網絡病毒

計算機網絡病毒本身並不是存在於實際世界的病毒生物，用最簡單的話來對它下個定義，計算機網絡病毒就是編程人員人為編寫的一段計算機代碼程序。 ^[2] 

這種程序的產生並不是為了服務於人們的生產生活，而是為了對特定的計算機網絡進行破壞，從而達到盜取數據以及私人賬户信息的目的。它既然是程序為什麼會被叫做計算機網絡病毒呢？那是因為這種程序本身具有生物病毒的一些特徵。 ^[2] 

從不同的角度看，網絡病毒有不同的分類方式。 ^[3] 

（1）從網絡病毒功能區分。可以分為木馬病毒和蠕蟲病毒。木馬病毒是一種後門程序，它會潛伏在操作系統中，竊取用户資料比如QQ、網上銀行密碼、賬號、遊戲賬號密碼等。蠕蟲病毒相對來説要先進一點，它的傳播途徑很廣，可以利用操作系統和程序的漏洞主動發起攻擊，每種蠕蟲都有一個能夠掃描到計算機當中的漏洞的模塊，一旦發現後立即傳播出去，由於蠕蟲的這一特點，它的危害性也更大，它可以在感染了一台計算機後通過網絡感染這個網絡內的所有計算機，被感染後，蠕蟲會發送大量數據包，所以被感染的網絡速度就會變慢，也會因為CPU、內存佔用過高而產生或瀕臨死機狀態。 ^[3] 

（2）從網絡病毒傳播途徑區分。可以分為漏洞型病毒、郵件型病毒兩種。相比較而言，郵件型病毒更容易清除，它是由電子郵件進行傳播的，病毒會隱藏在附件中，偽造虛假信息欺騙用户打開或下載該附件，有的郵件病毒也可以通過瀏覽器的漏洞來進行傳播，這樣，用户即使只是瀏覽了郵件內容，並沒有查看附件，也同樣會讓病毒乘虛而入。而漏洞型病毒應用最廣泛的就是Windows操作系統，而Windows操作系統的系統操作漏洞非常多，微軟會定期發佈安全補丁，即便你沒有運行非法軟件，或者不安全連接，漏洞性病毒也會利用操作系統或軟件的漏洞攻擊你的計算機，例如2004年風靡的衝擊波和震盪波病毒就是漏洞型病毒的一種，它們造成全世界網絡計算機的癱瘓，造成了巨大的經濟損失。 ^[3] 

（1）感染速度極快

單機運行條件下，病毒僅僅會經過軟盤來由一台計算機感染到另一台，在整個網絡系統中能夠通過網絡通訊平台來進行迅速的擴散。結合相關的測定結果，就PC網絡正常運用情況下，若一台工作站存在病毒，會在短短的十幾分鍾之內感染幾百台計算機設備。 ^[4] 

（2）擴散面極廣

在網絡環境中，病毒的擴散速度很快，且擴散範圍極廣，會在很短時間內感染局域網之內的全部計算機，也可經過遠程工作站來把病毒在短暫時間內快速傳播至千里以外。 ^[4] 

（3）傳播形式多元化

對於計算機網絡系統而言，病毒主要是通過“工作站-服務器工作站”的基本途徑來傳播。然而，病毒傳播形式呈現多元化的特點。 ^[4] 

（4）無法徹底清除

若病毒存在於單機之上，可採取刪除攜帶病毒的文件或低級格式化硬盤等方式來徹底清除掉病毒，若在整個網絡環境中一台工作站無法徹底進行消毒處理，就會感染整個網絡系統中的設備。還有可能一台工作站剛剛清除，瞬間就被另一台攜帶病毒的工作站感染。針對此類問題，只是對工作站開展相應的病毒查殺與清除，是無法徹底解決與清除掉病毒對整個網絡系統所造成的危害。 ^[4] 

傳播中的網絡病毒分為靜態和動態兩種。位於輔助存儲媒介上的病毒就是靜態病毒。因為當操作系統執行程序後程序才被加載至內存當中，所以靜態病毒沒有被執行或加載，其也就不在於內存中。類似休眠的這種病毒也被當做一種潛伏狀態的病毒，且沒有傳染性和破壞性。如果病毒處於無法執行它的系統中，也將進入一種休眠狀態，即多相病病毒傳播機理。進入內存的病毒即動態病毒必須跟隨其宿主才能運行，且具有傳染性和破壞性。 ^[1] 

