广义上认为,可以通过网络传播,同时破坏某些网络组件(服务器、客户端、交换和路由设备)的病毒就是网络病毒。狭义上认为,局限于网络范围的病毒就是网络病毒,即网络病毒应该是充分利用网络协议及网络体系结构作为其传播途径或机制,同时网络病毒的破坏也应是针对网络的。
定义
计算机网络病毒本身并不是存在于实际世界的病毒生物,用最简单的话来对它下个定义,计算机网络病毒就是编程人员人为编写的一段计算机代码程序。
这种程序的产生并不是为了服务于人们的生产生活,而是为了对特定的计算机网络进行破坏,从而达到盗取数据以及私人账户信息的目的。它既然是程序为什么会被叫做计算机网络病毒呢?那是因为这种程序本身具有生物病毒的一些特征。
类型
从不同的角度看,网络病毒有不同的分类方式。
(1)从网络病毒功能区分。可以分为木马病毒和蠕虫病毒。
木马病毒是一种后门程序,它会潜伏在操作系统中,窃取用户资料比如QQ、网上银行密码、账号、游戏账号密码等。
蠕虫病毒相对来说要先进一点,它的传播途径很广,可以利用操作系统和程序的漏洞主动发起攻击,每种蠕虫都有一个能够扫描到计算机当中的漏洞的模块,一旦发现后立即传播出去,由于蠕虫的这一特点,它的危害性也更大,它可以在感染了一台计算机后通过网络感染这个网络内的所有计算机,被感染后,蠕虫会发送大量数据包,所以被感染的网络速度就会变慢,也会因为CPU、内存占用过高而产生或濒临死机状态。
(2)从网络病毒传播途径区分。可以分为漏洞型病毒、邮件型病毒两种。相比较而言,邮件型病毒更容易清除,它是由电子邮件进行传播的,病毒会隐藏在附件中,伪造虚假信息欺骗用户打开或下载该附件,有的邮件病毒也可以通过浏览器的漏洞来进行传播,这样,用户即使只是浏览了邮件内容,并没有查看附件,也同样会让病毒乘虚而入。而漏洞型病毒应用最广泛的就是Windows操作系统,而Windows操作系统的系统操作漏洞非常多,微软会定期发布安全补丁,即便你没有运行非法软件,或者不安全连接,漏洞性病毒也会利用操作系统或软件的漏洞攻击你的计算机,例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,它们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。
特点
(1)感染速度极快
单机运行条件下,病毒仅仅会经过软盘来由一台计算机感染到另一台,在整个网络系统中能够通过网络通讯平台来进行迅速的扩散。结合相关的测定结果,就PC网络正常运用情况下,若一台工作站存在病毒,会在短短的十几分钟之内感染几百台计算机设备。
(2)扩散面极广
在网络环境中,病毒的扩散速度很快,且扩散范围极广,会在很短时间内感染局域网之内的全部计算机,也可经过远程工作站来把病毒在短暂时间内快速传播至千里以外。
(3)传播形式多元化
对于计算机网络系统而言,病毒主要是通过“工作站-服务器工作站”的基本途径来传播。然而,病毒传播形式呈现多元化的特点。
(4)无法彻底清除
若病毒存在于单机之上,可采取删除携带病毒的文件或低级格式化硬盘等方式来彻底清除掉病毒,若在整个网络环境中一台工作站无法彻底进行消毒处理,就会感染整个网络系统中的设备。还有可能一台工作站刚刚清除,瞬间就被另一台携带病毒的工作站感染。针对此类问题,只是对工作站开展相应的病毒查杀与清除,是无法彻底解决与清除掉病毒对整个网络系统所造成的危害。
状态
传播中的网络病毒分为静态和动态两种。位于辅助存储媒介上的病毒就是静态病毒。因为当操作系统执行程序后程序才被加载至内存当中,所以静态病毒没有被执行或加载,其也就不在于
