计算机病毒与Windows 2000 百事可乐 2001年 2期 #2 前言    谈到计算机病毒,很多人有一种谈虎色变的感觉,它曾经给整个世界带来无法估计的损失。这已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。Windows 2000是Windows NT的升级版本,采用NT技术作为其内核。对于大多数人来说,他们认为在病毒面前,Windows NT是坚不可摧的,事实真是如此吗?下面我们就主要谈谈病毒与Windows NT的关系。(注:本文所提到的Windows NT包括Windows 2000)   #1 一、计算机病毒的定义和特点    计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活而对计算机资源进行破坏的程序或指令集合。它具有四个重要特性:破坏性,传染性、潜伏性、隐蔽性。计算机病毒通常的扩展途径是将自身的具有破坏性的代码复制到其他的有用代码,它的传染是以计算机系统的运行及读写磁盘为基础的,先驻留内存再寻找可攻击的对象,判断条件是否满足,决定是否可传染,将病毒写入磁盘系统。现在的因特网引入了新的病毒传送机制。附着在电子邮件信息中的病毒,仅仅在几分钟内就可以破坏大量数据并让造成严重损失。    病毒主要寄生在磁盘引导扇区或可执行程序中。它们占据引导扇区而将原引导扇区内容及病毒的其他部份放到磁盘的其他空间,并给这些扇区标志为坏簇。这样,系统的一次初始化,病毒就被激活了。寄生在正常可执行程序中的病毒一旦程序执行就会被激活,病毒可以寄生在源程序的首部也可以寄生在尾部,但都要修改源程序的长度和一些控制信息,以保证病毒成为源程序的一部分,并在执行时首先执行它。这种病毒传染性比较强。(^02080501a^)   #1 二、NT对病毒具有免疫力吗?    病毒会感染Windows NT下的文件吗?很多用户对Windows NT的防毒功能有所误解,认为Windows NT对病毒具备免疫力。但事实并非如此。Windows NT的确具备一个硬件概念层(HAL),防止软件直接写硬件设备,也就隔绝了病毒传播的一些技术。此外,由于NT禁止了32位应用程序之间的内存访问,所以能够防止病毒通过内存传播且能监视应用程序的装入。但是,病毒能够侵入NT系统。并且,随着Windows NT服务器与工作站流行,出现了不少以NT为攻击目标的病毒。如首例在Windows NT中隐藏、繁殖和传播的病毒:RemoteExplorer。该病毒使用远程管理系统技术监视网络、查看域名管理登录情况并收集数据,然后借此向其他系统,甚至不同的网络传播。它的行为类似已登录的系统管理员,程序开始后以RemoteExplorer服务的方式运行,不熟悉网络或毫无戒心的人可能根本不会产生怀疑,即使停止服务也无法清除病毒。此病毒还会加密数据、文本和其他文件,使之无法使用。该病毒在NT的驱动器目录下创建副本,并命名为IE403r。sys,在服务器上则安装为RemoteExplorer服务。它还携带一个DLL文件,如果用户发现并试图删除该文件,它就会产生另一个DLL副本,以使自身继续传播。RemoteExplorer还能以Unix和基于Alpha的系统作为该病毒的载体。   #1 三、计算机病毒的分类及对NT系统的影响    病毒按工作环境可以分为六种类型:主引导记录(MBR)病毒、DOS病毒、Win9x病毒、宏病毒、Windows NT病毒和Internet病毒。下面我们根据其传播方式看看各种病毒对Windows NT的影响。   #2 1.主引导(MBR)病毒    引导区病毒是通过将自身代码复制到磁盘的引导扇区的方法进行传播,此类病毒驻留内存,以感染插入驱动器的其他磁盘,并传播。它是独立于操作系统的,运行在所有的MS-DOS兼容系统上。引导区病毒也会影响到Windows NT。与传统的DOS引导不同,Windows NT引导不依赖BIOS调用。当操作系统将控制权交给NT后,NT以其自身方式开始引导过程,如果病毒修改引导信息并其进行加密,则NT启动会失败并在屏幕上出现错误信息的提示。另外一种病毒是不修改引导信息,NT因为使用自身的代码装入时,会完全忽略病毒代码,此时也不会对NT带来多大的破坏。    NT是如何被引导区病毒感染呢?一种是感染软盘感染系统,但因为NT的HAL禁止直接写硬件,而病毒则通常是以直接写硬件的方式感染系统,所以,如果此时NT已经取得控制权,则系统不易被感染。