靜態病毒轉換為動態病毒的過程被定義為病毒啓動。啓動過的動態病毒還可以分為可激活態及激活態。如果系統可以正常執行內存中的動態病毒，則動態病毒處於可激活態。系統調用該病毒修改中斷時可以執行修改中斷向量表的動態病毒。系統調用設備驅動時可以執行修改設備驅動程序頭的動態病毒。病毒的修改行為是為盜用或截留系統的正常運行機制。如果系統正在運行動態病毒，則動態病毒處於激活態。激活態的病毒不一定在傳染或破壞，但病毒傳染或破壞時一定是激活態。可激活態的動態病毒需要盜用或截留系統的正常運行機制進入激活態並得到系統的控制權。 ^[1] 

病毒自身傳播機理的工作目的就是複製和隱蔽自己。其能夠被傳播的前提條件是：當計算機開啓後病毒至少被執行一次，並且具備合適的宿主對象。接下來從傳播目標、傳播過程、傳播方式分別描述傳播機理。 ^[1] 

（1）傳播目標

病毒的傳播目標通常為可執行程序，具體到計算機中就是可執行文件、引導程序、BIOS和宏。詳細歸納一下，傳播目標可以是軟盤或硬盤引導扇區、硬盤系統分配表扇區、可執行文件、命令文件、覆蓋文件、COMMAND和IBMBIO文件等。病毒的傳播目標既是本次攻擊的宿主，也是以後進行傳播的起點。 ^[1] 

（2）傳播過程

計算機中病毒的傳播過程和醫學概念中病毒的傳播過程是一樣的。病毒首先通過宿主的正常程序潛入計算機，藉助宿主的正常程序對自己進行復制。如果計算機執行已經被感染的宿主程序時，那麼病毒將截獲計算機的控制權。在這裏，宿主程序主要有操作系統、應用程序和Command程序三種，而病毒感染宿主程序主要有鏈接和代替兩種途徑。當已感染的程序被執行時，病毒將獲得運行控制權且優先運行，然後找到新的傳播對象並將病毒複製進入其中。 ^[1] 

計算機網絡病毒和傳統生物病毒一樣都需要有傳播方式才能進行傳播，大致可以分為以下幾類： ^[2] 

（1）E-mail的附件

一般最常見的傳播方式就是這種，將病毒藏在郵件的附件之中，再配上一個好聽的文字或者是其他的一些誘惑，誘使人們去打開附件，從而實現病毒的傳播。 ^[2] 

（2）E-mail本身

一些蠕蟲病毒會利用在微軟漏洞調查通報的MS01-020中討論的安全漏洞將自己本身隱藏於E-mail中，與此同時，向其他的系統用户發送一個副本來進行病毒傳播，誠如微軟的系統公告中所説，這個漏洞只是存在於IE瀏覽器中。但是可以通過Email郵件來進行傳播，當你打開郵件的一瞬間，病毒就已經完成傳播過程。 ^[2] 

（3）Web服務器

計算機之間彼此信息交互是依靠Web服務器來進行的。有一些病毒就是會攻擊5.0Web服務器。以一種名為尼姆達的病毒舉例説明，它具有兩種攻擊方法，一種是它自身會檢測紅色代碼二病毒是否已經破壞了計算機，因為這種紅色代碼二病毒會在侵入過程創建一個“後門”，這個“後門”計算機使用自身是無法察覺到的，但是任何惡意用户（指病毒編寫人員）都可以使用這個後門任意進出以及攻擊計算機。第二種方法就是病毒本身會嘗試利用計算機本身一個有關於Web服務器的漏洞來進行攻擊，一旦病毒成功找到這個漏洞，就會利用這個漏洞來感染計算機。 ^[2] 

（4）文件共享

一般來説Windows系統自身可以被設置成允許其他用户來讀取系統中的文件，這樣就會導致安全性的急劇降低。在系統的默認情況下，系統僅允許經過授權的用户讀取系統的所有文件。如果被有心人發現你的系統允許其他人讀寫系統的文件，你的系統中就會被植入帶有病毒的文件。再借由文件傳輸過程完成新一輪的傳播。 ^[2] 

