計算機實驗室病毒防治淺析

許 琦

華南理工大學廣州汽車學院計算機實驗中心，廣東 廣州 510800

計算機病毒（Computer Virus）最早出現在70年代David Gerrold的科幻小說《When H.A.R.L.I.E. was One》中，1983年Fred Cohen的博士論文將計算機病毒科學定義為“一種能把自己（或經演變）注入其他程序的計算機程序”。現根據《中華人民共和國計算機信息系統安全保護條例》計算機病毒被明確定義為“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒具有相當多可怕的特點：寄生、傳染、潛伏、隱蔽、破壞等，在信息化社會發展的道路上，這類病毒事件接連不斷，它對計算機資源的損失和破壞力不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災難。

筆者所在的部門為高等學府的計算機實驗中心，擁有超過500臺計算機，全天候開放，除了承擔全院的計算機課程實驗課外，還承擔著考證培訓、畢業設計、自主學習的任務，是教學活動的重要場所。互聯網的開放也使各種新型計算機病毒以及其他危險程序不斷涌現，之前已有“灰鴿子”、“熊貓燒香”等事件讓機房處于癱瘓狀態，給教學和管理帶來很大的麻煩。為了保證實驗教學正常運行，如何在實際工作中對病毒進行防治，是實驗室管理者值得探討的一個重要課題。

計算機病毒按種類分為系統病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、種植程序病毒、破壞性程序病毒、捆綁機病毒等，計算機機房常見的病毒多為前三種。病毒的傳統傳染渠道通常有以下幾種：硬盤傳染、可讀寫移動磁盤傳染、網絡傳染等。常見病毒除了破壞性大、善于偽裝外，還有以下2個顯著特點：1）傳染性—當一段稱之為“病毒”的程序代碼進入計算機并得以執行之后，它會瘋狂搜索其他符合傳染條件的程序或存儲介質，如果目標確定就將其自身插入其中自我繁殖，如果一臺計算機已經染毒不及時處理，病毒就會循序擴散，其速度之快令人難以預防；2）潛伏性—有些精巧的病毒程序進入系統之后不馬上發作，可以一段時間隱藏在合法文件中對系統其它文件進行感染，不用專用軟件檢測程序還檢查不出來，一旦像定時炸彈一樣爆發，就讓程序員措手不及。

病毒對計算機資源的破壞力之大超出我們的想象，表現如下：運行一段時間后計算機系統運行速度無故減慢；CPU和內存的使用率突然增高；頻繁發生藍屏重啟死機的事故；文件丟失或者損壞，無法復制粘貼和刪除；磁盤卷標發生變化，系統對磁盤訪問異常或者不識別磁盤；更改系統時間甚至逆向計時；文件時間和屬性等發生變化；用戶口令執行錯誤；異常要求用戶輸入密碼；虛擬報警；外部設備工作異常等等。處于校園網中的機房不僅是計算機之間直接相互聯通，而且開放網絡，學生之間經常通過可移動磁盤交換文件，病毒可以從多個入口進入機器。一旦有一兩臺計算機感染病毒，就很可能會造成大批量計算機同時感染病毒，只要出現以上的某種危害現象，都足以嚴重影響到教學質量。

計算機病毒如此來勢洶洶，一旦發作就如黃河決堤不可收拾。提高計算機操作系統的安全性能將大部分的病毒扼殺在搖籃里，即使不小心感染病毒，采取有效的方法也能將病毒去除。為了防治計算機病毒，得從源頭開始了解。計算機實驗室感染病毒一般來自3個方面。一方面來自操作人員。公共計算機實驗室的開放時間長，上機人數多，還要開放網絡。學生攜帶U盤、移動硬盤、光盤等介質在計算機播放使計算機感染病毒的機會特別大；二是來自開放網絡的威脅，只要是網線連通外網，就能獲得網絡上的信息，這些信息沒有經過篩選，造成瀏覽網頁、下載文件、打開郵件等任何步驟都可能中毒。來自網絡的威脅不僅來自本地網絡的用戶，還可以來自網絡上的任何一臺計算機，它可以對網絡通信協議造成威脅，也可以對物理傳輸線路實施攻擊，不僅攻擊軟件系統，也攻擊硬件系統；三是來自系統漏洞的威脅。盡管操作系統和應用軟件已經打了上千個補丁，但每天都會有新的漏洞被發現，病毒如此無孔不入，讓系統不存在絕對的安全。另外如果過于強調提高系統的安全性又會使系統多數時間用于病毒檢測，從而失去實用性和方便性。

計算機機房由于機器數量大，不可能一臺臺裝機。系統維護的時候一般是先做好一臺母機，通過網絡克隆的方式安裝到全部機器。為盡量保證系統的安全，安裝母機時最好斷網，即使是內網也有在同一網絡的計算機，要斷絕一切感染病毒的可能。裝系統時使用光盤啟動，并且使用正版系統盤，光盤保證是可用的沒有攜帶病毒的。由于是學生用機，一般不用保留文件資源，建議在安裝之前把整個硬盤格式化了，杜絕了殘留的文件資源隱藏病毒的可能。這一點非常重要，如果為了備份而保留一個哪怕是很小的軟件，剛裝完系統就發現隱藏的病毒，那又得從頭開始。

