4.4 计算机病毒及其防治技术
4.4 计算机病毒及其防治技术
4.4.1 计算机病毒概述
随着Internet在全球的不断推广与应用,计算机病毒的扩散也变得猖狂起来。如果说早期的计算机病毒还局限在单位或者机构等小范围传播的话,那么,现在借助Internet作为传播媒介的网络病毒,可以在全世界范围内扩展,造成的破坏范围也越来越大。经常下载软件的读者,可能还对CIH病毒造成的危害记忆犹新。这个包含在可执行文件或者压缩文件的病毒,随着软件的下载,在千万台机器上驻留,一旦发作,则将引起机器的瘫痪。专门攻击网络服务器的“红色代码”和“2003蠕虫王”等网络病毒几乎让世界各地的网络处于瘫痪状态。作为面向广大用户的Internet站点,对网络病毒进行及时预防,不仅可以保证站点健康运行,也是提供站点安全性的一个重要措施,而且还可以避免将包含病毒的信息提供给用户,成为病毒扩散和传播的工具。
1.计算机病毒的概念
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
从广义上来说,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依此,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。
狭义上的计算机病毒是指一段能够复制自身的有害代码。也就是说,计算机病毒是指那些能够通过修改程序并把自身包括在内去“传染”其他程序的程序。所以说,病毒的本质是“程序”,是一组能执行的、并且必须要被执行的指令。
2.计算机病毒的特征
计算机病毒具有以下特征。
(1)传染性。
计算机病毒具有传染性,它是衡量一种程序是否为病毒的首要条件。计算机病毒的传染性是计算机病毒的再生机制。病毒程序一旦进入系统与系统中的程序接在一起,它就会在运行这一被传染的程序之后开始传染其他程序。这样,病毒就会很快地传染到整个计算机系统。
(2)隐蔽性。
计算机病毒是一段可执行的程序,它可以直接或间接地运行,可以隐蔽在可执行程序和数据文件中而不易被人们察觉和发现。
(3)潜伏性。
计算机病毒具有潜伏性,一个编制巧妙的计算机病毒程序,可以在几周或者几个月甚至几年内隐藏在合法文件之中,对其他系统进行传染,而不被人们发现。计算机病毒的潜伏性与传染性相辅相成,潜伏性越好,其在系统中存在的时间就会越长,病毒的传染范围也就会越大。
(4)可触发性。
计算机病毒一般都有一个触发条件。或者触发其传染,或者在一定条件下激活计算机病毒的表现部分或破坏部分。触发实质上是一种条件控制,一个病毒程序可以按照设计者的要求,在某个点上激活并对系统发起攻击。
(5)破坏性。
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。
(6)针对性。
现在世界上出现的计算机病毒,并不是对所有计算机系统都进行传染的。例如,有针对Windows 95/98/2000/XP系统的,有的针对Macintosh系统,有的针对Windows NT或者UNIX操作系统。
(7)衍生性。
计算机病毒具有衍生性,由于计算机病毒本身是一段程序,这种程序的设计思想以及程序模块本身很容易被病毒自己或其他模仿者所修改,使之成为一种不同于原病毒的计算机病毒。
4.4.2 计算机病毒的类型
1.计算机病毒的分类
计算机病毒可根据感染形态进行分类,大致可分为以下几种。
(1)引导型病毒。
引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全地控制,并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表(FAT表)等,该类型病毒一旦发作,计算机的数据通常会全部丢失。这种类型病毒基本上都是基于DOS,现在已不多见。
(2)文件型病毒。
文件型病毒通常把病毒程序代码自身放在系统的其他可执行文件(如:*.COM、*.EXE、*.DLL等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型病毒依传染方式的不同,又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时,传染给其他程序,病毒本身并不常驻内存。而常驻内存型病毒则躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。
由于病毒一直常驻内存,所以此时用杀毒软件进行杀毒,存在“带毒杀毒”的问题,通常不易杀干净。一般需要用干净的系统引导盘启动系统后,再进行杀毒才彻底。
(3)复合型病毒。
复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.COM、*.EXE、*.DLL等文件,也可以感染磁盘的引导扇区。由于这个特性,使得这种病毒具有很强的传染力,一旦发病,破坏程度也会非常强。
(4)变型病毒。
变型病毒又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一次都具有不同的内容和长度。一般的做法是:病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化,主要原因是为了躲避杀毒软件对其病毒特征代码的扫描,以避免被杀毒软件清除。
