计算机病毒定义
我国在《计算机病毒防治管理办法》对病毒定义为“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
计算机病毒是一种性质恶劣的软件应用程序或编写的代码,可以将自身附加到其他程序、自我复制并将自身传播到其他设备上。执行时,病毒通过将其代码插入其他计算机程序来修改其他计算机程序。如果病毒复制成功,受影响的设备将被视为“感染”计算机病毒。
病毒代码执行的恶意活动可能会损坏本地文件系统、窃取数据、中断服务、下载其他恶意软件或恶意软件作者编码到程序中的任何其他操作。许多病毒伪装成合法程序来诱骗用户在其设备上执行这些程序,从而传递计算机病毒负载。
计算机病毒的类型
每个计算机病毒都有一个执行操作的有效负载。威胁行为者可以将任何恶意活动编码到病毒负载中,包括不会造成任何伤害的简单、无害的恶作剧。虽然少数病毒具有无害的有效负载,但大多数病毒都会对系统及其数据造成损害。有九种主要病毒类型,其中一些可以与其他恶意软件打包以增加感染和损坏的机会。计算机病毒的九个主要类别是:
引导扇区病毒
计算机驱动器有一个扇区专门负责指向操作系统,以便它可以启动进入界面。引导扇区病毒会损坏或控制驱动器上的引导扇区,导致计算机无法使用。攻击者通常使用恶意 USB 设备来传播这种计算机病毒。当用户插入 USB 设备并启动计算机时,病毒就会被激活。
网页脚本病毒
大多数浏览器都可以防御恶意 Web 脚本,但较旧的、不受支持的浏览器存在漏洞,允许攻击者在本地设备上运行代码。
浏览器劫持者
可以更改浏览器设置的计算机病毒会劫持浏览器收藏夹、主页 URL 和您的搜索首选项,并将您重定向到恶意站点。该网站可能是网络钓鱼网站或广告软件页面,用于窃取数据或为攻击者赚钱。
驻留病毒
可以访问计算机内存并在有效负载交付之前处于休眠状态的病毒被视为常驻病毒。此恶意软件可能会保持休眠状态,直到特定日期或时间或用户执行操作时。
直接作用病毒
当用户执行附加了恶意代码的看似无害的文件时,直接作用的病毒会立即传递有效负载。这些计算机病毒也可以保持休眠状态,直到采取特定操作或经过一段时间为止。
多态性病毒
恶意软件作者可以使用多态代码来更改程序的足迹以避免检测。因此,防病毒软件更难以检测和删除它们。
文件感染病毒
为了在系统上持久存在,威胁行为者使用文件感染病毒将恶意代码注入运行操作系统或重要程序的关键文件中。计算机病毒在系统启动或程序运行时被激活。
多部分病毒
这些恶意程序通过复制自身或将代码注入关键计算机资源来在网络或其他系统中传播。
宏病毒
Microsoft Office 文件可以运行可用于下载其他恶意软件或运行恶意代码的宏。当文件打开且宏运行时,宏病毒会传递有效负载。
计算机病毒产生的原因是什么?
计算机病毒是标准程序,不但不会提供有用的资源,反而会损坏的设备。计算机病毒通常是由具有各种意图的黑客制作的,例如窃取敏感数据以造成系统混乱。一些黑客创建这些恶意程序是为了好玩或作为挑战,而另一些黑客则有更险恶的动机,例如经济利益或网络战。
黑客可能会利用操作系统或应用程序中的弱点来获取未经批准的访问权限和对用户计算机的控制权,以实现其目标。
自我驱动:一些病毒作者通过创建引起媒体关注的破坏性或广泛传播的病毒来在黑客社区中寻求名声。
网络犯罪:黑客经常使用计算机病毒作为勒索软件攻击、身份盗窃和其他形式的在线欺诈的工具。
破坏:在某些情况下,心怀不满的员工会制造计算机病毒来故意破坏雇主的基础设施。
网络间谍活动:国家资助的黑客可能会使用旨在长期渗透到目标网络的定制恶意软件来开发高级持续威胁 (APT)。
为了让威胁行为者在计算机上执行病毒,必须启动执行。有时,攻击者可以通过浏览器或从另一台网络计算机远程执行恶意代码。现代浏览器可以防御本地机器代码执行,但浏览器上安装的第三方软件可能存在允许病毒在本地运行的漏洞。
计算机病毒的传播可以通过多种方式进行。一种常见的方法是通过网络钓鱼电子邮件。另一种技术是在承诺提供合法程序的服务器上托管恶意软件。它可以使用宏或通过将恶意代码注入合法软件文件来传递。
计算机病毒如何工作?
