信息丢失。另一方面,邮件病毒在不断发展中已经变得越来越隐蔽,破坏力越来越大。它们有时伪装成文本文件,让用户放松警惕,或者在用户仅仅是浏览邮件的过程中释放出来。   以往几乎所有的电子邮件病毒均为附件带毒。我们收到邮件后只要不打开附件,就不会感染上病毒。但是新型的邮件病毒的邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活,如“Romeo & Juliet”(罗密欧和朱丽叶)、“Happy Time”(欢乐时光)等,也有人说这才是真正意义上的邮件病毒。   下面是最近出尽风头的几种邮件病毒的发病症状:   (1)“梅莉莎”病毒   W97M/Melissa病毒传染的对象是Word 97和Word 2000文件。当用户打开已感染有该病毒的文件时,梅莉莎便传染用户系统同时,病毒通过用户收发带毒的电子邮件互相传染,而且传染方式非常隐蔽。“梅莉莎”病毒的具体表现症状是:   ①当用户打开的文件感染有该病毒时,病毒首先检查注册表中是否有梅莉莎的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa?”=“... by Kwyjibo”   ②利用Visual Basic指令建立一个Outlook对象从Outlook的全域地址表中获取成员地址信息,将下列信息以电子邮件方式,自动发送到地址表中的前50个邮箱(一次发送50封邮件)。其中:邮件主题为:“Important Message From-”正文为“Here is that document you asked for ... don't show anyone else ;-)”。此后,病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.DOC”(注意:附件的文件名并不只有这一种)。   ③当用户接收到带毒的邮件并打开时用户的Word系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时,如4月27号的4点27分,病毒将打开一个被传染的文件在当前的光标位置插入下列信息:“Twenty-two points plus trIPle-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.”   ④值得注意的是梅莉莎在传染Word 2000时首先从注册表中检查其安全保护级别如果注册表中HKEY_CURRENT_U-   SER\Software\Microsoft\Office\9.0\Word\Security\“Level”的值不为0,将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word 97,则禁用菜单中“TOOLS/MACRO”选项。   (2)“欢乐时光”病毒   “欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,并生成如下文件:   c:\help.htm   c:\windows\help.vbs   c:\windows\help.hta   c:\windows\Untitled.htm   然后传染硬盘中的.htm、.vbs、.hta、.asp、.html后缀的文件。并修改注册表中部分键值:   1.在 HKEY_CURRENT_USER\Software 下新建 Help 项,然后新建 Count 键值用于记录病毒感染的次数;新建 wallPaper 键值用于记录修改后的墙纸文件;   2.修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\OutlookExpress\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)下键值 Message Send HTML 为 1;Compose UseStationery 为 1;Stationery Name为%Windows%Untitled.htm。   当用户安装了VB,该病毒将会自动给地址簿中的邮件地址发信,邮件标题为“Help”。但是,该病毒不能正确取到邮件地址,没有发件人,因而不能发送。如果收件箱中有未读邮件,则病毒会自动回复这些信件。如果未安装VB,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时,该病毒才会自动插入到邮件体中。   当染毒的计算机内日期的日+月=13时,该病毒就会逐步删除硬盘中的exe、dll类型文件,最后,导致系统瘫痪。   (3)“主页” 病毒   “主页”(Homepage)病毒也是一个加密的VBScript蠕虫 ,该蠕虫能将自身通过Outlook发送给地址簿中的所有收件人。该蠕虫还能打开一个包含有色情内容的站点。   病毒发作时,蠕虫将自身作为邮件发送给Outlook地址簿中的所有收件人,邮件主题为 Homepage。在发送邮件之前,蠕虫会搜索主题为 Homepage的邮件,一旦找到便将其删除。邮件发送完后,蠕虫创建下面的注册键:HKEY_CURRENT_USER\Software\An\mailed并将其值设为1,该注册键是用来防止蠕虫多次重复发送。此后,蠕虫随机选择一个色情网站并打开它。   附:另外,在邮件的使用中,还会有其他的安全隐患。邮件“炸弹”(它利用大量的无效信件进行轰炸)就是其中危害比较大的一种。如何对付这种“炸弹”攻击呢?我们给大家推荐一款软件: E-mail Chomper 2.01。   E-mail Chomper可以在不用下载信件内容的情况下,列出服务器上每封邮件的标题,寄信人及附加文件的大小。当用户发现一些不想下载的信件或是邮件炸弹时,便可将有关邮件删除即可。利用Foxmial等邮件系统的远程管理功能也可以达到此目的。   #23.木马病毒   还有一种特殊的病毒──木马,因为它造成的危害十分严重,所以越来越多地受到人们的关注。木马,也称为后门,用“瞒天过海”或“披着羊皮的狼”之类的词来形容木马程序一点也不为过,直截了当的说法是木马有两个程序,一个是服务器程序,一个是控制器程序,当你的计算机运行了服务器程序后,黑客就可以使用控制器程序进入你的计算机,通过指挥服务器程序达到控制你的计算机的目的。   (1)木马可能造成的危害如下:   可以从受害者的硬盘上查看、删除、移动、上传、下载、执行任何文件。这个文件管理功能是非常危险的。它可以使用户上传任何类型的文件,甚至是病毒、其它的特洛伊木马等,然后再运行它们。可以非常简单地把受害者的硬盘格式化。可以在受害者硬盘上打开一个FTP服务,并且设置一个指定端口,任何人都可以在你的机器上下载、上传、执行文件。   大多数的新的特洛伊木马有窃取受害者的隐藏密码的功能,包括拨号的密码和用户名。   (2)通用手工清除木马方法   木马的种类也很多,由于运行机理相差不大,所以对它们的查杀方法也都差不多,我们不再详述每种木马的清除方法,只告诉你应该遵循的步骤,这些步骤几乎对所有的木马都有效。   1.编辑win.ini文件,将[WINDOWS]下面的“run=木马程序”或“load=木马程序”更改为“run=”和“load=”;   2.编辑system.ini文件,将[BOOT]下面的“shell=木马文件”更改为:“shell=explorer.exe”;   3.用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序;   4.有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”(如BladeRunner“木马”),如果你删除它,“木马”会立即自动加上,这时你需要的是记下“木马”的名字与目录;然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。   #1三、安全防护   在实际操作中,无论是一般的病毒也好,还是木马病毒也好,仅用手工清除显得费力又难于清除干净。好在现在的杀毒软件都可以查找并清除绝大多数的病毒,如安全之星、金山毒霸、KV3000、瑞星等,所以我们可以结合杀毒软件来彻底查杀病毒。这里我们仅以金山毒霸为例进行说明。   #21.金山毒霸   双击安装光盘的安装文件(setup.exe)进入安装画面,根据提示选择相应选项即可顺利安装。   安装完成后重新启动计算机,金山毒霸自动运行,直接进入“控制中心界面”。在“控制中心界面”,用户可以选择需查杀的路径、发现病毒后的处理方式(如^22060104a^1)。   设置病毒防火墙。从“病毒防火墙”窗口的“病毒防火墙”菜单里选择“加载防火墙”来运行,让防火墙在后台工作,当你拷贝、运行程序时,它会对可能进入电脑里的病毒进行拦截。   高级选项的设置。在“控制中心”、“防火墙”的运行界面上点击“高级选项”的按钮,运行后,你可以设置“查毒”、“防火墙”、“更新”、“系统”四个部分。   建立应急盘,进行DOS下杀毒,或修复硬盘。选择菜单“工具”中的“创建应急盘”,依提示插入软盘制作应急盘。   病毒防治应该以预防为主,像我们上边所提到的金山毒霸的病毒防火墙就可以帮助我们降低感染病毒的几率。当然,仅仅依靠病毒防火墙,还不能完全预防病毒,尤其是木马类的病毒。这时候就应该考虑结合使用网络防火墙。   在上面的介绍中我们多次提到了防火墙的概念,它包括病毒防火墙和网络防火墙,这里还给大家推荐一款网络防火墙──天网防火墙。   #22.天网个人防火墙(2.0版)   天网防火墙个人版是一款免费的防火墙,操作简便,功能也不弱。你可以到天网的网站上(http://www.sky.net.cn)下载。下载后点击软件安装(setup)图标,按提示选择相应选项就可以顺利完成安装。首次运行时会弹出注册对话框,你可以到天网的网站上取得注册号。   天网防火墙的操作非常简单,即使你不熟悉网络也没关系,因为它已经帮你设置好了一系列安全规则,因此你不用做任何设置就可以马上投入使用,而且天网的每个菜单都有详细的使用说明,可以帮助你快速掌握软件的使用方法,在这里我们就不再详述其操作过程了。   需要注意的是天网的“安全规则设置界面”是系统最重要,也是最复杂的地方。如果你不熟悉网络,最好不要调整它,你可以直接使用默认的规则。如果你熟悉网络,就可以非常灵活地设计适合自己使用的规则。如果你既不熟悉网络,又不满足默认的设置,非要折腾两下子不可的话,那么了解安全设置规则每个选项的含义就很有必要了。   简单地说,规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。下面的名词解释可以帮助设置有效的规则。   点击“安全规则设置”按钮,进入安全规则设置界面(如^22060104b^2)。   在操作视窗栏里列出了所有规则的名称、该规则所对应的数据包的方向、该规则所控制的协议、本机端口、对方地址和对方端口及解释。在列表的左边为该规则是否有效的标志,如果标记为钩表示该规则有效,否则表示无效。当你改变这些标志后,请注意按保存键;在状态窗口里,列出了各条规则相应的说明文字,可作为参考。了解下面几个概念有助于你理解这些安全规则:       Ping:就是发送ICMP的报文,探测指定IP地址是否存活,若存活会返回到达的时间(本地IP和目标IP之间的速度);   ICMP:ICMP flood 攻击程序的攻击会导致被攻击机器崩溃;   IGMP:IGMP Nuck 攻击程序会导致某些机器(Windows 98/98se存在的漏洞)系统蓝屏,TCP/IP栈崩溃,机器重新启动;   FTP:传输数据的一种方式,打开时会形成一条通道,很多黑客软件就有这种功能;   UDP:使用QQ这类聊天工具时需要用到的协议;   TCP:Internet的标准协议,没有它就不能正常连接Internet;   DNS:域名解析,没有它大家就只能用IP地址访问站点,这就痛苦了;   机器名称:利用NetBIOS可以泄露机器的用户名称。   当你的机器接收到不安全(按照安全规则设置判断是否安全)的数据的时候,就会将这些数据的处理、时间、类型等数据记录在日志(^22060104c^3)里,让你分析数据的来源。   关于天网的使用我们就讲这么多了。另外,据可靠消息天网即将发布更为强大的个人防火墙,里面增加了修补系统漏洞、自动升级、应用程序控制、入侵监测、密码保护等新功能。个人用户的安全性这回又可以提高了。^22060104d^4可是好不容易弄到的新版天网防火墙截图哟!