(5)宏病毒。
宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏,就是一段脚本程序,由于Word、Excel等软件在处理文档时,为了使程序更智能化地按人的意愿工作,允许在Word中加一些VBS程序,这给宏病毒提供了滋生的“土壤”,宏病毒就是用这些VBS程序编写的程序。
(6)网页病毒。
网页病毒主要利用系统软件的安全漏洞,通过执行嵌入在网页HTML语言内的Java Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序,强行修改操作系统的注册表和系统配置,或非法控制系统资源,盗取用户文件。这种非法恶意程序能够自动执行,它完全不受用户的控制。一旦浏览含有该病毒的网页,便可以在不知不觉的情况下中招,给系统带来不同程度的破坏。轻则消耗系统资源,使系统运行速度缓慢,直至重启;重则删除硬盘数据,甚至格式化硬盘。网页病毒发作通常有两种表现形式:一种是修改浏览器和注册表的各种设置,比如:浏览器的默认首页被修改,标题栏被添加非法信息,注册表被禁止打开等。另一种则是恶性结果,比如:开机时出现对话框,格式化硬盘,全方位侵害封杀系统,最后导致瘫痪崩溃,非法读取或盗取用户文件等。
(7)“蠕虫”型病毒。
顾名思义,计算机蠕虫指的是某些恶性程序代码,会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件,对自身进行复制,消耗系统资源。在Internet环境下,蠕虫病毒变得非常猖獗,它靠复制自己来传播,如果不对蠕虫的传播渠道进行控制(如操作系统的漏洞、文件共享的权限等),即使不执行任何外来文件,也会被感染。现在的病毒一般都是既能够感染文件,又可以像蠕虫那样到处爬动(大部分是通过E-mail、共享文件夹、感染HTML代码,然后寻找漏洞获得写权限等),因此,未来能够给网络带来重大灾难的,必定将是网络蠕虫病毒。
(8)特洛伊木马。
木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。木马可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与计算机病毒的分别是木马不会复制自己。它的传播伎俩通常是诱骗计算机用户把木马植入计算机内,例如通过E-mail上的游戏附件等。BackOrifice木马于1998年发现,是一个Windows远程管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控计算机。
木马和蠕虫之间,有某种程度上的依附关系,越来越多的病毒同时具有木马和蠕虫两者的特点。
2.普通病毒与网络病毒
随着网络和Internet的发展,一个传播范围更广、危害更大的新型病毒应运而生。这就是所谓的网络病毒,即在网络环境下流行的病毒。网络病毒都是充分利用了网络的缺陷来设计和传播的,这应当是所有网络病毒的共性,所以一旦传播开来,它的破坏力将是非常可怕的。
随着Java的流行,现在出现了所谓的Java网络病毒;E-mail的广泛应用又引出了隐藏在E-mail的附件中的E-mail病毒,还有大家熟悉的CIH病毒,包含在HTML文件中的HTML病毒等。
从最早的DIR病毒到幽灵病毒、宏病毒以及现在的“2003蠕虫王”、“威金”、“熊猫烧香”等网络病毒,以前计算机病毒以盘的方式传递,现在由于Internet的高速发展,网络病毒是以光速在传播。
传统理论认为,“网络病毒”应该与普通病毒存在很大区别。的确,“莫里斯”蠕虫与我们通常所见到的病毒确有很大区别。然而更现实的问题是:无论是“网络病毒”,还是普通病毒,大多数确实在通过网络进行传播,而且造成了巨大的破坏。所以就实际问题和制定网络反病毒解决方案而言,比较现实的出发点并不在于如何防治“网络病毒”,而在于如何防止绝大多数病毒在网络上的“传播”。
3.马甲病毒
随着“黑客经济”产业链的出现,黑客利用病毒控制用户的计算机,并将这些计算机变成自己牟利的工具。由此,出现了很多马甲病毒。黑客利用程序自动给老病毒披上“马甲”(加壳),使得杀毒软件无法识别,从而“批量生产”出大量恶性病毒,这给一些技术薄弱的反病毒公司造成了沉重的压力。除了“加壳”之外,Rootkits技术也被黑客用来与反病毒公司进行技术对抗。所谓Rootkits,就相当于病毒的“盔甲”和“隐身衣”,采用此技术的病毒很难被发现并彻底查杀。
并且,黑客团伙也开始有意识地利用杀毒软件的一些缺陷。2006年底,出现“橙色八月”恶性病毒的数十个变种,它们会使多款主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。还有专门针对杀毒软件编写的病毒,它们会修改系统时间为1980年或2060年,该操作可使一些杀毒软件自动关闭,使病毒轻松地侵入到用户的计算机当中。这种情况的频繁发生,使得其余病毒有了可乘之机。