从本质上讲,计算机病毒是一些不显眼的程序,它们会搭上其他文件或应用程序的便车。在大多数情况下,他们的主要目标是像野火一样复制和传播。
计算机病毒是一种恶意软件程序,旨在通过以某种方式修改其他程序来感染其他程序。在此过程中,病毒会将自身附加到毫无戒心的文件或应用程序上以进行传播。
感染过程
病毒可以将自身附加到任何支持宏来执行其代码的合法程序或文档,例如电子邮件附件或从网站下载的文件。一旦文件被打开或下载,病毒就会开始行动并开始执行。
隐藏在众目睽睽下
计算机病毒非常狡猾,可以对用户和防病毒软件等隐藏起来。病毒采用隐秘技术,例如改变其外观的多态性或加密方法。
造成的损害
一旦激活,病毒可能会对计算机系统造成严重破坏。它可以窃取敏感数据、损坏文件、降低性能,甚至使整个系统崩溃。当用户有意或无意地采取有助于它的操作后,它可以从一个系统传播到另一个系统。
需要注意的是,病毒只是恶意软件的一种类型,许多其他类型的恶意软件也可能损害您的计算机或窃取您的个人信息。
病毒如何传播?
计算机病毒通过各种渠道传播,了解这些渠道对于保护您自己和您的组织免受感染至关重要。
电子邮件附件
病毒传播的一种方法是通过电子邮件附件。黑客经常将其恶意代码伪装成看似无害的文件,例如毫无戒心的用户不假思索地打开的文档或图像。例如,Ursnif 银行木马活动通过冒充发票或财务报表的电子邮件附件进行传播。
互联网下载
病毒还可能隐藏在软件安装程序、媒体文件甚至您从网络下载的浏览器扩展中。从未知来源或粗略网站下载文件时务必小心谨慎。Download.com 丑闻是一个臭名昭著的案例,其中流行的应用程序默认与广告软件和其他不需要的程序捆绑在一起。
文件共享网络
文件共享网络(如种子网站和点对点平台)很容易传播病毒。看似无辜的电影种子或破解软件可能带有隐藏的有效负载,旨在在安装时危害您的设备。例如,海盗湾使用基于浏览器的加密货币挖掘器,因此当有人访问该网站时,他们的计算机会在他们不知情或未经同意的情况下被用来挖掘加密货币。
可移动媒体
病毒可以附着在可移动介质上,例如 USB 驱动器和 CD/DVD,从而感染它们插入的任何计算机。臭名昭著的 Stuxnet 蠕虫病毒是通过可移动介质传播的病毒的一个典型例子。
为了保护自己和组织免受计算机病毒的侵害,请始终保持谨慎并采用强大的网络安全措施,例如最新的防病毒软件和定期系统扫描。请记住,知识就是力量,尤其是在预防病毒和网络攻击时。
什么是计算机蠕虫?
计算机蠕虫是一种恶意软件,旨在自我复制以传播到其他计算机。与计算机病毒不同,蠕虫病毒不需要宿主程序即可传播和自我复制。相反,他们经常使用计算机网络进行传播,依靠目标计算机上的安全故障来访问它。
一旦蠕虫感染一台计算机,它就会使用该设备作为主机来扫描和感染其他计算机。当这些新的感染蠕虫病毒的计算机受到威胁时,蠕虫病毒会继续扫描并感染使用这些计算机作为主机的其他计算机。蠕虫通过消耗大量内存和带宽负载来运行,导致服务器、系统和网络过载。
计算机病毒有什么作用?
