◆張國防

（海南軟件職業(yè)技術(shù)學(xué)院 海南 571400）

基于對(duì)比分析的計(jì)算機(jī)病毒防護(hù)研究

◆張國防

（海南軟件職業(yè)技術(shù)學(xué)院 海南 571400）

計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬不僅盜竊用戶數(shù)據(jù)、泄露用戶隱私，而且癱瘓計(jì)算機(jī)網(wǎng)絡(luò)，使人們?cè)馐車?yán)重的損失。如何根本有效地防范這些威脅成為目前丞待解決的問題。本文對(duì)計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的傳播方式、感染對(duì)象和寄生載體的相同點(diǎn)和不同點(diǎn)分別進(jìn)行了對(duì)比分析研究，提出了硬件技術(shù)、軟件技術(shù)等防范策略，為網(wǎng)絡(luò)管理員和計(jì)算機(jī)用戶提供了借鑒意義。

計(jì)算機(jī)病毒；網(wǎng)絡(luò)蠕蟲；木馬；策略

0 引言

前段時(shí)間“勒索病毒”爆發(fā)，在短短一天多的時(shí)間，全球近百個(gè)國家的超過10萬家組織和機(jī)構(gòu)被攻陷，無數(shù)寶貴資料被病毒加密鎖定，全球網(wǎng)絡(luò)動(dòng)蕩不安。雖然后來“勒索病毒”被解除，但由此造成的影響又一次給我們敲響了警鐘。計(jì)算機(jī)用戶機(jī)密數(shù)據(jù)被泄露、破壞，不明原因的網(wǎng)絡(luò)癱瘓等情況時(shí)有發(fā)生，成為令計(jì)算機(jī)用戶最為頭疼的問題。本文通過對(duì)比分析計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬傳播方式、步驟和傳播對(duì)象的異同，提出了防范這些威脅的硬件措施和軟件措施，為網(wǎng)絡(luò)安全人員的日常管理維護(hù)工作和計(jì)算機(jī)用戶安全地使用計(jì)算機(jī)提供依據(jù)。

1 各種威脅的傳播方式

1.1 計(jì)算機(jī)病毒的傳播方式

計(jì)算機(jī)病毒的代碼附著在一些可執(zhí)行程序或普通文件，通過網(wǎng)絡(luò)、外來的移動(dòng)硬盤、U盤等存儲(chǔ)設(shè)備進(jìn)入本地計(jì)算機(jī)，當(dāng)用戶開機(jī)打開這些文件時(shí)，計(jì)算機(jī)病毒立即進(jìn)入系統(tǒng)引導(dǎo)區(qū)并占用內(nèi)存資源。在計(jì)算機(jī)病毒占用內(nèi)存期間通過復(fù)制自身，感染在內(nèi)存中打開的未被感染的文件和計(jì)算機(jī)可執(zhí)行程序，當(dāng)被感染的文件被保存在磁盤時(shí)，計(jì)算機(jī)病毒也就被保存在磁盤上而潛伏下來，而這一過程對(duì)用戶來說是透明的。當(dāng)磁盤上大多數(shù)可執(zhí)行程序和文件被感染，由于計(jì)算機(jī)內(nèi)存資源被占用，運(yùn)行速度降低，表現(xiàn)為卡機(jī)、死機(jī)、可執(zhí)行程序打不開，磁盤文件被破壞甚至被刪除等現(xiàn)象。而病毒的變異能力使得病毒可以躲避殺毒工具的檢測(cè)，防毒殺毒工具無法清除，用戶被迫重裝系統(tǒng)成為最終的選擇，這又會(huì)造成用戶數(shù)據(jù)的丟失和時(shí)間精力的浪費(fèi)[1]。