（1）電腦運行緩慢

病毒運行時不僅要佔用內存，還會中斷、干擾系統運行，使系統運行緩慢。有些病毒能控制程序或系統的啓動程序，當系統剛開始啓動或是一個應用程序被載入時，這些病毒將執行它們的動作，因此會花更多時間來載入程序，對一個簡單的工作，磁盤似乎花了比預期長的時間，例如：儲存一頁的文字若需一秒，但病毒可能會花更長時間來尋找未感染文件。 ^[5] 

（2）消耗計算機資源

如果你並沒有存取磁盤，但磁盤指示燈狂閃不停，這可能預示着電腦已經受到病毒感染了。很多病毒在活動狀態下都是常駐內存的，如果發現你並沒有運行多少程序時系統卻已經被佔用了不少內存，這就有可能是病毒在作怪了；一些文件型病毒傳染速度很快，在短時間內感染大量文件，每個文件都不同程度地加長了，造成磁盤空間的嚴重浪費。 ^[5] 

（3）破壞硬盤和數據

引導區病毒會破壞硬盤引導區信息，使電腦無法啓動，硬盤分區丟失。如果某一天，你的機器讀取了U盤後，再也無法啓動，而且用其他的系統啓動盤也無法進入，則很有可能是中了引導區病毒；正常情況下，一些系統文件或是應用程序的大小是固定的，某一天，當你發現這些程序大小與原來不一樣時，十有八九是病毒在作怪。 ^[5] 

（4）竊取隱私賬號

如今已是木馬大行其道的時代，據統計如今木馬在病毒中比重已佔七成左右。而其中大部分都是以竊取用户信息，獲取經濟利益為目的，如竊取用户資料、網銀賬號密碼、網遊賬號密碼等。一旦這些信息失竊，將給用户帶來不小經濟損失。 ^[5] 

（1）強化網絡用户安全防範意識

網絡病毒會存在於文檔中，計算機用户需要強化自身的安全防範意識，不隨意的點擊和下載陌生的文檔，從而使計算機感染網絡病毒的幾率得到減少。此外，在上網瀏覽網頁時，對於陌生的網頁不能輕易的點擊，主要是因為網頁、彈窗中可能會存在惡意的程序代碼。所以網頁病毒是傳播廣泛、破壞性強的網絡病毒程序，計算機用户需要強化自身的網絡安全以及病毒防範意識，嚴格規範自身的網絡行為，拒絕瀏覽非法的網站，避免出現損失，也防止計算機遭到網絡病毒的侵害。 ^[6] 

（2）及時對計算機系統更新

計算機會定期的檢測自身的不足與漏洞，併發布系統的補丁，計算機的網絡用户需要及時下載這些補丁，並安裝，避免網絡病毒通過系統漏洞入侵到計算機中，進而造成無法估計的損失。計算機用户需要及時的對系統進行更新升級，維護計算機的安全，此外關閉不用的計算機端口，並及時升級系統安裝的殺毒軟件，利用這些殺毒軟件有效的監控網絡病毒，從而對病毒進行有效的防範。 ^[6] 

（3）科學安裝防火牆

在計算機網絡的內外網接口位置安裝防火牆也是維護計算機安全的重要措施，防火牆能夠有效隔離內網與外網，有效的提高計算機網絡的安全性。如果網絡病毒程序要攻擊計算機，病毒只有先避開和破壞防火牆，從能夠避免計算機用户被攻擊。防火牆的開啓等級是不同的，計算機用户需要自主選擇相應的等級。 ^[6] 

（4）有效安裝殺毒軟件

當前殺毒軟件是比較常見的查殺網絡病毒的方法，但是很多用户最開始不能對殺毒軟件的作用正確認識，隨着計算機網絡病毒的不斷出現，人們開始認識到殺毒軟件的重要性，並且殺毒軟件自身的完善與能力提高，也使人們更好的接受殺毒軟件。當前的殺毒軟件能夠全天候的對計算機進行監測，實時監測網絡病毒。並且殺毒軟件以及病毒庫的及時更新能夠有效的查殺新型的網絡病毒，其適應能力是比較強的。長期使用殺毒軟件可以發現，殺毒軟件能夠很好的對網絡病毒進行查殺。同時，殺毒軟件不會佔用系統太大的資源，有時計算機運行速度比較慢是因為殺毒軟件在過濾網絡病毒。此外殺毒軟件的使用也比較便利，即使計算機有中毒的情況，也能夠在短時間內自救。 ^[6] 

