1病毒工作原理

病毒究竟是怎樣感染和破壞計算機系統(tǒng)的呢？下面以世界流行排名靠前的病毒為例做個簡單的說明。

1.1VBS_KAKWORM.A。該蠕蟲是在1999年10月份發(fā)現(xiàn)的。它由三部分組成：HTA文件(HTML應用程序)，REG文件和BAT文件（MS_DOS批處理文件）。該蠕蟲使用MSOutlookExpress，通過郵件進行傳播。

1.2TROJ_PRETTY_PARK。這種蠕蟲最早在1999年6月時，在歐洲中部廣泛流行，在今年三月時，又再次爆發(fā)。它會每隔30分鐘，將自身命名為“PrettyPark.Exe”，然后作為郵件的附件發(fā)送給郵件地址薄中的所有人。文件的圖標使用著名的名為“南方公園”中的卡通形象。另外，該蠕蟲還具有后門程序的功能，它會將感染此蠕蟲的系統(tǒng)的信息發(fā)送給一些IRC服務器，如：系統(tǒng)配置信息、登錄密碼和用戶名、電話號碼以及ICQ號碼等。同時，它還可以遠程控制被感染的系統(tǒng)，如：創(chuàng)建/刪除目錄、上載/下載文件和刪除或執(zhí)行文件。

1.3VBS_LOVELETTER。該病毒運行后，它自動給郵件地址列表中的所有的地址發(fā)送郵件，并將自身作為郵件的附件。同時，該病毒感染力極強，可尋找本地驅動器和映射驅動器，并在所有的目錄和子目錄中搜索可以感染的目標。該病毒感染擴展名為“vbs”，“vbe”，“js”，“jse”“，css”“，wsh”“，sct”“,hta”“，jpg”“，jpeg”“，mp3”和“mp2”等十二種類型文件。當病毒找到有擴展名為“js”“，jse”“，css”“，wsh”“，sct”“,hta”文件時，病毒將覆蓋原文件，并將文件后綴改為“vbs”；當感染擴展名為“vbs”“，vbe”的文件時，原文件將被病毒代碼覆蓋；當感染擴展名為“jpg”“，jpeg”的文件時，用病毒代碼覆蓋文件原來的內(nèi)容，并將后綴加上.vbs后綴，隨后毀掉宿主文件，破壞了這些數(shù)據(jù)文件原始內(nèi)容。

2感染病毒的現(xiàn)象

計算機感染病毒的現(xiàn)象主要有以下幾種：

1）運行正常的計算機突然經(jīng)常性無緣無故地死機。這可能是病毒感染了計算機系統(tǒng)，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生；操作系統(tǒng)無法正常啟動。

2）關機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結構發(fā)生變化，無法被操作系統(tǒng)加載、引導。

3）運行速度明顯變慢。在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。

4）以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤。

5）打印和通訊發(fā)生異常。硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，這很可能是計算機病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。

6）某個以前能夠正常運行的程序，程序啟動的時候報系統(tǒng)內(nèi)存不足，或者使用應用程序中的某個功能時報說內(nèi)存不足。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。

7）無意中要求對軟盤進行寫操作。這很可能是計算機病毒自動查找軟盤是否在軟驅中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序（如Office97）對軟盤有寫的操作。

8）以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤。在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應用程序產(chǎn)生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。

9）系統(tǒng)文件的時間、日期、大小發(fā)生變化。上述是明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，使用到的數(shù)據(jù)文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。

10）運行Word，打開Word文檔后，該文件另存時只能以模板方式保存。無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。一般的系統(tǒng)故障是有別與計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據(jù)上述幾點，就可以初步判斷計算機和網(wǎng)絡是否感染上了計算機病毒。

3病毒的防范

要使自己的計算機安全，不受病毒的破壞，就要有病毒防范意識。首先避免多人共用一臺計算機。在多人共用的計算機上，由于使用者較多，軟件使用頻繁，且來源復雜，大增加了病毒傳染的機會。其次杜絕使用來源不明或盜版軟件。不要把他人的軟盤放進自己的計算機，也不要把軟盤隨便借給他人使用，更不能使用盜版的軟件（文件、程序、游戲）。因為它們極可能攜帶病毒。再次網(wǎng)上下載要到知名大網(wǎng)站。近年來，計算機病毒通過網(wǎng)絡散發(fā)已成為主流，網(wǎng)絡也使病毒的傳播達到前所未有的瘋狂的程度。因此網(wǎng)上下載要謹慎，一定要到安全可靠的知名網(wǎng)站、大型網(wǎng)站，不要選擇一些小型網(wǎng)站。使用網(wǎng)上下載的東西之前最好先做病毒掃描，確保安全無毒。聯(lián)網(wǎng)的計算機要用好電子郵件（E-mai）l系統(tǒng)。幾乎所有類型的計算機病毒都可能通過電子郵件來進行快速傳播。如Nimda（尼姆達）病毒通過電子郵件傳播，當用戶郵件的正文為空，似乎沒有附件，實際上郵件中嵌入了病毒的執(zhí)行代碼，用戶在預覽郵件時，病毒就已經(jīng)在不知不覺執(zhí)行了。因而在收到電子郵件時，要不打開來歷不明郵件的附件或你并未預期接到附件。對看來可疑的電子郵件不要打開，馬上刪除。