马甲病毒中以“熊猫烧香”病毒最为出名。“熊猫烧香”是一个由Delphi工具编写的蠕虫,会终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、
.asp文件以便在其中添加病毒网址,导致用户一打开这些网页文件,浏览器就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘及移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播,还会通过QQ最新漏洞传播自身。“熊猫烧香”病毒传播方式如图4-9所示。
“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月。由于它一直在不停地进行变种,而且该病毒会在中毒计算机中所有的网页文件尾部添加病毒代码,因此,一旦一些网站编辑人员的计算机被该病毒感染,网站编辑在上传网页到网站后,就会导致所有浏览该网页的计算机用户也被感染上该病毒。而局域网中只要有一台机器感染,就可以瞬间传遍整个网络,甚至在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒症状表现为计算机中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为“熊猫烧香”,继而系统蓝屏、频繁重启、硬盘数据被破坏等,严重的会导致整个公司局域网内所有计算机会全部中毒。
图4-9 “熊猫烧香”病毒的传播方式
而黑客则直接攻击数十个著名网站,在网站上植入“熊猫烧香”病毒,用户访问这些网站后就会中毒。“熊猫烧香”病毒在感染用户机器后,会自动从网上下载多个木马病毒,试图窃取用户的网络游戏密码等个人资料。
同时,“熊猫烧香”病毒还会通过Internet自动升级,有时候每天能自动升级十余个变种,这种疯狂升级使一些反病毒公司非常头疼。瑞星反病毒专家表示,这些为病毒提供升级的服务器往往是一些防护薄弱的正常服务器,被黑客攻陷之后利用的。
至此,编写病毒——攻击网站植入病毒——用户感染(机器被黑客控制,构成僵尸网络Botnet)——窃取用户资料——在网上出售,这一系列环节构成了完整的产业链,可以给黑客团伙带来巨大的经济利益。有的黑客团伙甚至在国外叫卖被病毒感染机器(通称为肉鸡)的控制权,国外黑客可以利用这些机器攻击网站,敲诈网站的所有者,或者发送垃圾邮件等,从而获取经济效益。
4.4.3 计算机病毒的检测与清除方法
1.手工检测方法
病毒感染正常文件或系统会引起各种变化,从这些变化中找出某些本质性的变化,作为诊断病毒的判据。例如,机器运行变得缓慢、计算机不能正常启动、杀毒软件无法升级、文件日期被改变、Word文档打不开、数据丢失等,都是计算机染毒的征兆。
手工检测是指通过一些系统软件和软件工具进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过与正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。
手工检测病毒的常用方法如下所示。
(1)查看系统进程。按Ctrl+Shift+Esc组合键,调出Windows任务管理器,单击“进程”选项卡,查看系统运行的进程,找出不熟悉进程并记下其名称,如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。单击“性能”选项卡,查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时计算机中毒的可能性比较大。
(2)运行注册表编辑器,命令为regedit或regedt32,查看都有哪些程序与Windows一起启动。主要查看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。在Windows XP系统下运行msconfig也起相同的作用。
(3)查看Windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。查看右栏状态为“启动”、启动类别为“自动”项的行;一般而言,正常的Windows服务,基本上是有描述内容的(少数被黑客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,如其名称和路径为C:\winnt\system32\
explored.exe,计算机可能中毒。
(4)取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明计算机已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks、wins、drivers。目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1KB以上,这是造成一般网站能访问而安全厂商网站不能访问、一些杀毒软件不能升级的原因所在。
2.自动检测方法