计算机病毒的行为方式取决于其编码方式。它可能是简单的恶作剧,不会造成任何损害,也可能很复杂,导致犯罪活动和欺诈。许多病毒仅影响本地设备,但其他病毒则通过网络环境传播以寻找其他易受攻击的主机。
感染主机设备的计算机病毒会继续传递有效负载,直到将其删除。大多数防病毒供应商都提供消除病毒的小型删除程序。多态病毒使清除变得困难,因为它们不断改变其足迹。有效负载可能会窃取数据、破坏数据或中断网络或本地设备上的服务。
计算机病毒与恶意软件
虽然意图和含义有所重叠,但恶意软件和病毒是两个不同的术语,经常互换使用。
恶意软件是任何类型恶意软件的总称,而病毒是一种特定类型的恶意软件,通过将其代码插入其他程序来进行自我复制。虽然病毒是恶意软件的一种,但并非所有恶意软件都是病毒。
恶意软件可以采取多种形式,包括病毒、蠕虫、木马、间谍软件、广告软件和勒索软件,并且可以通过受感染的网站、闪存驱动器、电子邮件和其他方式进行分发。病毒需要宿主程序才能运行并将其自身附加到合法文件和程序。它会导致许多恶意影响,例如删除或加密文件、修改应用程序或禁用系统功能。
计算机病毒的迹象
恶意软件作者编写的代码在有效负载交付之前无法检测到。然而,与任何软件程序一样,错误可能会在病毒运行时出现问题。您感染计算机病毒的迹象包括:
弹出窗口,包括广告(广告软件)或恶意网站链接。
您的网络浏览器主页已更改,但您并未更改它。
发送到联系人列表或联系人列表中的人员的出站电子邮件会提醒你账户发送的奇怪消息。
计算机经常崩溃、内存不足且活动程序很少或在Windows中显示蓝屏死机。
即使运行很少的程序或最近启动计算机,计算机性能也会降低。
当计算机启动或打开特定程序时,未知程序会启动。
密码在您不知情或您在账户上进行交互的情况下发生更改。
打开或使用程序等基本功能会频繁出现错误消息。
计算机病毒示例
网络包含数以百万计的计算机病毒,但只有少数病毒流行并感染了创纪录数量的机器。广泛传播的计算机病毒的一些示例包括:
莫里斯蠕虫 –最早、最普遍的计算机病毒示例之一,这种自我复制的计算机程序于 1988 年通过早期互联网传播,导致许多计算机速度减慢或崩溃。
Nimda –这种特殊类型的蠕虫以运行 Microsoft Windows 操作系统的 Web 服务器和计算机为目标,于 2001 年通过多个感染媒介进行传播。
ILOVEYOU –一种极具破坏性的蠕虫病毒,通过电子邮件传播,伪装成爱情表白,并通过覆盖文件在 2000 年造成广泛破坏。
SQL Slammer –一种快速传播的计算机蠕虫,它利用 Microsoft SQL Server 中的漏洞,在 2003 年造成网络拥塞并中断 Internet 服务。
Stuxnet –一种复杂的蠕虫病毒,旨在通过利用 2010 年的零日漏洞来攻击和破坏工业控制系统,特别是伊朗的核计划。
CryptoLocker –这种勒索软件特洛伊木马在 2013 年感染了数十万台计算机,它加密受害者的文件并要求赎金才能解密。
Conficker –该蠕虫病毒于 2008 年出现,利用 Windows 操作系统中的漏洞,创建了一个庞大的僵尸网络并造成广泛感染。
Tinba –该银行木马于 2012 年首次发现,主要针对金融机构,旨在窃取登录凭据和银行信息。
Welchia –一种蠕虫,旨在从受感染的系统中删除 Blaster 蠕虫并修补被利用的漏洞,但在 2003 年导致了意外的网络拥塞。
Shlayer –一种 macOS 特有的木马,自 2018 年以来主要通过虚假软件更新和下载进行传播,传播广告软件和潜在有害程序。
如何删除计算机病毒
删除计算机病毒可能是一项具有挑战性的任务,但您可以采取几个步骤来删除它。删除计算机病毒的常见步骤包括:
下载并安装防病毒软件:假设您尚未安装防病毒软件,请下载并安装实时按需解决方案(如果可能)。当您使用计算机时,实时恶意软件扫描程序会在后台扫描病毒。每当您想要扫描设备时,您都必须启动按需扫描仪。
断开互联网连接:某些计算机病毒利用互联网连接进行传播,因此从电脑中删除病毒时最好断开互联网连接,以防止进一步损坏。
