计算机病毒的特点

计算机病毒安全培训

一、什么计算机病毒

计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明

确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机

使用并且能够自我复制的一组计算机指令或者程序代码”。

二、计算机病毒的产生

计算机病毒的产生：病毒不是来源于突发或偶然的原因．一次突发的停电和偶然的错误，

会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是

一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应

和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲

是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者

和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表

现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了

得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专

利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。

三、计算机病毒的特点

计算机病毒的特点：

（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，

而在未启动这个程序之前，它是不易被人发觉的。

（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复

制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。计算机病毒也会通过各

种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作

失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程

序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定

目标后再将自身代码插入其中，达到自我繁殖的目的。正常的计算机程序一般是不会将自身的

代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的

未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病

毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。

被嵌入的程序叫做宿主程序。

（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色

星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系

统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周

或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈

好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。

（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根

本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或

受到不同程度的损坏；

（6）计算机病毒的可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻

击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏

的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它

必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的

触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制

检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满

足，使病毒继续潜伏。

四、计算机病毒的命名

防病毒软件通常遵循业界通用的命名惯例来表示它检测和清除的病毒。某些病毒名称偶尔

也会有别于严格的业界标准。如果某种新病毒具有一系列具体特征并表明它是一个全新品

种，我们会将它冠名为某某“系列”。病毒研究人员根据病毒的某些特点或表现（例如文本串

或有效负载影响）来确定这一系列的名称。系列名称可以包括用来指定病毒字节大小的数值型

字串。研究人员使用这个名称可以方便地区别类似的病毒变种。

在病毒系列中，变种的名称由系列名称和后缀组成，例如BadVirus.a。后缀按字母顺序排

列，到z为止，然后再开始按aa形式排列，直到az有关竹的诗句 。再后来的病毒变种将使用后缀ba到bz，

依次类推，直到zz。如果以后又出现新的变种，则使用后缀aaa。

防病毒厂商采用的病毒名称可以包括前缀、中缀和后缀。

前缀

前缀指明病毒感染的文件类型或可能有害的软件运行的平台。感染DOS可执行文件的病

毒没有前缀。我们的命名惯例包括下列前缀：

A97M/感染MicrosoftAccess97文件的宏病毒。

APM/感染AmiPro文档和模板文件的宏病毒或特洛伊木马程序。

Bat/批处理文件病毒或特洛伊木马程序。这些病毒通常作为批处理或脚本文件运行，可

能会影响需要解释脚本或批处理命令的某些程序。这些病毒流动性很强，几乎能够影响可以运

行批处理或脚本文件的所有平台。这些文件本身通常使用BAT扩展名。

CSC/感染CorelDraw文档文件、模板文件和脚本CorelScript病毒或特洛伊木马程序。

IRC/InternetRelayChat脚本病毒。这种病毒使用早期版本的mIRC客户端软件分发病毒

或有效负载。

JS/用JavaScript语言编写的脚本病毒或特洛伊木马程序。

JV/可能有害的Java应用程序或小程序。

Linux/以ELF文件格式编写的、作用于Linux操作系统的病毒或特洛伊木马程序。

LWP/可能对LotusWordPro有害的软件。

MacHC/作用于AppleMacintoshHyperCard脚本语言的病毒或特洛伊木马程序。

MacOS/作用于AppleMacintoshOS6至9的病毒或特洛伊木马程序。

MSIL/用MicrosoftIntermediateLanguage框架（也称为.NET）编写的应用程序.