自动检测是指通过一些查毒、杀毒软件来判读一个系统或一个软盘是否有病毒的方法。这种方法可以方便地检测出大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具总是对相对数量的未知病毒不能识别。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法等,这些方法依据的原理不同,实现时所需的开销不同,检测范围也不同,可谓是各有所长。
(1)特征代码法。
特征代码法是检测已知病毒的最直接法。它的实现是采集已知病毒样本。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
特征代码法的特点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做相应的杀毒处理。但是,随着病毒种类的增多,检索时间变长,如果检索10000种病毒,必须对10000种病毒特征代码逐一检查。病毒特征代码法对从未见过的新病毒,自由于无法知道其特征代码,因而无法检测这些新病毒。
目前绝大多数查毒、杀毒软件都是采用病毒特征代码法检测病毒,但面对不断出现的新病毒,必须不断更新版本。
(2)校验和法。
校验和法必须先将正常文件的内容计算其校验和,并将该校验和写入文件中或写入别的文件中保存。然后在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,从而发现文件是否感染。校验和法既可发现已知病毒,又可发现未知病毒。
校验和法的特点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。并且此种方法也会影响文件的运行速度。
著名的SCAN和CPAV等软件除了病毒特征代码法之外,还纳入了校验和法,以提高其检测能力。
(3)行为监测法。
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的特点:可发现未知病毒、可相当准确地预报未知的多数病毒。但可能误报警、不能识别病毒名称,并且可能由于常常误报警,会使人失去警觉。
目前大多数防毒软件都是采用病毒特征代码法检测已知病毒,同时采用行为监测法来检测未知病毒,并提示警报。
3.杀毒原则
(1)杀毒之前,一定要备份所有重要数据以防万一。
(2)杀毒时,一定要用干净的系统引导机器,保证整个杀病过程在无毒的环境下进行,否则,有的病毒会重新感染已杀毒的文件。
对于一些病毒,应在纯DOS模式下杀毒,因此要备有一张Windows的启动盘,也可制作应急(DOS)杀毒盘,并写保护该盘贴上标签。
(3)尽可以在安全模式下杀毒。Windows各个版本的操作系统都有一个安全模式运行方式,在此运行方式下仅能运行最基本的程序,并可取消所有的自启动项目,终止不必要系统进程和服务,从而绕过操作系统的阻挠,避免病毒的运行。
(4)作为备用的保存磁盘引导扇区的文件,在文件名上要反映出磁盘的型号、容量、DOS版本。因不同的磁盘的分区表不同,引导记录的磁盘基本参数表也不同,一旦恢复时不对应,被恢复的磁盘将无法读写。
(5)操作中应谨慎处理,对所读写的数据进行多次检查核对,确认无误后再进行有关操作。
4.杀毒方法
病毒的行为从操作系统的观点去看,是一些正常的行为,对于操作系统来说是不违法的,是被允许的,因此在杀毒软件查杀病毒时,往往会因为操作系统的阻挠——“文件被系统占用不能更改”、“病毒代码在系统的解释器中运行”等原因,而不能将病毒清除干净。所以,在杀毒的时候也要讲究一些技巧,去绕过操作系统的阻挠,从而成功地将病毒从系统中清除干净。
(1)停止有问题的服务,将自动修改为禁止。输入services.msc(服务管理控制台),查看所有正在运行的服务,尽可能将其停止。按Ctrl+Shift+Esc组合键,在进程页终止所有可以终止的进程。
(2)在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并删除。当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并删除。
(3)如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
(4)使用多种安全可靠的杀毒软件,对系统进行全面的扫描,清除所有已知的病毒。对于一些新病毒,可使用专门的杀毒工具予以清除。
(5)对于一些顽固的病毒,要重新启动计算机,按F8键进入“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
(6)对于杀毒软件不能清除的文件型病毒,可用程序覆盖法。一旦发现文件被感染,可将事先保留的无毒备份重新拷入系统即可。
(7)对于感染主引导型病毒的机器可采用事先备份的该硬盘的主引导扇区文件进行恢复,恢复时可用DEBUG或NORTON软件实现。
(8)对于无法清除的病毒,最后的方法是低级格式化或格式化磁盘。该方法轻易不要使用,它会破坏磁盘的所有数据,并且低级格式化对硬盘亦有损害,在万不得已情况下,才会使用此方法。使用这种方法必须保证系统无病毒,否则将前功尽弃。
4.4.4 网络防毒软件
面对网络病毒的日趋泛滥,利用网络防病毒软件对病毒进行防护是十分必要的。这就带来一个重要的问题:用户应该选用什么样的反病毒产品?
