计算机木马病毒的普遍特征及其解决方案

计算机木马病毒的普遍特征及其解决方案

王春玲

（乌伊岭区就业局，黑龙江伊春153038）

摘要：本文介绍了计算机病毒的发展历史，感染用户计算机的的方式。针对目前流行的木马病毒，介绍了其普遍特征，并以“COOL-GAMESETUP病毒为例，描述了主要特点和完整解决方案。阐述了计算机用户针对病毒做好防范的重要性和具体方法。

关键词：COOL—GAMESETUP；计算机病毒；系统注册表；可执行文件

随着计算机科学技术的高速发展，计算机系统功能日渐复杂，对社会及人们的生活产生了巨大的影响，由于计算机用户对病毒了解知识层次高低不同，病毒本身的复杂和隐蔽性，加上现在大部分计算机都连结在网络中，都存在着自然和人为等诸多因素的潜在威胁，病毒扩散、各种计算机病毒层出不穷，计算机病毒造成的安全问题越来越严峻。因此，如何提高计算机用户的防御病毒能力，增强安全意识，已成为当前急需解决的问题。否则计算机病毒会大面积传播，给企业及个人的财产、隐私造成极大损失。

从1986年美国学生弗里德一科恩以测试计算机安全为目的编写首个电脑病毒以来，目前世界上约有6万多种电脑病毒，它们已经从最初给用户带来小麻烦发展到严重威胁电脑和网络的安全。随着用户操作系统、使用软件的更新换代，计算机病毒的发展也经历了从简单到复杂的过程。从计算机病毒的发展过程，可以将计算机病毒分为以下几个阶段：

1、DOS时期命令行用户界面下的病毒

DOS时期的计算机病毒主要是引导型病毒和文件感染病毒。DOS病毒出现在早期，当时计算机功能比较单一，DOS引导病毒利用软盘等移动介质启动计算机时插入，破坏计算机分区表信息、修改系统自动扇区等，导致系统无法启动。文件感染型病毒一般感染exe、com、bat等文件，导致文件无法正常运行。现在绝大多数用户使用的是Windows操作系统。DOS病毒已经成为历史，现在基本已经无法对用户计算机造成损害了。

2、Windows可视化界面下的病毒

随着Windows可视化操作系统的出现和普及，计算机病毒也随即发展到一个新阶段，此阶段的病毒可分为Office文档类宏病毒、文件类PE病毒。宏病毒是专门针对微软MSOffice软件的一种病毒，它由MSOffice的宏语言编写，只感染MSOffice文档，其中以MSWord文档为主。用户在打开含有宏病毒的Office文档后，宏病毒就会自动运行，使计算机中病毒。PE是windows32位系统的一种文件格式，能感染这种文件的病毒都叫PE病毒。PE病毒较以往病毒更加复杂，往往调用Windows系统API函数接口，解决方法也比较复杂。此外，Linux也是操作系统之一，但其桌面易用性不为大多数用户所接受，Linux环境下的病毒也比较少，此处就不做叙述。

3、网络环境下的病毒

在Internet大面积普及的今天，大部分计算机都已经成为了网络世界中的一个节点。网络的流行使得人们交换信息变得更加便捷，同时也给计算机病毒的传播提供了更多的途径。网络环境下的病毒主要传播途径有网络邮件、WEB页面传播和局域网内传播。不明身份者发来的邮件，不明下载点的软件都有可能成为病毒的载体。病毒往往伪装成邮件附件，文件名含以计算机中常用文件后缀名，加以各类命名诱使使用者打开WEB页面中藏有JS、VBS等恶意代码，使用者一打开该网页，代码立即运行，使使用者计算机病毒。局域网也是病毒传播的温床，公司网络中一旦一台机器中毒，马上蔓延到局域网中其他机器。网络病毒种类繁多，主要以蠕虫类病毒和木马类病毒为主。蠕虫类病毒善于复制自身，能迅速感染到网络类所有计算机，利用操作系统的漏洞等，容易突然爆发，大面积波及。木马类病毒主要插种在软件中，容易导致计算机用户私人隐私外泄，造成个人网络账号、密码、网银账户等的财产损失。

计算机木马病毒在网络条件下传播速度尤其快，一般会导致用户感染后无法使用注册表编辑器、无法查看隐藏文件，无法格式化硬盘，分区格式化也不能操作，无法进入安全模式进行病毒查杀。以“COOL—GAMESETUP”病毒为例，它是一个熊猫烧香的变种，容易伪装成应用程序的图标来迷惑用户，它会下载其他病毒并执行，使得计算机内所有可执行文件(．exe)无法运行，用户计算机感染该病毒后具有以下特征：

后具有以下特征：

(1)病毒会删除安全软件的开机启动项目和服务项目

(2)每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。

(3)每隔6秒在每个驱动器下(A和B驱动器除外)，删除所在的autorun．inf文件或文件夹，并创建autorun．inf和对应的(空格)．exe文件。

(4)每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目。

(5)每10秒关闭程序进程。~Navp．exe、rav．exe、rsagent．exe、ravmon．exe、raymond．exe、ravstub．exe、ravtask．exe、ccenter．exe、360tray．exe、360safe．exe等，被关闭的进程大部分为卡巴斯基、瑞星、360安全卫士等防病毒或木马软件进程。

(6)每3O分钟会检测用户是否联网，从指定网站下载一次木马。

(7)病毒会感染扩展名为exe、pf、com、sic的文件，把自己附加到文件的头部，并在扩展名为htm、html、asp、php、Jsp、aspx的文件中添加一网址，用户一旦打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。且该网页有漏洞，新变种的病毒会被下载并运行。

(8)感染后会在感染目录下创建Desktop～．ini文件，其内写入当前系统时间，减缓计算机运行速度。针对木马病毒的特征和发作严重程度，可执行以下解决方案：

(1)拔掉计算机的网线，断开网络连接。将计算机的共享目录设置密码或者取消网络用户的写权限。

(2)如计算机已经无法进入安全模式，即进入安全模式就蓝屏，使用U盘启动盘或光盘启动盘启动，进行纯DOS方式下查杀病毒。另外一种方式是直接使用安装盘进行重新安装或者纯净的Ghcst镜像进行恢复。

(3)纯DOS方式查杀病毒结束或重新安装结束后，进入Win—dows界面。对于“COOL—GAMEsETuP”病毒，需要制作一个bat文件进行运行，

当今的计算机病毒具有相当的隐蔽性，令用户防不胜防。计算机使用者应该从以下几个方面来进行计算机病毒的防范：

1、注意本机操作系统的补丁升级，养成良好习惯，每周坚持上网到微软公司网站更新一次系统补丁。同时安装正版的杀毒软件，保证杀毒软件病毒库的更新。完整安装网上银行保护的网盾、网上交易支付宝类的安全插件，保证自己帐号的安全。

2、提高安全意识，不要使用来路不明的U盘、软盘等卡移动存储媒体。当使用他人的这些存储介质时，要先进行病毒查杀。对不知底细的应用程序，不要轻易运行。

3、在联网环境下，不要从任何不可靠的渠道下载任何软件；不要随便共享文件；不要随意打开邮件附件，如果想打开的话，那在打开之前先用杀毒软件查杀一下。

杀毒软件并不是万能的，最主要的是计算机用户养成良好的使用习惯，这样，才能真正做到计算机病毒的防范。

随着计算机和网络技术的不断发展，计算机病毒还将会长期存在，如何做好计算机病毒的防治，是一个永恒的课题。计算机用户只有提高自身的计算机水平，培养规范的操作方法，才能从根本上防范病毒的入侵。