P98M/感染MicrosoftProject文档和模板的宏病毒或特洛伊木马程序。

PalmOS/作用于PalmPilot的病毒或特洛伊木马程序。

PDF/感染AdobePDF文件的程序。

Perl/用Perl语言编写的脚本病毒或特洛伊木马程序。

PHP/用PHP语言编写的脚本病毒或特洛伊木马程序。

PP97M/宏病毒。感染MicrosoftPowerPoint97文件。

SunOS/可能对SunSolaris有害的软件。

SWF/可能对Shockwave有害的软件。

Unix/作用于某个版本的UNIX的程序或Shell脚本。

V5M/感染VisioVBA(VisualBasicforApplications)宏或脚本的宏或脚本病毒或特洛伊

木马程序。

VBS/用VisualBasicScript语言编写的脚本病毒或特洛伊木马程序。

W16/在16位MicrosoftWindows环境(Windows3.1x)二三事作文 中运行的感染文件的病毒。

W2K/可能对32位MicrosoftWindows环境（尤其是WindowsNT、2000或XP）有

害的软件。

W32/在32位MicrosoftWindows环境（Windows95、Windows98或WindowsNT）

中运行的感染文件或引导区的病毒。

W95/在MicrosoftWindows95、Windows98和WindowsME环境中运行的感染文件的

病毒。

W97M/感染MicrosoftWord97文件的宏病毒。

WHLP/可能对32位MicrosoftWindows环境中WindowsHLP文件有害的软件。

WM/感染MicrosoftWord95文件的宏病毒。

X97M/感染MicrosoftExcel97文件的宏病毒。

XF/通过Excel公式感染MicrosoftExcel95或97的宏病毒。

XM/感染MicrosoftExcel95文件的宏病毒。

如下图所示，通过反病毒软件查杀此类病毒：

.499为前缀

病毒

特洛伊木马程序类的前缀

BackDoor-这样的名称表示属于类似特洛伊木马程序的可能有害软件。紧跟在类名称后的

附加字符表示一个系列（例如BackDoor-JZ）或一个名称（例如BackDoor-Sub7）。

AdClicker-重复访问广告赞助的网站。

Adware-不经允许而安装广告软件。

BackDoor-通过Internet或网络进行远程访问或控制。

Dialer-不经允许而播打电话。

DDoS-作为“分布式拒绝服务”组件运行。

Del-删除文件。

Downloader-从Internet下载软件，通常传送后门程序和密码盗窃程序，有时也传送病毒。

E单脚旋风 xploit-利用某个薄弱环节或软件的某个缺陷。

FDoS-表示“数据泛滥拒绝服务”组件。

KeyLog-记录击键以立即或以后传送给攻击者。

Kit-表示为制造病毒或特洛伊木马程序而设计的程序。

MultiDropper-留下几个特洛伊木马程序或病毒（通常是几个不同的“后门”）。

Nuke-利用远程计算机上某个软件的缺陷将计算机关闭。

下面图示都为前缀病毒

ProcKill-终止防病毒和安全产品的进程，并可能删除与这些应用程序相关联的文件。

PWS-盗窃密码。

Reboot-重新启动计算机。

Reg-不加询问而以您不需要的方式修改注册表。例如，降低安全设置或产生异常关联或

设置。

Spam-作为垃圾邮件发送工具运行。

Spyware-监控浏览行为或其他行为并向外发送信息，通常是未被请求的广告。

Uploader-向外发送计算机中的文件或其他数据。

Vtool-表示病毒作者或黑客使用的软件开发程序。

Zap-清空硬盘的部分或全部内容。

如下图所示，通过反病毒软件查杀此类病毒：

中缀

这些名称通常出现在病毒名称的中间。***ERT指定的这些名称可能与业界惯例不同。

.cmp.被病毒添加到现有可执行文件中的伴随文件。我们的防病毒软件会删除伴随文件以

防止它们进一步感染。

.下的古董级多重分裂病毒。

.ow.覆盖型病毒。表示会覆盖文件数据而且造成无法挽回的损失的病毒。必须删除这个

为特洛伊

木马程序类的前缀病毒

文件。

如下图所示，通过反病毒软件查杀此类病毒：

后缀

这些名称通常出现在病毒名称的最后。病毒名称可以有多个后缀。

例如，一个后缀可能表示病毒变种，而其他后缀负责提供附加信息。

@M速度比较慢的邮件发送程序。这种病毒通过电子邮件系统传播。它通常会立刻回复

收到的邮件、将自身附加在要发送的邮件中或者只发送到一个电子邮件地址。

@MM发送大量邮件。这种病毒不但能用标准技术自行传播，也能通过电子邮件系统传

播。

根据CARO（计算机防病毒研究组织）命名惯例，厂商可以采用以!字符开头的后缀。

我们的软件使用下列后缀：

apd附加的病毒。可以将其代码附加到文件中、但不能正确复制的病毒。

bat用BAT语言编写的软件组件。

cav钻空病毒。这表示将自己复制到程序文件“空洞”部分（例如全是零的区域）中的

病毒。

cfgInternet特洛伊木马程序（前缀通常为BackDoor-）的配置组件。

.1003为中缀

病毒

cliInternet特洛伊木马程序（前缀通常为BackDoor-）的客户端组件。

dam损坏的文件。因感染病毒而损坏或破坏的文件。

demo执行可能有害的操作（例如如何利用安全隐患）的程序。

dr负责放置病毒的文件。这个文件负责将病毒引入到宿主程序中。

gen常规检测。我们的软件程序不使用特定的代码串即可检测到这种病毒。

ini当它是另一种病毒的一个组成部分时，是一个mIRC或pIRCH脚本。

intd“故意”的病毒。这种病毒具有普通病毒的大部分特征，但不能正确复制。

irc可能有害的软件的IRC组件。

jsJavaScript中的可能有害的软件组件。

kit用“病毒设计工具”编写的病毒或特洛伊木马程序。

p2p通过点对点通讯功能发挥作用的可能有害的软件。例如Gnutella和Kazaa。

sfx特洛伊木马程序的自解压缩安装实用程序。

src病毒源代码。它通常不能复制或感染文件，但负责放置病毒的某些程序会将这些代码

添加到文件中从而使文件感染病毒。我们的产品通常会标记带有这种附加代码的文件，以便将

其删除。

sub替代病毒。它会替代宿主文件，这样感染了病毒的所有宿主都会具有同样的大小，而

且变成真正的病毒。（即覆盖型病毒的一个子类。）

svrInternet特洛伊木马程序（前缀通常为BackDoor）的服务器端组件。

vbs用VisualBasicScript语言编写的可能有害的软件组件。

worm一种能够自我复制的非寄生性病毒，或是一种可以通过将自身复制到远程计算机进

行传播或以任何文件传输方式（例如远程共享、点对点、即时通讯、IRC文件传输、FTP以

及SMTP）在网络中传播的病毒。

如下图所示，通过反病毒软件查杀此类病毒：

五、计算机病毒的发展史

病毒的出现是有规律的，一般情况下估算方法 一种新的病毒技术出现后，病毒迅速发展，接着反病

毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。

它可划分为：

DOS引导阶段

1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当

时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原

理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写

中断,影响系统工作效率,在系统存取磁盘时进行传播；

1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”；

DOS可执行阶段

1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶

路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用

时进行传染,并将自己附加在可执行文件中一些优美的句子 ,使文件长度增加。

1990年,发展为复合型病毒,可感染COM和EXE文件。

伴随、批次型阶段

为后缀

病毒

1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作，具有代表性的是