第二种是如果直接使用被病毒感染的磁盘来启动系统,那么系统就会读入染毒的引导代码,并复制到本地硬盘上,这样系统就被染毒了,因为此时NT尚未取得系统控制权,无法自保。   #2 2.DOS病毒    DOS病毒有两类:一种是传染性极强的病毒,将病毒代码装入内存,继续感染其他程序;另一种是在执行被感染的应用程序时才起作用。    这类病毒对NT系统会有什么影响呢?第一种病毒是内存驻留病毒,在DOS及Windows 3.x下很活跃。由于在此系统下所有的应用程序共享相同的内存,病毒可以轻而易举地访问各应用程序,并通过DOS调用来感染这些应用程序。在NT 3.5版以后,16位应用程序共享相同的内存空间。病毒驻留内存后,可以感染其他共享内存空间的16位应用程序,但是,病毒对32位应用程序丝毫不起作用。对于第二种病毒,它是将自身附在应用程序的代码里,而且仅在运行应用程序时才开始发挥作用,并且主要感染其他可执行应用程序,传染速度很快。如CIH病毒就是只传染可执行文件。   #2 3.Windows 9x病毒    现在许多病毒是专门针对Windows操作环境编写的,这些病毒在Windows NT下也起作用,因为NT的很多服务及功能与Windows兼容,Windows 病毒能够直接攻击相同VDM(虚拟DOS机)上的16位应用程序并感染数据。   #2 4.宏病毒    宏病毒是感染Microsoft Word图文文件。DOC和模板文件。DOT等的一种专向病毒。它以VB(WORD_BASIC)高级语言的方式直接混杂在文件中,并加以传播,如WordConcept与WordNuclear病毒。这种病毒在Word文档之间进行传播。当被感染的Word文档打开时,这种病毒首先将自身传播到Word模版中,以感染将来的其他Word文档。Word宏病毒主要破坏是:不能正常打印;封闭或改变文件名称或存储路径,删除或随意复制文件;封闭有关菜单;最终导致无法正常编辑文件。在打开Microsoft Word或Excel文件时,宏病毒也可以改变NT用户数据库,从而达到破坏NT系统的目的。宏病毒还能在不同的平台间交叉感染。据称WordConcept既能感染Windows NT系统,又能感染Macintosh系统。   #2 5.本地Windows NT病毒    病毒攻击Windows NT的方式有很多,包括设备驱动程序的方式,动态连接库的方式和标准执行程序的方式,由于这些方式均内含了可执行代码,而且是由操作系统执行,所以传播起来很快。    能在NT服务器或NT工作站上传播的第一种病毒程序是RemoteExplorer病毒,它最突出的特征是不需要用户的介入(如使用软盘、E-mail等),它本身就能移动、传输和复制。它有下列特征:    (1)该病毒通过对目标可执行文件进行压缩而传播。    (2)它在NT系统中的NT驱动程序目录(NTDriverdirectory)中建立一份自身的副本,从而实现在此系统中的安装,并且能够自行调用IE403R。SYS。它还用“RemoteExplorer”的名字作为一个服务进行安装。    (3)利用窃取域管理员(domain/administrator)的安全特权以进行扩散,因为窃取到此特权后即可向其它Windows NT系统传输其病毒文件。一旦进入系统,它就可以感染文件进行压缩而且随机地加入加密的数据。    (4)Windows NT是此病毒进行扩散的主要基地。其他的Windows操作系统可以容纳受此病毒感染的文件,但是不能支持它继续扩散。    (5)它能够感染任何EXE文件,并利用一个压缩程序(a.k.a.GZIP,这是一个UNIX程序)使得该文件失效。    (6)它对于TXT和HTML格式等数据文件使用一种加密算法。它随机地选择一个目录,对于符合其设定原则的文件进行感染,对于不能感染的文件则进行加密。    (7)它是常驻在内存的。但此病毒不增加系统的负荷。    (8)它带有一个DLL文件,用以支持其感染过程,如果删除此DLL,它还会产生另一份副本。此病毒还有一个时间程序,其目的是设定在每星期六的下午3点到星期日的上午6点这段时间内,加速搜索和感染过程。    另外,一种代号为“FunLove”的新型病毒,也是专门攻击Windows NT文件安全系统的。它通过把自己附加在有。.exe、.scr和。ocx扩展名的应用程序上,感染32位的Windows和Windows NT文件。