基于對比分析的計算機病毒防護研究

◆張國防

（海南軟件職業技術學院 海南 571400）

基于對比分析的計算機病毒防護研究

◆張國防

（海南軟件職業技術學院 海南 571400）

計算機病毒、網絡蠕蟲和木馬不僅盜竊用戶數據、泄露用戶隱私，而且癱瘓計算機網絡，使人們遭受嚴重的損失。如何根本有效地防范這些威脅成為目前丞待解決的問題。本文對計算機病毒、網絡蠕蟲和木馬的傳播方式、感染對象和寄生載體的相同點和不同點分別進行了對比分析研究，提出了硬件技術、軟件技術等防范策略，為網絡管理員和計算機用戶提供了借鑒意義。

計算機病毒；網絡蠕蟲；木馬；策略

0 引言

前段時間“勒索病毒”爆發，在短短一天多的時間，全球近百個國家的超過10萬家組織和機構被攻陷，無數寶貴資料被病毒加密鎖定，全球網絡動蕩不安。雖然后來“勒索病毒”被解除，但由此造成的影響又一次給我們敲響了警鐘。計算機用戶機密數據被泄露、破壞，不明原因的網絡癱瘓等情況時有發生，成為令計算機用戶最為頭疼的問題。本文通過對比分析計算機病毒、網絡蠕蟲和木馬傳播方式、步驟和傳播對象的異同，提出了防范這些威脅的硬件措施和軟件措施，為網絡安全人員的日常管理維護工作和計算機用戶安全地使用計算機提供依據。

1 各種威脅的傳播方式

1.1 計算機病毒的傳播方式

計算機病毒的代碼附著在一些可執行程序或普通文件，通過網絡、外來的移動硬盤、U盤等存儲設備進入本地計算機，當用戶開機打開這些文件時，計算機病毒立即進入系統引導區并占用內存資源。在計算機病毒占用內存期間通過復制自身，感染在內存中打開的未被感染的文件和計算機可執行程序，當被感染的文件被保存在磁盤時，計算機病毒也就被保存在磁盤上而潛伏下來，而這一過程對用戶來說是透明的。當磁盤上大多數可執行程序和文件被感染，由于計算機內存資源被占用，運行速度降低，表現為卡機、死機、可執行程序打不開，磁盤文件被破壞甚至被刪除等現象。而病毒的變異能力使得病毒可以躲避殺毒工具的檢測，防毒殺毒工具無法清除，用戶被迫重裝系統成為最終的選擇，這又會造成用戶數據的丟失和時間精力的浪費[1]。

1.2 網絡蠕蟲的傳播方式

網絡蠕蟲是通過網絡傳播，無需用戶干預即可獨立運行的程序，它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播，它會掃描和攻擊網絡上存在系統漏洞的節點主機，通過局域網或者國際互聯網從一個節點傳播到另一個節點[2]。網絡蠕蟲進入網絡后，會主動掃描一些網段的IP地址的目標系統，當掃描到具有漏洞的目標系統后利用該漏洞對目標系統進行攻擊。當目標系統被成功攻擊后，網絡蠕蟲會通過網絡復制自身到目標系統，然后以此節點主機為基點繼續向外傳播去感染更多的脆弱性系統，期間并不需要計算機用戶的任何干預。網絡蠕蟲的特征就是透過網絡主動感染目標系統，以消耗系統帶寬、內存、CPU為主，最終癱瘓整個網絡。

1.3 木馬的傳播方式

木馬是基于客戶機/服務器模式的計算機程序，木馬通過偽裝成用戶需要的正常功能的程序捆綁在頁面圖片或游戲上誘使用戶點擊而下載到主機上立即在后臺運行，即是關閉圖片或游戲，木馬一直運行。即便是關機后再開機，木馬就在后臺立即運行并且接受遠端木馬客戶端的控制，盜竊或者損壞主機上的文件，或者利用該主機發動DOS攻擊等，造成主機上機密文件泄露或損壞。

2 計算機病毒、網絡蠕蟲和木馬的比較分析

2.1 相同

（1）目標的脆弱性：計算機病毒、網絡蠕蟲和計算機木馬都易感染防護措施弱、系統有漏洞的主機。沒有防火墻、殺毒軟件病毒庫版本低、系統軟件的漏洞沒有打補丁、沒有嚴格限制外來移動硬盤和U盤的使用、對網頁不明的鏈接缺少警覺性就點擊打開、打開來歷不明的電子郵件等存在諸如此類問題的主機往往成為被攻擊的目標。