1.2 網(wǎng)絡(luò)蠕蟲的傳播方式

網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播，無需用戶干預(yù)即可獨(dú)立運(yùn)行的程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播，它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另一個(gè)節(jié)點(diǎn)[2]。網(wǎng)絡(luò)蠕蟲進(jìn)入網(wǎng)絡(luò)后，會(huì)主動(dòng)掃描一些網(wǎng)段的IP地址的目標(biāo)系統(tǒng)，當(dāng)掃描到具有漏洞的目標(biāo)系統(tǒng)后利用該漏洞對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。當(dāng)目標(biāo)系統(tǒng)被成功攻擊后，網(wǎng)絡(luò)蠕蟲會(huì)通過網(wǎng)絡(luò)復(fù)制自身到目標(biāo)系統(tǒng)，然后以此節(jié)點(diǎn)主機(jī)為基點(diǎn)繼續(xù)向外傳播去感染更多的脆弱性系統(tǒng)，期間并不需要計(jì)算機(jī)用戶的任何干預(yù)。網(wǎng)絡(luò)蠕蟲的特征就是透過網(wǎng)絡(luò)主動(dòng)感染目標(biāo)系統(tǒng)，以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主，最終癱瘓整個(gè)網(wǎng)絡(luò)。

1.3 木馬的傳播方式

木馬是基于客戶機(jī)/服務(wù)器模式的計(jì)算機(jī)程序，木馬通過偽裝成用戶需要的正常功能的程序捆綁在頁面圖片或游戲上誘使用戶點(diǎn)擊而下載到主機(jī)上立即在后臺(tái)運(yùn)行，即是關(guān)閉圖片或游戲，木馬一直運(yùn)行。即便是關(guān)機(jī)后再開機(jī)，木馬就在后臺(tái)立即運(yùn)行并且接受遠(yuǎn)端木馬客戶端的控制，盜竊或者損壞主機(jī)上的文件，或者利用該主機(jī)發(fā)動(dòng)DOS攻擊等，造成主機(jī)上機(jī)密文件泄露或損壞。

2 計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的比較分析

2.1 相同

（1）目標(biāo)的脆弱性：計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)木馬都易感染防護(hù)措施弱、系統(tǒng)有漏洞的主機(jī)。沒有防火墻、殺毒軟件病毒庫版本低、系統(tǒng)軟件的漏洞沒有打補(bǔ)丁、沒有嚴(yán)格限制外來移動(dòng)硬盤和U盤的使用、對(duì)網(wǎng)頁不明的鏈接缺少警覺性就點(diǎn)擊打開、打開來歷不明的電子郵件等存在諸如此類問題的主機(jī)往往成為被攻擊的目標(biāo)。

（2）消耗資源：計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)木馬在被感染的主機(jī)開機(jī)期間都占用計(jì)算機(jī)資源，尤其是內(nèi)存資源。這些被占用的資源嚴(yán)重消耗計(jì)算機(jī)的CPU時(shí)間，造成用戶計(jì)算機(jī)速度慢、卡機(jī)、死機(jī)和網(wǎng)絡(luò)癱瘓現(xiàn)象，使用戶需要緊急處理的事務(wù)長(zhǎng)時(shí)間得不到響應(yīng)而造成損失。

（3）隱蔽性強(qiáng)：計(jì)算機(jī)病毒寄生在計(jì)算機(jī)的文件和可執(zhí)行程序中、網(wǎng)絡(luò)蠕蟲運(yùn)行在系統(tǒng)內(nèi)存的節(jié)點(diǎn)中、計(jì)算機(jī)木馬偽裝成正常程序隱藏在磁盤而運(yùn)行于后臺(tái)，它們都有很強(qiáng)的隱蔽性，甚至能強(qiáng)行關(guān)閉主機(jī)的殺毒軟件，用戶使用查毒工具也很難發(fā)現(xiàn)它們。

2.2 區(qū)別

（1）傳播的主動(dòng)性方面：網(wǎng)絡(luò)蠕蟲的運(yùn)行和傳播不需要計(jì)算機(jī)操作者的任何干預(yù)，主動(dòng)掃描探索發(fā)現(xiàn)有漏洞或者脆弱的目標(biāo)系統(tǒng)直接將自身復(fù)制過去，其傳播具有非常強(qiáng)的主動(dòng)性。計(jì)算機(jī)病毒和木馬從一臺(tái)主機(jī)傳播到另一臺(tái)主機(jī)需要計(jì)算機(jī)操作者的某種操作才可以傳播，木馬一旦在主機(jī)后臺(tái)運(yùn)行就不會(huì)在計(jì)算機(jī)內(nèi)部反復(fù)傳播，但計(jì)算機(jī)病毒會(huì)不斷反復(fù)傳播給計(jì)算機(jī)中其它的文件和可執(zhí)行程序。

