有点长

毒王争霸 熊猫烧香与灰鸽子木马对决 谁比谁更黑?
本次PK所采用的两种病毒的样本均来自安全厂商，PK项目分为：典型表现、病毒行为以及传播方式。病毒世界谁更胜一筹，结果马上揭晓。

首先进行PK的项目是典型表现。
   
    中文：熊猫烧香病毒
    英文：Worm.Nimaya
   
熊猫烧香典型表现：

    感染病毒后会发现较多的.EXE文件图标变成正在烧香的熊猫，这也是“熊猫烧香”名称的来源。不过现在发现的部分变种已经不再使用这个广为人知的图标了。有部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

    该系列变种会释放以下几个典型文件：

    分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。

    局域网环境下：GameSetup.exe。
   
灰鸽子典型表现：
   
    中文：灰鸽子木马（拥有变种超过6万种）
    英文：Trojan.Huigezi
   
    灰鸽子成名比熊猫烧香早了近五年，可谓是熊猫烧香的“老前辈”。早在2001年，灰鸽子就荣获“高危木马”的盛名，经过其作者坚持不懈的努力，直至今年，灰鸽子的变种早就超过了六万。几乎所有人都知道熊猫烧香，就是因为这个病毒有个非常可爱且明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在家中长驻。

    根据笔者得到的资料，灰鸽子可以安装在任意位置，由安装者自己决定。灰鸽子木马的文件名可以由攻击者任意定制，它还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。
   
第一回合总结：

    熊猫烧香破坏了电脑中不同格式的文件，并且使得大量进程中止，给用户的使用带来了极大不便。初步来看，灰鸽子并没有对电脑的使用造成影响，此项PK，熊猫烧香胜出。

病毒行为大PK：
   
熊猫烧香的行为表现：

    删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程；终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon；终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe；弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播；修改注册表键值，导致不能查看隐藏文件和系统文件；除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件；病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
   
灰鸽子木马行为表现：

    电脑感染灰鸽子病毒后会被远程攻击者完全控制，攻击者拥有和管理员一样的权限。远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，机密文件在你毫不知情的情况下被窃取。它甚至还可以记录每一个点击键盘的操作，QQ号、网络游戏帐号、网上银行帐号，就是这样被远程攻击者轻松获得。更有甚者，远程攻击者可以直接控制摄像头，连你自己都不知道，原来你在远程还有一双眼睛。并且，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。
   
    2006年，北京电视台的《生活面对面》曾报道网银账户内1万余元被分15次盗走，警方在事主的嫌犯的电脑里发现的正是这个可以盗号的灰鸽子。
   
    想必关注安全领域的网友对“肉鸡”这个词不会陌生。电脑被人植入木马，这台主机，就被称为“肉鸡”，远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”，进行非法获利，比如在“肉鸡”上植入点击广告的软件；利用肉鸡配置代理服务器，以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时，肉鸡电脑将会成为替罪羊；此外，安装者还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。
   
第二回合总结：

    相比下载最新杀毒软件、专杀工具或者重装电脑就能解决的熊猫烧香问题，灰鸽子留下的隐患更深且更难以解决。此项PK，灰鸽子以绝对优势胜出。

传播方式大PK：

熊猫烧香的传播方式：

    利用网站传播是熊猫烧香的一大特色，U盘、局域网、网页等等，你能想到的一切传播方式它都能做到。

灰鸽子传播方式：

    灰鸽子本身并不能复制，这与熊猫烧香略有不同，灰鸽子四大传播方式是：

    网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

    邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

    IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件；

    非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。
   
第三回合总结：

    利用漏洞传播和利用捆绑传播各有其妙处，在此项上，两者打成平手。

总结：

    尽管从三项PK结果来看，整体上熊猫烧香与灰鸽子平分秋色，但是只要我们仔细琢磨灰鸽子的行为以及带来的后果会发现，其实灰鸽子木马至少在危害上是高出熊猫烧香大段距离。尽管两者都给用户带来了不同程度的伤害，但是我们还是很欣慰地看到，无论是浇灭熊猫手中的香还是砍下灰鸽子飞翔的翅膀，安全厂商在进行长期的努力，争取为网友带来更加纯净的网络空间。