内存中。类似休眠的这种病毒也被当做一种潜伏状态的病毒,且没有传染性和破坏性。如果病毒处于无法执行它的系统中,也将进入一种休眠状态,即多相病病毒传播机理。进入内存的病毒即动态病毒必须跟随其宿主才能运行,且具有传染性和破坏性。
静态病毒转换为动态病毒的过程被定义为病毒启动。启动过的动态病毒还可以分为可激活态及激活态。如果系统可以正常执行内存中的动态病毒,则动态病毒处于可激活态。系统调用该病毒修改中断时可以执行修改
中断向量表的动态病毒。系统调用设备驱动时可以执行修改设备驱动程序头的动态病毒。病毒的修改行为是为盗用或截留系统的正常运行机制。如果系统正在运行动态病毒,则动态病毒处于激活态。激活态的病毒不一定在传染或破坏,但病毒传染或破坏时一定是激活态。可激活态的动态病毒需要盗用或截留系统的正常运行机制进入激活态并得到系统的控制权。
传播机理
病毒自身传播机理的工作目的就是复制和隐蔽自己。其能够被传播的前提条件是:当计算机开启后病毒至少被执行一次,并且具备合适的宿主对象。接下来从传播目标、传播过程、传播方式分别描述传播机理。
(1)传播目标
病毒的传播目标通常为可执行程序,具体到计算机中就是可执行文件、引导程序、BIOS和宏。详细归纳一下,传播目标可以是软盘或硬盘引导扇区、硬盘系统分配表扇区、可执行文件、命令文件、覆盖文件、COMMAND和IBMBIO文件等。病毒的传播目标既是本次攻击的宿主,也是以后进行传播的起点。
(2)传播过程
计算机中病毒的传播过程和医学概念中病毒的传播过程是一样的。病毒首先通过宿主的正常程序潜入计算机,借助宿主的正常程序对自己进行复制。如果计算机执行已经被感染的宿主程序时,那么病毒将截获计算机的控制权。在这里,宿主程序主要有
操作系统、应用程序和Command程序三种,而病毒感染宿主程序主要有链接和代替两种途径。当已感染的程序被执行时,病毒将获得运行控制权且优先运行,然后找到新的传播对象并将病毒复制进入其中。
传播方式
计算机网络病毒和传统生物病毒一样都需要有传播方式才能进行传播,大致可以分为以下几类:
(1)E-mail的附件
一般最常见的传播方式就是这种,将病毒藏在邮件的附件之中,再配上一个好听的文字或者是其他的一些诱惑,诱使人们去打开附件,从而实现病毒的传播。
(2)E-mail本身
一些蠕虫病毒会利用在微软漏洞调查通报的MS01-020中讨论的安全漏洞将自己本身隐藏于E-mail中,与此同时,向其他的系统用户发送一个副本来进行病毒传播,诚如微软的系统公告中所说,这个漏洞只是存在于IE浏览器中。但是可以通过Email邮件来进行传播,当你打开邮件的一瞬间,病毒就已经完成传播过程。
计算机之间彼此信息交互是依靠Web服务器来进行的。有一些病毒就是会攻击5.0Web服务器。以一种名为尼姆达的病毒举例说明,它具有两种攻击方法,一种是它自身会检测红色代码二病毒是否已经破坏了计算机,因为这种红色代码二病毒会在侵入过程创建一个“后门”,这个“后门”计算机使用自身是无法察觉到的,但是任何恶意用户(指病毒编写人员)都可以使用这个后门任意进出以及攻击计算机。第二种方法就是病毒本身会尝试利用计算机本身一个有关于Web服务器的漏洞来进行攻击,一旦病毒成功找到这个漏洞,就会利用这个漏洞来感染计算机。
(4)文件共享
一般来说Windows系统自身可以被设置成允许其他用户来读取系统中的文件,这样就会导致安全性的急剧降低。在系统的默认情况下,系统仅允许经过授权的用户读取系统的所有文件。如果被有心人发现你的系统允许其他人读写系统的文件,你的系统中就会被植入带有病毒的文件。再借由文件传输过程完成新一轮的传播。
危害
(1)电脑运行缓慢