（2）感染的對(duì)象方面：計(jì)算機(jī)病毒感染的對(duì)象是計(jì)算機(jī)文件系統(tǒng)。網(wǎng)絡(luò)蠕蟲和木馬感染的對(duì)象是有相應(yīng)漏洞和脆弱的計(jì)算機(jī)系統(tǒng)，但網(wǎng)絡(luò)蠕蟲感染計(jì)算機(jī)的內(nèi)存中各個(gè)關(guān)鍵節(jié)點(diǎn)的內(nèi)存資源并以此為節(jié)點(diǎn)尋找網(wǎng)絡(luò)上其它目標(biāo)系統(tǒng)，而木馬一旦種植在目標(biāo)主機(jī)上就在后臺(tái)悄悄運(yùn)行，等待遠(yuǎn)程控制端的指令。

（3）寄生的載體方面：計(jì)算機(jī)病毒需要寄生載體，寄生載體通常是計(jì)算機(jī)文件或者可執(zhí)行程序。網(wǎng)絡(luò)蠕蟲不需要寄生載體。計(jì)算機(jī)木馬通常捆綁在在圖片或者游戲上。

3 計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的防護(hù)措施計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)木馬能夠在網(wǎng)絡(luò)和終端系統(tǒng)上造成嚴(yán)重危害，網(wǎng)絡(luò)管理員有多種手段予以消除。

3.1 硬件措施

部署硬件防火墻是目前比較流行的防御網(wǎng)絡(luò)威脅的方案，目前市面上主流的硬件防火墻有Cisco、H3C、Juniper、華為和深信服等品牌的企業(yè)級(jí)防火墻，這些企業(yè)級(jí)防火墻各有不同實(shí)力背景的廠家技術(shù)支持，性能有些差異，價(jià)格也分上中下等級(jí)，企業(yè)用戶可以根據(jù)自己計(jì)算機(jī)使用環(huán)境選擇比較適合自己的產(chǎn)品。

3.2 軟件措施

給每臺(tái)主機(jī)安裝軟件防火墻。軟件防火墻分為收費(fèi)版和免費(fèi)版的防火墻，殺毒聲譽(yù)好的是卡巴斯基，以查殺速度快、能力強(qiáng)在殺毒軟件行業(yè)排名第一，是需要付費(fèi)使用的。國內(nèi)的軟件防火墻有360、瑞星和電腦管家等，這些軟件不收費(fèi)，但攔截和殺毒的能力一般，且占用主機(jī)資源和留有后臺(tái)為大多數(shù)用戶詬病。如果有電子商務(wù)業(yè)務(wù)的個(gè)人主機(jī)，建議安裝使用卡巴斯基軟件防火墻。

3.3 其它安全策略

包括定期更新升級(jí)殺毒軟件的病毒庫和系統(tǒng)打補(bǔ)丁。可以設(shè)置讓系統(tǒng)自動(dòng)升級(jí)病毒庫和打補(bǔ)丁，每天或者每周一次計(jì)算機(jī)全面檢測(cè)殺毒，不使用外來移動(dòng)硬盤、U盤，不點(diǎn)擊來歷不明的網(wǎng)絡(luò)連接，不打開來歷不明的電子郵件等。

4 結(jié)束語

當(dāng)前網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的技術(shù)越來越高，網(wǎng)絡(luò)中所暴露出來的漏洞越來越多，計(jì)算機(jī)使用人員也越來越多越來越復(fù)雜。為了降低計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的事件的發(fā)生、減少用戶的損失，要求計(jì)算機(jī)從業(yè)人員要宣傳普及計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬的危害常識(shí)，提高全民的計(jì)算機(jī)安全防范意識(shí)。

[1]D.M. Kienzle, M.C. Elder.Recent worms: A Survey and Trends[R]. Washington DC：In Proceedings of the 2003 ACM workshop on Rapid Malcode，2003.

[2]王業(yè)君.網(wǎng)絡(luò)蠕蟲的機(jī)理與防范[D].中國科學(xué)院軟件研究，2005.