（5）做好數據文件的備份

如果網絡病毒入侵到計算機中，會導致計算機系統出現癱瘓，所以計算機用户在日常使用中需要備份計算機中的重要數據與文件，通過這樣的方法減少網絡病毒會計算機用户造成的損失。 ^[6] 

（1）架構防火牆與防毒牆

通過對計算機網絡病毒的分析與瞭解，網絡病毒傳播具有隱蔽性、隨機性、破壞性與突發性的特點，實施計算機網絡安全防範工作時，需要架構防火牆與防毒牆的技術屏障，要求在病毒隔離層面出發來提升防禦性能。防火牆技術主要是藉助網絡空間隔離技術，從網絡安全角度出發，控制好網絡通信訪問，其中所使用的技術有網關技術、包過濾技術與狀態監測技術。包過濾技術主要是篩選傳輸層內的網絡數據，遵循事先約定的相關過濾原則，科學檢測每個數據包的目標地址、源地址與端口，進而對整個系統安全係數進行合理的判斷。狀態監測技術主要是藉助防火牆來從網絡安全策略之上來檢測網絡狀態，提升網絡環境的安全性與通暢性。例如，可抽取相關的狀態信息來與安全策略進行對照，科學檢查網絡動態數據包，若發覺意外，應即刻停止傳輸。網關技術主要是設立到網絡數據通信端口的相關工作站，主要負責檢查進入到網絡平台之中的網絡數據與網絡請求，避免發生惡意攻擊行為，從而達到保護網絡數據的安全性。近些年來，防毒牆技術逐步發展起來，主要是對計算機網絡病毒實施過濾的一種病毒庫，要求把防毒牆設置在網絡入口位置，過濾好互聯網各項信息，主要實現對病毒的科學過濾，如若發現存在病毒的威脅，應及時將病毒予以清除掉。從理論角度出發，防毒牆可防止發生病毒入侵現象，而發揮更好的病毒防範效果，應對病毒庫進行更新，利用防毒牆來實時化監測最新的病毒。 ^[4] 

（2）身份認證與訪問控制

對於網絡系統中的每台計算機，必須要利用身份認證來予以識別，而對於對方訪問情況，需要由身份辨認角度來予以確認。安全管理員應科學設置口令，由口令認證上開展訪問控制。此外，應對用户開展相應的分級管理，使用不同權限來利用好網絡資源。在口令認證上，可加強對口令字符數的管控，針對不同字符組合來設定口令，也要開展定期變更處理，對用户數據進行保密處理。不可在郵件之中予以發送。網絡認證環境相對複雜，而對於攻擊者而言，其主要是由網絡傳輸層來截獲口令，此種情況下，口令認證也會存在着安全風險。網絡身份認證工作甚為複雜，而在各個主機上，對雙方身份進行認證處理時，可通過網絡平台來操作，此時，網絡會為黑客帶來便利。面對此類問題，防範口令入侵之上，主要採取密鑰加密處理方式。與此同時，應對IP地址採取合理的接入處理，能限制訪問非授權性用户。而後，還要遵循事先約定的基本原則，科學檢測來訪者的具體身份，在控制階段來對用户實施分組，對權限範圍予以限制，對相關文件實施合理的控制與操作。 ^[4] 

（3）反病毒軟件

不管是密鑰認證技術，還是病毒防火牆與數據加密技術，基於計算機網絡環境而言，依然存在病毒與黑客攻擊行為。當前，網絡病毒變異的速度逐步加快，致使病毒感染率大大提高。此時，可使用反病毒軟件來對病毒進行防範處理。反病毒軟件主要是通過對網絡病毒的科學檢測，預防出現惡意程序問題，會使得安全和管理工作變得十分便捷，利於提高網絡維護與管理質量。例如，可在NT服務器之上安裝一定的殺毒軟件，能對本局域網之內全部極其實施安全配置，藉助操作系統間相關安全處理措施來架構網絡病毒防禦系統。此外，利用反病毒軟件，能結合網絡病毒的基本特點來開展目標性設計，若發現病毒，就需要啓動病毒隔離系統，若個別終端存在着感染病毒的現象，服務器就會起到防範兵符傳播的作用。 ^[4] 

據國家互聯網應急中心2020年11月16日-11月22日消息顯示，中國境內感染網絡病毒的主機數量約為47.6萬個，其中包括境內被木馬或被殭屍程序控制的主機約41.2萬以及境內感染飛客（conficker）蠕蟲的主機約6.4萬。 ^[7]