计算机病毒及其防治
计算机病毒的传播途径
(1)通过文件系统传播;
(2)通过电子邮件传播;
(3)通过网页传播;
(4)通过互联网上即时通讯软件和点对点软件等常用工具传播。
计算机病毒的种类
(1) DOS病毒。DOS病毒只能在DOS环境和早期Windows环境下运行、传染(通过软盘),感染对象为DOS引导扇区和可执行文件其危害性主要有:DOS不能正常引导、出现花屏、可执行文件被更改、系统死机或程序运行异常等。
(2) Windows病毒。Windows病毒按其感染的对象又可分为感染NE格式(Windows3.X)可执行程序的病毒;感染PE格式Windows95/98)可执行程序的病毒。其危害性主要有:CMOS设置被更改导致系统设置混乱无法正常启动、Windows系统文件和文本文件被更改、BIOS被更改导致硬件系统瘫痪、修改硬盘内容或分区信息导致不识硬盘甚至硬盘损坏等等。“CIH”病毒是其代表。
(3) 混合型病毒。随着Windows系统大量使用、网络技术和服务的飞速发展,破坏程度呈几何增长的混合型病毒随之产生。它结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现局域网内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或系统的薄弱环节等。
混合型病毒病毒融入了蠕虫、木马、后门、黑客、SMTP等技术,其传播速度极快、危害性极大,严重时可在几分钟内感染数万多台计算机,造成全球数以亿计美元的损失。混合型病毒目前最具危害性的表现形式有:垃圾邮件病毒、间谍软件等等。前者大大提高了病毒感染率,而后者使第三方得以获取使用者的敏感信息。
计算机感染病毒的主要症状计算机感染了病毒后症状很多,其中以下25种最为常见:
(1)信息系统运行速度明显减慢;
(2)平时运行正常的计算机突然经常性无缘无故地死机;
(3)文件长度发生变化;
(4)磁盘空间迅速减少;
(5)系统无法正常启动;
(6)丢失文件或文件损坏;
(7)屏幕上出现异常显示;
(8)计算机的喇叭出现异常声响;
(9)网络驱动器卷或共享目录无法调用;
(10)系统不识别硬盘;
(11)对存储系统异常访问;
(12)键盘输入异常;
(13)文件的日期、时间、属性等发生变化;
(14)文件无法正确读取、复制或打开;
(15)命令执行出现错误;
(16)虚假报警;
(17)换当前盘,有些病毒会将当前盘切换到C盘;
(18)时钟倒转,有些病毒会命系统时间倒转,逆向计时;
(19)以前能正常运行的软件经常发生内存不足的错误甚至死机;
(20)系统异常重新启动;
(21)打印和通讯发生异常;
(22)异常要求用户输人密码;
(23)WORD或EXCEL提示执行“宏”;
(24)不应驻留内存的程序驻留内存;
(25)自动链接到一些陌生的网站。
如何防治计算机病毒
计算机病毒对信息网络造成的破坏和危害越来越大,因此,要有足够的警惕性觉来防范计算机病毒的侵扰。
防范计算机病毒常用的技术手段主要有:操作系统和防病毒软件的及时升级、重要信息的及时备份以及重要信息遭破坏后的恢复。
个人防范计算机病毒的主要要求有:
(1)参加单位组织的各项安全培训和讲座,提高防范意识和技能;
(2)遵守各单位结合自己情况建立的计算机病毒防治管理制度;
(3)杀毒软件由单位统一安装一个杀毒软件,不要同时安装多个自行再安装;
(4)按要求及时升级杀毒软件、操作系统和应用软件补丁;
(5)按要求和操作规范关闭办公电脑上不用的端口,防止各种恶意程序的进入和信息外泄;
(6)在接收电子邮件时,要仔细观察,不打开来历不明的邮件;
(7)未经许可不在电脑中安装其他软件(如游戏等);
(8)及时做好重要信息的备份工作,使用存储介质时,要确认不带病毒;
(9)确保提供共享的信息资源不带病毒;
(10)发现感染病毒后可执行如下操作:
a)断开与网络的连接(拔掉网线);
b)按Ctrl+Alt+Del调出任务管理器,观察并记录其中可疑的进程名;
c)重新启动计算机,进入系统安全模式(按F8);
d)打开防病毒软件,扫描所有磁盘;