不可否认,各种反病毒产品发展至今,或多或少都具备了一定的特点。例如技术领先性、误报率低、杀毒效果明显;用户界面友好、良好的升级和售后技术服务支持;与各种软、硬件平台的兼容性好等。用户可以根据不同的需要选择合适的防病毒软件。
一个完整的网络防毒系统通常由以下几个部分组成。
(1)客户端防毒软件。
客户端防毒软件在国内比较流行的有KV3000、RAV、VRV、CA的VirusScan等。大部分客户端防毒软件除了可以检查一般的文件外,还可以检查用Zip、ARJ等压缩软件压过的文件。
(2)服务器端防毒软件。
针对服务器的防毒软件,主要作用是保护服务器,并防止病毒在局域网内传播。服务器端的防毒软件,不同厂家的软件技术上没有太大的区别。
(3)针对群件的防毒软件。
由于群件(如Lotus、Exchange Server等)的应用越来越广泛,对群件包的扫描需求越来越迫切。各个厂商也各自推出了自己相应的针对群件的防毒软件产品。
(4)针对Internet的防毒软件。
在针对E-mail、FTP文件中的病毒方面,在ActiveX和Java的恶意程序方面,CA的几种软件做得不错。
(5)针对黑客的防毒软件。
例如一些针对黑客的防毒软件可以通过MAC地址与权限列表中的严格匹配,控制用户的越权行为。
选择网络防毒软件时,应该考虑如下几个要素。
(1)提供网络防毒软件的厂商的优质服务。选择服务及信誉优秀的厂家和经销商,可以确保质量及售后服务。
(2)技术的先进性和稳定性,使用户可以放心彻底地检查病毒。
(3)对于防毒软件的选择,用户应根据自己的使用条件及应用环境进行选择。
4.4.5 网络病毒的防护措施
1.客户端反病毒策略
保证网络中每个用户在每次启动系统并登录到网络前,都已正确地运用反病毒工具进行反病毒检查。这点看似简单,其实却并不容易做到,因为很多稍具操作常识的用户为了加快系统启动速度,往往会跳过启动时的病毒扫描过程。如果我们不能保证启动过程中的病毒扫描能够始终自动地完成,那么这道防线就形同虚设。
作为网络管理员,有义务对网络中每个系统提供适当的反病毒保护措施,同时又不能够对用户日常工作带来太大的干扰。
为使最终网络用户尽量少受反病毒扫描过程的干扰,应该考虑选择一个能够起到连续保护作用的实时反病毒产品。这种产品在首次安装时,会在自己拷贝到系统的同时,对系统进行彻底清查,并向用户报告可能的病毒感染情况。当它完成初始安装并对系统彻底扫描之后,该软件就能够始终作用于最终用户的系统中,对用户的程序与数据提供连续、实时保护。这种实时反病毒产品从严格意义上来讲适用于单机,但与传统单机版静态反病毒产品不同之处在于它又是实时(动态)的,它不需要最终用户过多地干预,在实现反病毒功能的同时,提高了用户和网络管理员的工作效率。目前这类产品国外有很多,比如McCafee和Norton等。
(1)制定系统的防病毒策略。为了正确选择、配置和维护病毒防护解决方案,系统必须明确规定保护的级别和所需采取的对策。
(2)部署多层防御战略。伴随着网络的发展,病毒可从多种渠道进入系统,因此在尽可能多的点采取病毒防护措施是至关重要的。其中包括网关防病毒、服务器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。
(3)为全体职员提供全面的防病毒培训。如果全体职员都了解容易遭受病毒攻击的风险、防护措施以及遇到可疑病毒时应该采取的建议性措施等,就可以最大程度地降低系统内大多数病毒的发作。
(4)定期备份文件。一旦病毒破坏了重要数据,可以利用备份文档恢复相关文件。建议制定一个标准程序来定期检查从备份中恢复的数据。
(5)加上写保护。此项措施适用于在其他计算机上使用可移动介质。假如要使用可移动介质在计算机之间(如从工作单位到家中)传递文档,那么在可疑系统中使用此类介质之前应将其加上写保护,以防止它受到病毒感染。