病毒运行时不仅要占用内存,还会中断、干扰系统运行,使系统运行缓慢。有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行它们的动作,因此会花更多时间来载入程序,对一个简单的工作,磁盘似乎花了比预期长的时间,例如:储存一页的文字若需一秒,但病毒可能会花更长时间来寻找未感染文件。
(2)消耗计算机资源
如果你并没有存取
磁盘,但磁盘指示灯狂闪不停,这可能预示着电脑已经受到病毒感染了。很多病毒在活动状态下都是常驻内存的,如果发现你并没有运行多少程序时系统却已经被占用了不少内存,这就有可能是病毒在作怪了;一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,造成磁盘空间的严重浪费。
(3)破坏硬盘和数据
引导区病毒会破坏硬盘引导区信息,使电脑无法启动,
硬盘分区丢失。如果某一天,你的机器读取了U盘后,再也无法启动,而且用其他的系统启动盘也无法进入,则很有可能是中了引导区病毒;正常情况下,一些系统文件或是应用程序的大小是固定的,某一天,当你发现这些程序大小与原来不一样时,十有八九是病毒在作怪。
(4)窃取隐私账号
如今已是
木马大行其道的时代,据统计如今木马在病毒中比重已占七成左右。而其中大部分都是以窃取用户信息,获取经济利益为目的,如窃取用户资料、网银账号密码、网游账号密码等。一旦这些信息失窃,将给用户带来不小经济损失。
防治原则与策略
(1)强化网络用户安全防范意识
网络病毒会存在于文档中,计算机用户需要强化自身的安全防范意识,不随意的点击和下载陌生的文档,从而使计算机感染网络病毒的几率得到减少。此外,在上网浏览网页时,对于陌生的网页不能轻易的点击,主要是因为网页、弹窗中可能会存在恶意的程序代码。所以网页病毒是传播广泛、破坏性强的网络病毒程序,计算机用户需要强化自身的网络安全以及病毒防范意识,严格规范自身的网络行为,拒绝浏览非法的网站,避免出现损失,也防止计算机遭到网络病毒的侵害。
(2)及时对计算机系统更新
计算机会定期的检测自身的不足与漏洞,并发布系统的补丁,计算机的网络用户需要及时下载这些补丁,并安装,避免网络病毒通过系统漏洞入侵到计算机中,进而造成无法估计的损失。计算机用户需要及时的对系统进行更新升级,维护计算机的安全,此外关闭不用的计算机端口,并及时升级系统安装的杀毒软件,利用这些杀毒软件有效的监控网络病毒,从而对病毒进行有效的防范。
在计算机网络的内外网接口位置安装防火墙也是维护计算机安全的重要措施,防火墙能够有效隔离内网与外网,有效的提高计算机网络的安全性。如果网络病毒程序要攻击计算机,病毒只有先避开和破坏防火墙,从能够避免计算机用户被攻击。防火墙的开启等级是不同的,计算机用户需要自主选择相应的等级。
(4)有效安装杀毒软件
当前杀毒软件是比较常见的查杀网络病毒的方法,但是很多用户最开始不能对杀毒软件的作用正确认识,随着计算机网络病毒的不断出现,人们开始认识到杀毒软件的重要性,并且杀毒软件自身的完善与能力提高,也使人们更好的接受杀毒软件。当前的杀毒软件能够全天候的对计算机进行监测,实时监测网络病毒。并且杀毒软件以及病毒库的及时更新能够有效的查杀新型的网络病毒,其适应能力是比较强的。长期使用杀毒软件可以发现,杀毒软件能够很好的对网络病毒进行查杀。同时,杀毒软件不会占用系统太大的资源,有时计算机运行速度比较慢是因为杀毒软件在过滤网络病毒。此外杀毒软件的使用也比较便利,即使计算机有中毒的情况,也能够在短时间内自救。
(5)做好数据文件的备份