裝完系統和驅動之后，安裝各種應用軟件之前應盡快安裝防病毒軟件。這個是防病毒的主要手段，病毒已經進入計算機之后是依靠防病毒軟件來清除的。市面上殺毒軟件很多，可以本著兼容性、占用內存小、操作方便等原則來選取。本機房使用過卡巴斯基、諾頓等殺毒軟件都各有千秋，其中Macfee、AVG軟件在機房得到全面推廣。這兩款殺毒軟件都是免費升級軟件，Macfee軟件采取微軟公司的源代碼，操作界面非常友好，除了能偵測和清除病毒，還有VShield自動監視系統。AVG軟件占用內存小，使用更靈活，配合硬盤保護卡使用能更合理地運用計算機資源。

計算機病毒如此無孔不入，對系統打上必要的補丁也是阻止病毒傳播的一個重要手段。學生用機一般使用windows操作系統，如果從官方網站上下載補丁的速度過慢，可以使用第三方集成的微軟升級補丁包以離線升級的方式來完成升級。以后在系統批量維護時也應該定時更新補丁。除了操作系統的補丁之外，對于網絡中一些重要的系統，比如數據庫系統、網關系統等也應該及時更新相應的補丁。

保護卡是機房管理與維護的主要措施。筆者工作的實驗室通過配合使用上海萬欣公司的網絡版保護卡和機房管理系統大大提高管理效率。網絡版的保護不僅可以網絡克隆參數和數據，更重要是日常的安全保護。學生機一般設為系統分區和數據分區，由于實驗室是對全院學生開放，數據隨時可能被修改和刪除，所以沒有意義長時間保存數據，為使計算機處于安全狀態，通過保護卡將系統分區設為每次開機還原，數據分區設為每天一次還原，換句話說，任何對硬盤分區的修改都是無效的，這樣起到對操作系統保護的作用。

管理人員還要針對教學系統的使用要求，做出一些必要的安全策略。首先要開始系統防火墻，在內外網間建立起一個安全的網關，從而保護內網不受非法用戶的侵入；其次設定好系統管理員的密碼，如果學生用機都以管理員身份登錄的話，可以將開機設為不顯示歡迎界面，從而隱藏開機密碼，或者直接讓學生設置成普通用戶登錄系統；禁止文件共享，或者為共享文件夾設置一個密碼；禁止SSDPSRV服務，這個服務主要用于啟動家庭網絡設備上的UPnP設備，服務同時啟動5000端口，可能造成DDOS攻擊，讓CPU使用率達到100%，立刻造成計算機崩潰，它還會不斷往外界發送數據包，影響網絡傳輸速率；禁止at命令、禁用資源管理器；取消其他不必要的服務，例如關閉遠程協助、遠程桌面等功能；通過組策略禁用可移動磁盤等等。通過這些措施優化學生用機，使系統本身就具備一定的安全能力。

上述方法基本都是從預防方面來控制病毒入侵計算機。日常管理中還是要加強對網絡進行監控。當一個機房開放一定時間后，發現有計算機大面積運行速度變慢、卡機甚至是死機的現象，要留意是否是計算機在通過網絡廣播大量的數據，發送攻擊數據包使計算機的CPU超負荷工作，如果有計算機每秒發送上百個數據包，那一定是網絡中毒了，而且機器還在尋找下一個傳染目標，最直接的方法就是重啟計算機還原系統的數據。另外，也要督促學生文明上機，不上不健康的網頁和下載不明來源的文件。這類網站和文件數量太多，而且經常會易名變化，有條件最好開啟程序監控系統，將其拉入禁止程序庫，禁得了一個是一個。

如果上述方法和實時殺毒監控軟件都殺不了病毒，就關掉交換機進入DOS下查殺病毒，不過速度會比較慢，而且需要一臺臺查殺。之前如果有系統備份的話，為了不浪費時間，重新ghost一遍來得更干凈徹底。

病毒和反病毒作為一種技術對抗長期存在，防病毒是IT工作者不休的話題。作為一名計算機實驗室的管理員，要從優化計算機系統和硬件配置、加強日常的程序監控和網絡監控等措施來組織病毒在計算機實驗室傳播。由于計算機病毒變化不斷，需要管理人員對各種危害性大的、新型的病毒進行全面的了解，才能找到有效的對抗方法，及時解決突發情況，保證教學正常運行。

[1]馮味.計算機病毒及網絡安全的對策研究[J].網絡通訊與安全，2007，8.

[2]王齊.高校計算機實驗室病毒的防范策略[J].科技信息，2008(28).

[3]李冰.網絡攻擊的六大趨勢[J].科技廣場，2002.