e)运行regedit,删除注册表启动项中的所有可疑键值;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunOnce,RunServices)
HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
f)删除可疑的进程文件。
个人电脑使用规范
3.1 使用计算机应形成良好习惯
培养良好的信息安全意识,养成好的计算机使用习惯:
(1)保持键盘、鼠标、显示器等常用设备的清洁,防止茶水等液体进入键盘、显示器等外设造成设备短路损毁;
(2)暂时离开时要锁定计算机,或使用计算机屏幕保护程序并设置口令;
(3)妥善管理计算机各种用户名(账号)与口令;
(4)使用软件前,阅读软件说明书,熟悉软件的特性及使用方式;
(5)未经许可不擅自使用他人的办公计算机;
(6)严禁擅自将外网电脑接入内网,接入内网的电脑必须确认没有病毒;
(7)重要文件按规定随时备份;
(8)禁止在计算机上使用来路不明的光盘;
(9)外出或下班时应关闭办公电脑、显示器等终端的电源。
正确设置用户名与口令 口令至少六个字符,切忌设置空口令和与用户名(帐号)名相同的口令。
一个好的口令首先要不易被猜出,您的名字、生日、电话号码、password、root、admin、123456,等都不是好的口令。第二要求口令不易被破解,以现今主流家用计算机的处理能力,破解8位字符纯数字或纯字母组成的口令只需2—10分钟。所以,在能够记住的前提下,好的口令至少应该由大小写字母、数字和其他字符组成,尤其在信息安全危险度较高的场合(比如,24小时开机的计算机,直接连接广域网、城域网的服务器等)。
多种方式灵活设置口令
(1)开机口令(又称为CMOS口令):在计算机主机板BI0S中设定;
(2)登录用户名(帐号):进入操作系统所需键入的用户名和口令;高权限用户名(帐号)对整个操作系统具有控制权,甚至是整个工作组或域的控制权,是最重要的口令,须正确设置口令,妥善管理口令;
(3)屏保口令:在暂时离开时要使用计算机屏幕保护程序并设置口令;
(4)应用程序口令:大部分信息管理软件都可以设置口令功能,具有口令者才能使
用;
(5)常用的文档编辑软件;
(6)电子邮件及各种网络通讯软件等等。
上网浏览的注意事项 (1)不要同时打开太多链接窗口;
(2)当某个网站提出要将本网站设置为主页时,要取消操作;
(3)当网页中弹出安装某个插件的对话框时,如果一时不能确认,取消安装;
(4)定期清除历史访问信息、cookies以及Internet临时文件。
(5)严禁在网络上运行任何黑客软件;若工作需要,应在独立的测试环境中试验。
使用电子邮件的注意事项 (1)邮件和邮件通讯录都要做好备份;
(2)发送邮件大小不超过邮箱总容量,附件大小应做适当控制,可先行压缩,或分成几个压缩包;
(3)多个文档文件作为附件发送时,最好压缩打包成一个文件发送;
(4)群发邮件时,收件人地址之间用逗号“,”或分号“;”分隔;
(5)邮件客户端程序建议弃用Outlook Express,使用Foxmail,并设置账户口令;
(6)以Web方式收取邮件,在阅读完毕时,一定要退出登录,并关闭网页;
(7)不要打开来历不明、奇怪标题或者非常有诱惑性标题的电子邮件;exe.com.pif.scr.vbs为后缀的附件,或者名字很特别的TXT文件,不要轻易打开;
(8)重要邮件在发送前应做加密处理;禁止将含工作内容的邮件通过互联网上免费邮箱发送;
(9)应该及时清理自己的个人邮箱,删除或转移邮件,以保证邮箱的可用容量;
(10)多个邮箱使用时最好做分类处理
(11)严禁在邮件内容中透露涉及单位和个人的重要信息内容。如身份证号码、银行帐号、计算机账号及口令等;
(12)禁止任何人发送或有意接收垃圾邮件。
注意保护重要数据和文件 (1)重要数据和文件根据不同的需要按规定进行加密和设置访问权限;
(2)重要数据和文件应及时按规定进行备份。核心数据和文件要考虑在本地备份的基础上进行异地备份;
(3)重要数据和文件不要放在共享文件夹内,确因工作需要临时设立共享文件夹的,应设置口令,并应针对不同的用户名(帐号)设置不同的操作权限。临时共享文件夹使用结束后,应立即取消。
