当前位置:首页 > 浅谈病毒入侵微机的途径与防治研究
病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。 2.4 脚本病毒 2.4.1 基本介绍
脚本病毒通常是JavaScript代码编写的恶意代码,
一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 2.4.2 侵入的技术原理
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理: 以下是文件感染的部分关键代码:
Set fso=createobject(\创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件(即病毒本身)
vbscopy=self.readall ' 读取病毒全部代码到字符串变量vbscopy??
set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件,准备写入病毒代码
ap.write vbscopy ' 将病毒代码覆盖目标文件 ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径 cop.copy(目标文件.path & \ ' 创建另外一个病毒文件(以.vbs为后缀)
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个
13
以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
下面我们具体分析一下文件搜索代码:
该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义,
on error resume next '如果出现错误,直接跳过,防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合 for each file in filesext=fso.GetExtensionName(file) '获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext=\then '如果后缀名是mp5,则进行感染。请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。 Wscript.echo (file) end if next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目录;递归调用 scan( ) scan(subfolder) next end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件[5]。 3 计算机病毒防范措施 3.1 个人防范措施
用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。
请定期做好重要资料的备份,以免造成重大损失。
选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。
14
请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。
上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。 上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。
利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。
开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。
3.2 即时通讯工具预防措施
请广大用户一定要提高警惕,切勿随意点击MSN等一些即时通讯工具中给出的链接,确认消息来源,并克服一定的好奇心理。
通过即时通讯工具等途径接收的文件前,请先进行病毒查杀。
MSN用户提高网络安全意识,不要轻易接收来历不明的文件,即便是MSN好友发来的文件也要谨慎,尤其是扩展名为*.zip,*.rar 等格式的文件,当遇到有人发来以上格式的文件时请直接拒绝即可。
在使用即时通讯工具的时候,不要随意接收好友发来的文件,避免病毒从即时聊天工具传播进来。 3.3 蠕虫类预防措施
建议用户在打开邮件附件或链接前,首先确定邮件来源,并确认文件后缀名是否正确,以免被虚假后缀欺骗。
设置网络共享帐号及密码时,尽量不要使用空密码和常见字符串,如guest、user、administrator等。密码最好超过八位,尽量复杂化。
在运行通过网络共享下载的软件程序之前,建议先进行病毒查杀,以免导致中毒。
接收到不明来历的邮件时,请不要随意打开其中给出的链接以及附件,以免中毒。
在打开通过局域网共享及共享软件下载的文件或软件程序之前,建议先进行
15
病毒查杀,以免导致中毒。
利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定
选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。
将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。
不要打开不明来源的电子邮件,在打开电子邮件时特别当心其中包含的附件,极有可能就是病毒或木马。
开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。
3.4 网页挂马病毒的预防措施
利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。
当有未知插件提示是否安装时,请首先确定其来源。 3.5 网上银行、在线交易的预防措施
在登录电子银行实施网上查询交易时,尽量选择安全性相对较高的USB证书认证方式。不要在公共场所,如网吧,登录网上银行等一些金融机构的网站,防止重要信息被盗。
网上购物时也要选择注册时间相对较长、信用度较高的店铺。
不要随便点击不安全陌生网站;如果遇到银行系统升级要求更改用户密码或输入用户密码等要求,一定要提前确认。如果用户不幸感染了病毒,除了用相应的措施查杀病毒外,也要及时和银行联系,冻结账户,并向公安机关报案,把损失减少到最低。
16
本文作者:...共分享92篇相关文档