（2）消耗資源：計算機病毒、網絡蠕蟲和計算機木馬在被感染的主機開機期間都占用計算機資源，尤其是內存資源。這些被占用的資源嚴重消耗計算機的CPU時間，造成用戶計算機速度慢、卡機、死機和網絡癱瘓現象，使用戶需要緊急處理的事務長時間得不到響應而造成損失。

（3）隱蔽性強：計算機病毒寄生在計算機的文件和可執行程序中、網絡蠕蟲運行在系統內存的節點中、計算機木馬偽裝成正常程序隱藏在磁盤而運行于后臺，它們都有很強的隱蔽性，甚至能強行關閉主機的殺毒軟件，用戶使用查毒工具也很難發現它們。

2.2 區別

（1）傳播的主動性方面：網絡蠕蟲的運行和傳播不需要計算機操作者的任何干預，主動掃描探索發現有漏洞或者脆弱的目標系統直接將自身復制過去，其傳播具有非常強的主動性。計算機病毒和木馬從一臺主機傳播到另一臺主機需要計算機操作者的某種操作才可以傳播，木馬一旦在主機后臺運行就不會在計算機內部反復傳播，但計算機病毒會不斷反復傳播給計算機中其它的文件和可執行程序。

（2）感染的對象方面：計算機病毒感染的對象是計算機文件系統。網絡蠕蟲和木馬感染的對象是有相應漏洞和脆弱的計算機系統，但網絡蠕蟲感染計算機的內存中各個關鍵節點的內存資源并以此為節點尋找網絡上其它目標系統，而木馬一旦種植在目標主機上就在后臺悄悄運行，等待遠程控制端的指令。

（3）寄生的載體方面：計算機病毒需要寄生載體，寄生載體通常是計算機文件或者可執行程序。網絡蠕蟲不需要寄生載體。計算機木馬通常捆綁在在圖片或者游戲上。

3 計算機病毒、網絡蠕蟲和木馬的防護措施計算機病毒、網絡蠕蟲和計算機木馬能夠在網絡和終端系統上造成嚴重危害，網絡管理員有多種手段予以消除。

3.1 硬件措施

部署硬件防火墻是目前比較流行的防御網絡威脅的方案，目前市面上主流的硬件防火墻有Cisco、H3C、Juniper、華為和深信服等品牌的企業級防火墻，這些企業級防火墻各有不同實力背景的廠家技術支持，性能有些差異，價格也分上中下等級，企業用戶可以根據自己計算機使用環境選擇比較適合自己的產品。

3.2 軟件措施

給每臺主機安裝軟件防火墻。軟件防火墻分為收費版和免費版的防火墻，殺毒聲譽好的是卡巴斯基，以查殺速度快、能力強在殺毒軟件行業排名第一，是需要付費使用的。國內的軟件防火墻有360、瑞星和電腦管家等，這些軟件不收費，但攔截和殺毒的能力一般，且占用主機資源和留有后臺為大多數用戶詬病。如果有電子商務業務的個人主機，建議安裝使用卡巴斯基軟件防火墻。

3.3 其它安全策略

包括定期更新升級殺毒軟件的病毒庫和系統打補丁。可以設置讓系統自動升級病毒庫和打補丁，每天或者每周一次計算機全面檢測殺毒，不使用外來移動硬盤、U盤，不點擊來歷不明的網絡連接，不打開來歷不明的電子郵件等。

4 結束語

當前網絡技術的飛速發展，計算機病毒、網絡蠕蟲和木馬的技術越來越高，網絡中所暴露出來的漏洞越來越多，計算機使用人員也越來越多越來越復雜。為了降低計算機病毒、網絡蠕蟲和木馬的事件的發生、減少用戶的損失，要求計算機從業人員要宣傳普及計算機病毒、網絡蠕蟲和木馬的危害常識，提高全民的計算機安全防范意識。

[1]D.M. Kienzle, M.C. Elder.Recent worms: A Survey and Trends[R]. Washington DC：In Proceedings of the 2003 ACM workshop on Rapid Malcode，2003.

[2]王業君.網絡蠕蟲的機理與防范[D].中國科學院軟件研究，2005.