“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文

件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM，

这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及

属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作

系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和

口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒

类似的一类病毒。

幽灵、多形阶段

1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合

使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生

不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在

解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒

是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两

段以上的子程序方能解除。

生成器,变体机阶段

1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随

机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生

成，当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”，而变体机就是增加

解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机”VCL,它可以在瞬间制

造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解

码后查解病毒。

网络,蠕虫阶段

1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非

DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利

用网络功能搜索网络地址,将自身向下一地址进行传播，有时也在网络服务器和启动文件中存

在。

视窗阶段

1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,

它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和

API调用接口工作,解除方法也比较复杂。宏病毒阶段1996年,随着WindowsWord功能的增

强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档

等文件，在Excel和AmiPro出现的相同工作机制的病毒也归为此类，由于Word文档格式没

有公开，这类病毒查解比较困难；

互连网阶段

1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和

邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒；

爪哇(Java),邮件炸弹阶段

1997年,随着万维网（WoldWideWeb）上Java的普及,利用Java语言进行传播和资料获取

的病毒开始出现,典型的代表是JavaSnake病毒，还有一些利用邮件服务器进行传播和破坏的病

毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。

计算机病毒的危害性，计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而

且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的

任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系

研究生，23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台

计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，

引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988

年下半年，我国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算

机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的CIH、美丽莎等病毒更是给社

会造成了很大损失。

六、计算机病毒的危害

计算机病毒的主要危害有：

1．病毒激发对计算机数据信息的直接破坏作用

大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、

改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5

设置等。磁盘杀手病毒（D1SKKILLER），内含计数器，在硬盘染毒后累计开机时间48小时

内激发，激发的时候屏幕上显示“Warning!!Don'tturnoffpowerorremovediskettewhileDisk

KillerisProssing！”（警告！D1SKKILLERll1在工作，不要关闭电源或取出磁盘），改写

硬盘数据。被D1SKKILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。

2．占用磁盘空间和对信息的破坏

寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒

本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁

盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，

这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以

在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速

度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪

费。

3．抢占系统资源

除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就

必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内

存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。

计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些

有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。

4．影响计算机运行速度

病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：

（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的

正常运行状态既多余又有害。

（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒

也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的

CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千

条以至上万条指令。

（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明