如果网络病毒入侵到计算机中,会导致计算机系统出现瘫痪,所以计算机用户在日常使用中需要备份计算机中的重要数据与文件,通过这样的方法减少网络病毒会计算机用户造成的损失。
防范措施
(1)架构防火墙与防毒墙
通过对计算机网络病毒的分析与了解,网络病毒传播具有隐蔽性、随机性、破坏性与突发性的特点,实施计算机网络安全防范工作时,需要架构防火墙与防毒墙的技术屏障,要求在病毒隔离层面出发来提升防御性能。防火墙技术主要是借助网络空间隔离技术,从网络安全角度出发,控制好网络通信访问,其中所使用的技术有网关技术、
包过滤技术与状态监测技术。包过滤技术主要是筛选传输层内的网络数据,遵循事先约定的相关过滤原则,科学检测每个数据包的目标地址、源地址与端口,进而对整个系统安全系数进行合理的判断。状态监测技术主要是借助防火墙来从网络安全策略之上来检测网络状态,提升网络环境的安全性与通畅性。例如,可抽取相关的状态信息来与安全策略进行对照,科学检查网络动态数据包,若发觉意外,应即刻停止传输。网关技术主要是设立到网络数据通信端口的相关工作站,主要负责检查进入到网络平台之中的网络数据与网络请求,避免发生恶意攻击行为,从而达到保护网络数据的安全性。近些年来,防毒墙技术逐步发展起来,主要是对计算机网络病毒实施过滤的一种病毒库,要求把防毒墙设置在网络入口位置,过滤好互联网各项信息,主要实现对病毒的科学过滤,如若发现存在病毒的威胁,应及时将病毒予以清除掉。从理论角度出发,防毒墙可防止发生病毒入侵现象,而发挥更好的病毒防范效果,应对病毒库进行更新,利用防毒墙来实时化监测最新的病毒。
(2)身份认证与访问控制
对于网络系统中的每台计算机,必须要利用身份认证来予以识别,而对于对方访问情况,需要由身份辨认角度来予以确认。安全管理员应科学设置口令,由口令认证上开展访问控制。此外,应对用户开展相应的分级管理,使用不同权限来利用好网络资源。在口令认证上,可加强对口令字符数的管控,针对不同字符组合来设定口令,也要开展定期变更处理,对用户数据进行保密处理。不可在邮件之中予以发送。网络认证环境相对复杂,而对于攻击者而言,其主要是由网络传输层来截获口令,此种情况下,口令认证也会存在着安全风险。网络身份认证工作甚为复杂,而在各个主机上,对双方身份进行认证处理时,可通过网络平台来操作,此时,网络会为黑客带来便利。面对此类问题,防范口令入侵之上,主要采取密钥加密处理方式。与此同时,应对IP地址采取合理的接入处理,能限制访问非授权性用户。而后,还要遵循事先约定的基本原则,科学检测来访者的具体身份,在控制阶段来对用户实施分组,对权限范围予以限制,对相关文件实施合理的控制与操作。
(3)反病毒软件
不管是密钥认证技术,还是病毒防火墙与
数据加密技术,基于计算机网络环境而言,依然存在病毒与黑客攻击行为。当前,网络病毒变异的速度逐步加快,致使病毒感染率大大提高。此时,可使用反病毒软件来对病毒进行防范处理。反病毒软件主要是通过对网络病毒的科学检测,预防出现恶意程序问题,会使得安全和管理工作变得十分便捷,利于提高网络维护与管理质量。例如,可在NT服务器之上安装一定的杀毒软件,能对本局域网之内全部极其实施安全配置,借助操作系统间相关安全处理措施来架构网络病毒防御系统。此外,利用反病毒软件,能结合网络病毒的基本特点来开展目标性设计,若发现病毒,就需要启动病毒隔离系统,若个别终端存在着感染病毒的现象,服务器就会起到防范兵符传播的作用。
病毒现状
据
国家互联网应急中心2020年11月16日-11月22日消息显示,中国境内感染网络病毒的主机数量约为47.6万个,其中包括境内被木马或被僵尸程序控制的主机约41.2万以及境内感染飞客(conficker)蠕虫的主机约6.4万。