系统主机安全加固
安装完系统立即升级补丁
安装完Windows2000系统后,立即打上SP4补丁,WindowsXP系统则立即安装上SP3补丁。接着使用Windows update在线更新全部重要补丁,安装过程中提示输入管理员密码时,密码长度应在8位以上,最好使用数字、字母、特殊符号等多种组合。
修改注册表
(1)将Administrator改名。(控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户)。
(2)去除默认共享。(运行regedit,修改键值,
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Lanmanserver/parameters/,新建双字节值AutoShareServer,值为0;添加双字节值AutoShareWKS,值为0)
(3)禁止空连接(运行regedit, HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA/RestrictAnoymous,值为1)。
(4)不允许枚举SAM帐号(管理工具-本地安全策略-本地策略-安全选项-将“网络访问:不允许SAM帐号的匿名枚举”、“网络访问:不允许SAM帐号和共享的匿名枚举”均设置为“启用”)。
(5)禁止远程访问注册表(管理工具-本地安全策略-本地策略-安全选项-将“网络访问:可远程访问的注册表路径”中全部键值删除)。
配置本地安全策略 (1) 帐户锁定(控制面板-管理工具-本地安全策略-帐户策略-帐户锁定策略,设置账户锁定值)。
(2)设置审核策略(建议服务器进行设置,个人电脑不需要。控制面板-管理工具-本地安全策略-审核策略,全部启用“成功”、“失败”)。
(3)禁用Netbios(网络属性-TCP/IP属性-Wins-禁用TCP/IP上的Netbios)。
禁用不安全的系统服务
关闭危险和不必要的服务,如: Remote Registry、Telnet、Terminal Services、Secondary Login、TCP/IP Netbois Helper、Rpc Locator Wins、Rpc service Workstation、Netlogin Event log、DNS Server Spooler、Messenger等等。
关闭不必要的端口
根据服务器的功能打开特定的端口,其它端口则关闭。如网站服务器提供WEB服务,一般端口为80;若提供FTP服务,则端口为21。
设置如下:网络属性-TCP/IP属性-选项-TCP/IP筛选-属性-启用TCP/IP筛选-输入只允许打开的TCP端口,如:80、21,确定后重新启动系统。一般来说,UDP端口可以全部禁止。
如果服务器提供的服务比较复杂,按以下办法查看端口。如服务器提供视频服务,则在某PC机上登录服务器并播放视频,然后进入命令提示符状态,键入netstat-an,回车后出现程序进程及端口信息列表,记录与服务器IP地址建立连接( ESTABLISHED )的端口号,然后按前述步骤在该服务器上设置即可。
安装软件防火墙为了确保主机安全,再安装软件防火墙效果将更佳。推荐:
瑞星杀毒软件2008 瑞星防火墙
五、经常访问信息安全网站
经常访问安全类网站,及时了解计算机病毒预警、系统漏洞发布等信息,有助于我们提前做好防范。
1、微软安全公告:
www.microsoft.com/china/security/Bulletins 2、中国网络信息安全(公安部第三研究所主办)
www.china-infosec.org.cn 3、国家计算机病毒处理中心
www.antivirus-china.org.cn 4、北京市计算机病毒预警与应急处理平台 bjcert.bnii.gov.cn
老文章啦,不过还是有些现实意义 供大家借鉴
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; WPS; TencentTraveler )