显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。

5．计算机病毒错误与不可预见的危害

计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件

需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没

有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后

就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病

毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇

或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反

病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们

不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后

果是难以预料的。

6．计算机病毒的兼容性对系统运行的影响

兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反

之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一

般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。

7．计算机病毒给用户造成严重的心理压力

据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后

服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而

实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、

软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计

算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病

毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、

金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人

单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样

笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效

率，由此带来的无形损失是难以估量的。

电脑病毒对电脑系统可以造成很大的影响，大部份的病毒都是把电脑程式及数据破坏。下

面描述了病毒制造的不同破坏及影响：

有些电脑病毒例如FormatC(macrovirus)及StonedDaniela，当它们被触发时，会无条件

地把硬磁碟格式化及删除磁碟上所有系统档案以AOL4FreeTrojanHor为例子，它附在电子

邮件讯息上并以为档案名，其实它是用DOS的公用程式(utility)--

BATEXEC1.5版本由成批文件(batchfile)转换过来的〔这个公用程式是用来转换一些很大的成

批文件去更快的速度〕。这个TrojanHor首先会在DOS裏的不同目录找寻这

个档案,然后用这个档案把硬磁碟裏的所有档案删除，当档案被删除后,它会显示一个DOS错

误讯息：“BadCommandorfilename”以及一个猥亵的讯息(obscenemessage)。如果这病毒找不

到的话，它就不能把档案删除，但猥亵的讯息(obscenemessage)仍会出现。有

些病毒，如Monkey()及AntiEXE，会感染主启动记录(MasterBootRecord

MBR)及DOS启动磁区(DosBootSector)，之后它会降低记忆体及硬磁碟的效能，直至当我们

的用电脑时萤光幕上显示一些讯息或有其他损坏。

以AntiEXE为例子，在启动过程时载入的主启动记录(MBR)，该病毒会把这个没有被感

染的MBR贮存在硬磁碟中柱(Cylinder)O,边(Side)O,磁区(Sector)13的位置。然后病毒会把它

的病毒编码放在MBR裏，并且把已感染的MBR写在硬磁碟中柱(Cylinder)O,边(Side)O,扇区

(Sector)1的位置。当AntiEXE病毒在记忆体活跃时，它就会把由任何磁碟读取得来的有毒

MBR及或DBS重新传入一个清洁相同的地区(cleancounterpart)。随著在磁碟读取过程时把

MBR及或DBS安放,病毒会找寻一特定的*.EXE档案(它的身份到现在还没有知道)，然后把

档案破坏。

另一例子，OneHalf会把大约一半的硬磁碟编加密码，并且会显示一段讯息：“Diskisone

nykeytocontinue.”如果我们用一般的方法去除MBR中的病毒，所有在密码区的

数据都会流失。

七、怎样判断计算机是否中毒

1．平时运行好端端的电脑，却变得迟钝起来，反应缓慢，出现蓝屏甚至死机。

2.．程序载入的时间变长。有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一

个应用程序被载入时，这些病毒将执行它们的动作，因此要花更多的时间来载入程序。

3.．可执行程序文件的大小改变了。正常情况下，这些程序应该维持固定的大小，但有些病毒

会增加程序文件的大小。

4．对同样一个简单的工作，磁盘却花了要长得多的时间才能完成。例如，原本储存一页的文

字只需一秒，但感染病毒可能会花更多的时间来寻找未感染的文件。

5．没有存取磁盘，但磁盘指示灯却一直在亮。硬盘的指示灯无缘无故一直在亮着，意味着电

脑可能受到病毒感染了。

6．开机后出现陌生的声音、画面或提示信息，以及不寻常的错误信息或乱码。尤其是当这种

信息频繁出现时，表明你的系统可能已经中毒了。

7．系统内存或硬盘的容量突然大幅减少。有些病毒会消耗可观的内存或硬盘容量，曾经执行

过的程序，再次执行时，突然告诉你没有足够的内存可以利用，或者硬盘空间意外变小。

8．文件名称、扩展名、日期、属性等被更改过。

9．文件的内容改变或被加上一些奇怪的资料。

10．文件离奇消失。

11．最直接的表现就是，杀毒软件报警。

八、计算机中毒后的处理方式

现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护，但新病毒和木马，加上黑客

人工的入侵方式，电脑中毒的情况还是很普遍。尤其是上网的用户，一不留意就会中招。如何

防止中毒的技巧文章，大家已经看得很多了。那么万一中毒了，该如何处理呢?下面就谈谈中

毒后的一些紧急处理措施：

1．正在上网的用户，发现异常应首先马上断开连接

如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询

问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

（1）是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的;

还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源死机??这种情

况恶劣得多，你未保存和已弗里德里希二世 经放在硬盘上的数据都可能会受到部分或全部的损失。

（2）是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的

隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播病毒;还有就是黑客的手工入侵，

窥探你的隐私或是删除破坏你的文件。

处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线

电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。

2．中毒后，应马上备份转移文档和邮件等