删除所有临时文件:根据病毒的类型,删除临时文件也可以删除病毒,因为某些病毒设计为在计算机启动时启动。
将计算机重新启动到安全模式:为了在删除病毒时减轻对计算机的损害,请在“安全模式”下重新启动设备。这将抑制病毒的运行并让您更有效地删除它。
运行病毒扫描:使用防病毒软件运行全面扫描,选择可用的最彻底或最完整的扫描选项。如果可能,请在扫描过程中覆盖所有硬盘驱动器号。
删除或隔离病毒:检测到病毒后,防病毒软件将为您提供删除或隔离病毒的选项。隔离病毒会将其与计算机的其他部分隔离,以防止其造成进一步的损害。
重新启动计算机:假设您已有效删除病毒,则可以重新启动计算机。只需像平常一样打开设备,无需启动“安全模式”选项。
更新您的浏览器和操作系统:要完成病毒清除过程,请将您的操作系统和网络浏览器更新到最新版本。浏览器和操作系统更新通常包含针对特定漏洞和漏洞的修复。
鉴于此过程的一般性质,结果可能因病毒和设备而异。如果您不确定是否已有效地从计算机中删除病毒,请联系 IT 或计算机专业人员寻求帮助。
如何预防计算机病毒
计算机病毒可能会损坏您的 PC、向攻击者发送敏感数据并导致停机直至系统修复。您可以通过遵循一些最佳实践来避免成为下一个计算机病毒受害者:
安装防病毒软件:防病毒软件应在连接到网络的任何设备上运行。这是您抵御病毒的第一道屏障。防病毒软件会阻止恶意软件可执行文件在本地设备上运行。
不要打开可执行电子邮件附件:包括勒索软件在内的许多恶意软件攻击都是从恶意电子邮件附件开始的。切勿打开可执行附件,用户应避免运行编程到 Microsoft Word 或 Excel 等文件中的宏。
保持操作系统更新:所有主要操作系统的开发人员都会发布补丁来修复常见错误和安全漏洞。始终保持操作系统更新并停止使用停产版本(例如 Windows 7 或 Windows XP)。
避免有问题的网站:旧版浏览器在浏览网站时很容易受到攻击。您应该始终使用最新补丁更新您的浏览器,并避开这些网站,以防止偷渡式下载或将您重定向到托管恶意软件的网站。
不要使用盗版软件:免费的盗版软件可能很诱人,但它通常包含恶意软件。仅从官方来源下载供应商软件,避免使用盗版软件和共享软件。
使用强密码:确保您的密码高度安全且难以猜测。避免在多个帐户中使用相同的密码,并定期更改密码,以减少漏洞并防止黑客窃取它们。
保持警惕:从互联网下载文件或软件或打开可疑电子邮件附件时始终保持谨慎。关闭文件共享,切勿与不认识的人共享对您计算机的访问权限。另外,避免将敏感或私人信息存储在计算机上
我国在关于计算机病毒防治方面,比较重要的文件是公安部于2000年4月26日公安部令第51号发布并施行的《计算机病毒防治管理办法》,该《办法》对计算机病毒的制作、传播、防护等做出了要求,同时对于违反或不履行责任义务的给出了处罚规定,其中计算机信息系统的使用单位,主要履行的是安全防护责任。
对于计算机信息系统的使用单位来说,《办法》规定有下列行为之一的,由公安机关处以警告,并根据情况责令其限期改正;逾期不改正的,对单位处以一千元以下罚款,对单位直接负责的主管人员和直接责任人员处以五百元以下罚款:
(一)未建立本单位计算机病毒防治管理制度的;
(二)未采取计算机病毒安全技术防治措施的;
(三)未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的;
(四)未及时检测、清除计算机信息系统中的计算机病毒,对计算机信息系统造成危害的;
(五)未使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品,对计算机信息系统造成危害的。
后记:计算机病毒防治是各方共同参与才能做好的工作,在选择杀毒软件过程中一定要选择一款有用的杀毒,同时要考虑其在我国是否取得销售许可,现在已经逐渐转为《网络关键设备和网络安全专用产品安全认证和安全检测》,只要是在目录内的原则上都是合法合规的产品,然后就是在其中选购适合自己单位的产品即可。
参考:维基百科、《计算机病毒防治管理办法》、《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》