当用户访问一台服务器上被感染的文件后,就会感染上这种新型病毒。对于电脑系统被感染的普通用户来说,FunLove的危害并不是特别严重,它会使一个文本对话框出现在用户的屏幕上,所显示的内容是“FunLovingCriminal”,然后会试图重新启动用户的电脑,造成用户的数据丢失。不过,当FunLove感染了一个网络管理员的电脑之后,问题就会变得严重许多,它会危及系统的安全设置,结果会导致通过这台被感染电脑前来访问的所有用户全都拥有了网络管理员的权限。   #2 6.Internet病毒    有一种Internet病毒是通过E-Mail扩散,破坏特定扩展名的文件,并使邮件系统变慢,甚至导致网络系统崩溃。该病毒感染力极强,它搜索可以使用的共享网络邻居,寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标。有些病毒修改WSOCK32。DLL系统文件,以使受感染的系统在发送邮件时增加自动发送附件的功能。如I_WORM。MTX病毒,是一个感染Windows 9X/NT系统的32位PE格式的文件型病毒,感染Windows NT系统目录下的EXE文件及DLL文件等。它同时属于Internet网络蠕虫类。    另一种是利用远程控制的木马,通过TCP/IP(典型的Internet通讯协议)网络远程访问另一台电脑的特洛伊木马,从而以Telnet服务等方式控制受害电脑,它主要攻击Windows 95/98/NT系统。该类病毒复制、运行、删除、发送或者接受目标电脑的文件,另外还可以进行一些其它操作如不断地开关受害电脑等,获得PPP类型的连接口令(例如拨号上网口令),甚至Telnet其它电脑的登录口令。如BackDoor。XTCP,和IRC蠕虫BS/Millenium,通过常规病毒入口将特洛伊木马安置在电脑系统中。它由两个组件构成:INSTALL.EXE和XTCP.EXE,并且修改Windows NT注册表以实现远程控制。   #1 四、如何作好NT的病毒防护呢?    由于病毒不但会利用NTServer作为中间媒体进行传播,还能破坏NT自身系统。所以,对NT Server的病毒防护,要尽可能作到:在以一个管理员用户的身份注册时,切忌使用未知应用程序,而且减少在服务器的控制台上的程序运行,限制网络上用户的使用权限。当然,仅仅如此是远远不够的,病毒随时都能够突破用户的防护线,我们还应作到以下几个方面。   #2 1.定期备份    有效的备份是必不可少的,这样可以最大限度降低系统因病毒破坏而带来的损失。当系统数据因病毒发作而丢失后,总是能够很好地恢复数据。    但备份也得注意经常查杀病毒,因为病毒也存在于文件之中,当被感染的文件备份到磁带后,病毒也同样备份了。这也意味着从磁带上恢复时,病毒也恢复了。   #2 2.创建紧急引导盘和最新紧急修复盘    如果系统被MBR病毒感染,NT一般都不能正常启动,此时,可以使用一张紧急引导盘帮助Windows NT启动。一旦NT开始了引导过程,引导型病毒则再也不会造成任何破坏了。但对于其他类型的病毒,在NT启动后仍有可能侵袭系统。所以,为了消除隐患,系统启动后也须杀除病毒。    紧急修复盘是由NT系统内的应用程序RDISK.EXE来创建的。它不同于启动盘,使用修复盘时,NT系统必须已经启动。它包含了标志NT系统的信息,如引导系统信息、注册部件信息等。当系统被病毒攻击后,通过使用最新的紧急修复盘按不同的选项来恢复系统,可以保证NT系统的最佳运行。   #2 3.使用NTFS文件系统    NTFS可以限制单个文件或目录的用户访问权限,无论是网络上还是本地机上的文件访问,此限制均是非常有用的。但当访问远程机上的NTFS与FAT时,访问权限是全开放的。如一个用户需对共享的某个文件进行写操作,则该用户对该目录其他文件同时也具备了写权限,但如果使用的是本地NTFS,写权限只针对该文件。   #2 4.以公用账户注册    如果我们以私有账户进入NT执行某个含有病毒的文件,该病毒就与我们的私有账户有相同的用户权限,并还可能会暗中创建一个新用户并赋予该用户管理员权限,该账户随之毁坏整个系统。若使用公共账户,病毒的行为会受到限制。   #2 5.使用病毒检测软件    使用反病毒软件包也是防治病毒的较好办法。在Windows NT防病毒软件市场上通常有KV300、瑞星、金山毒霸、Norton防病毒工具等。