(6)预订可发布新病毒威胁警告的E-mail警报服务。有许多不同的机构提供这种服务,但是最关键的应该是防病毒服务供应商。其原因在于每个防病毒软件供应商的能力不同,对新病毒的估定也不同,而且采取的措施也有差异。例如,一位供应商已经在过去的更新版本中提供了类属病毒检测,从而对某种新病毒提供了防护,因此对于他们的客户而言,这一特殊病毒将被估定成低风险的。但是其他未能提供当前保护的供应商却会将同类病毒估定为“高”风险的。
(7)安装病毒防火墙。需要向对网络中某些特别的用户提供比较前沿的反病毒技术。比如那些可能经常从FTP或Web站点下载文件以及经常收发E-mail的用户,他们很有可能在不知不觉中从网上下载或上传(upload)病毒。所以需要向这些用户提供自动反病毒工具,对其上传/下载过程进行自动扫描。这种防病毒产品已经面市:其中一类是内置了能够适用于高级Web浏览器(Netscape Navigator和Internet Explorer)的插件(Plug-ins);另一类就是“病毒防火墙”。病毒防火墙能够对上传/下载的数据进行实时自动化的病毒过滤。
(8)定期更新防病毒特征文件和引擎。在大多数系统了解到使其病毒特征文件保持最新版本的重要性的同时,并不是人人都了解确保检测引擎为最新版本的重要性。一般情况下,更新是自动进行的,但更重要的是应定期检查日志文件以确保正确地执行了更新。
基于服务器的E-mail病毒防护是提供系统内部保护的最有效方式,但是根据系统安全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都提供防护。因此还应定期更新桌面计算机中的防病毒软件。
2.网络服务器实时反病毒
即使客户端建立了完备的防护体系,用户也难免有操作失误的时候,这时网络整体防护水平就会大幅度地下降。所以应该在网络服务器上建立最根本的防线,以保证即使用户反病毒水平下降了,也不至于危害到整个网络。换而言之,就是通过建立在服务器上的反病毒方案,提高网络整体病毒防护能力。什么样的反病毒方案适用于网络服务器?当然还是实时化反病毒技术。因为如果在服务器上使用非实时的反病毒技术,就无法保证网络在任何时刻的安全性。只有通过实时化反病毒技术对服务器进行动态、实时的监控,我们才有可能对网络防病毒的安全性作出持续、连贯的评估。
(1)拦截受感染的附件。许多利用E-mail传输方式的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算机中找到的可执行文件,如EXE、VBS和SHS散布病毒。实际上,大多数E-mail用户并不需要接收带这类文件扩展的附件,因此当它们进入E-mail服务器或网关时可以将其拦截下来。
(2)试探性扫描。利用试探性扫描,可以寻找已知病毒的特征,以识别是已知病毒变异的新病毒,提供较高级别的保护,但缺点是它需要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样,只要服务器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值得一试的。
(3)安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒,新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别、防病毒产品厂商也尚未相应地制定出新的病毒特征文件之前,进入系统。通过使用最新病毒特征文件,对所有数据进行全面、随机地扫描,确保档案中没有任何受感染文件蒙混过关,就显得尤为重要。
(4)用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言,没有防病毒厂商所提供的适当的检测驱动程序,要根除这些病毒是极其费力的。幸运的是,某些病毒防护产品提供了系统设置功能,一旦出现特定病毒发作的特征,这些产品就会自动发出通知或采取修正措施。
(5)重要数据定期存档。并非所有病毒都会立即显示出自己的特征;根据感染位置以及系统的设置情况,有些病毒可能要潜伏一段时间才能被发现。最好是至少每周进行一次数据存档,这样,在防病毒解决方案不起作用时,就可以利用存档文件,成功地恢复受感染项。