中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完

的文耳朵后面 档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和

未处理的邮件要求在windows下备份，所以第一点建议您先不要退出windows，因为病毒一旦

发作，可能就不能进入windows了。

不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些病毒是专

门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等

你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

3．需要在windows下先运行一下杀CIH的软件(即使是带毒环境)

如果是发现了CIH病毒的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷

启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒

软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除病

毒，而是在于把CIH下次开机时候的破坏减到最低，以防它再次开机破坏主板的BIOS硬件，

那么就会黑屏，让你的下一步杀毒无法进行。

4．需要干净的DOS启动盘和DOS下面的杀毒

到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干

净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文

件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。所以请你也准备一个

DOS下面的杀毒软件来以防万一。

即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下

windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如

即使杀了CIH，微软的OUTLOOK邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏

见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处

的，交叉使用效果较理想。

5．如果有GHOST和分区表、引导区的备份，用之来恢复一次最保险

如果你在平时作了windows的GHOST备份，用之来镜像一次，得到的操作系统是最保险

的。这样连潜在的未杀光的木马程序也顺便清理了。

6．再次恢复系统后，更改你的网络相关密码

包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程

中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是

必要的。

九、计算机病毒的防御

1．用常识进行判断

决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不

予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件--因为

Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例

如，你看到的邮件附件名称是，而它的全名实际是，打开这个附件意味着

运行一个恶意的VBScript病毒，而不是你的.jpg察看器。

2．安装防病毒产品并保证更新最新的病毒定义码

建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的

是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是

与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，

从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”（LiveUpdate）

功能。

3．首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描

当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫

描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动

程序，当用户在初装其产品时自动执行。

4．插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描

确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都

会做自动的病毒检查。

5．不要从任何不可靠的渠道下载任何软件

这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认

定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法

肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做

病毒扫描。

6．警惕欺骗性的病毒

如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性

质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，

如大蜘蛛杀毒软件的网站，证实确有其事。这些欺骗性的病毒，不仅浪费

收件人的时间，而且可能与其声称的病毒一样有杀伤力。

7．使用其它形式的文档，如.rtf（RichTextFormat）和.pdf（PortableDocumentFormat）

常见的宏病毒使用MicrosoftOffice的程序传播，减少使用这些文件类型的机会将降低病

毒感染风险。尝试用RichText存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在

MicrosoftWord中，用“另存为”指令，在对话框中选择RichText形式存储。尽管RichTextFormat

依然可能含有内嵌的对象，但它本身不支持VisualBasicMacros或Jscript。而pdf文件不仅是

跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。

8．不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘

这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是

非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软

件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传

染的最主要渠道。

9．禁用WindowsScriptingHost

WindowsScriptingHost(WSH)运行各种类型的文本，但基本都是VBScript或Jscript。换

句话说，WindowsScriptingHost在文本语言之间充当翻译的角色，该语言可能支持ActiveX

Scripting界面，包括VBScript,Jscript或Perl，及所有Windows的功能，包括访问文件夹、文

件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和使用

WindowsScriptingHost，无需用户点击附件，就可自动打开一个被感染的附件。

10．使用基于客户端的防火墙或过滤措施

如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你

的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用

卡号码和其它个人信息都有可能被窃取。