什么是IRC后门
IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大。

    IRC没有国界限制，在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学，商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件，非常方便。IRC的客户端主界面如下图所示：














    IRC客户端与服务端通信采用的端口和相应协议是公开的，现在网上有很多IRC客户端软件，各有特色。同时，也正是由于协议的公开，给了病毒可乘之机。2004年年初，互连网开始大规模出现IRC后门病毒，全球的电脑都被笼罩在一个由IRC后门织成的网中，各家杀毒软件公司对此类病毒极为关注。


    IRC病毒可以使用户机器里的信息完全暴露给黑客，直接造成用户损失。同时，IRC病毒和蠕虫一样通过网络自动传播，占用大量网络资源，很容易阻塞局域网，给很多公司的正常业务带来较大影响。并且，许多IRC病毒的源代码是公开的，一个初学者拿到代码后只需少量改动即可编译出一个新的病毒，再给病毒加上不同的壳，造成IRC后门病毒变种不断涌现，瑞星公司几乎每天都能截获10个以上IRC病毒变种。

通常，杀毒软件厂商将这些病毒命名为bot，根据一些特性的不同加上不同的前缀，如：Agobot，Rbot，Sdbot，Wootbot等。下面我们以最常见的瑞波病毒（Rbot）为例介绍IRC病毒。


    Rbot运行后一般最少开启两个线程：

    线程一负责登陆IRC服务器，与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题，他会聪明的回答你，不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后，它等待其他聊天者向它提出问题，其实别人向Rbot提出的问题就是病毒将要执行的指令。比如：请把机器IP告诉我，结果Rbot就获取本地IP，发送到聊天室，从而暴露了用户的信息。同理，黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号，还可以上传、下载、执行文件，甚至向某台机器发起DoS（拒绝服务）攻击…… 造成的后果与一般后门无异，但是操纵的形式非常特殊，想抓到幕后元凶也非常困难。


    线程二负责传播自己。根据配置情况的不同，Rbot病毒体内一般都有弱口令字典，里面是待匹配的密码，一些常用的密码如Administrator，123，123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源，如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此，一定要给本机帐户设置足够安全的密码（大小写字母、数字以及特殊符号混合）。


    不同IRC后门病毒之间也是存在一些差别的。比如高波（Agobot）病毒具有和冲击波（Worm.Blaster）病毒相同的传播方式，即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效，甚至可能导致操作系统60秒倒计时自动重新启动计算机，给用户工作带来不便。

常见病毒案例:“大无极”变种病毒造成路由器阻塞
如今计算机在日常通信、工作和学习中已经成为一种必需的工具，一旦计算机网络瘫痪，造成的影响和损失将会难以估计。笔者日前就遇到了“大无极”变种蠕虫病毒发作，从而导致互联网与局域网间的瘫痪。

　　笔者所在公司的局域网有40台计算机，ISP是中国网通，网通将光缆铺设进大楼，大楼内由ISP架设局域网到楼内各公司的网络或单机进行互联网服务，笔者公司通过路由将线路连通，实现内部局域网和互联网、局域网间的VPN以及与总公司的IP电话通讯，大致布局见图。





　　故障症状

　　局域网内所有客户端访问互联网或收发电子邮件、VPN访问、IP电话均出现时通时不通的现象，而通也是很短暂的，不通的现象更广泛。局域网内的互访正常，电子邮件服务系统工作良好，交换机的信号灯闪烁也很正常，但路由器的信号灯不停地快速闪烁，就像在下载巨大文件（在使用VOIP时，路由器信号灯时会快速地闪烁）。

　　分析诊断

　　出现这样的情况时，首先关闭整个网络，重新开机。此时，上述故障消除，但不久又故伎重演。既然是路由器信号灯出现异常，会不会是ISP端有问题?拔下ISP提供的连接线，信号灯正常，插上不多时又重现故障，这样，问题的重心就转移到这到底是由内部引起还是外部造成的。用一台笔记本电脑设置好ISP的参数，将ISP提供的连接网线插上，现在浏览网页、收发电子邮件十分正常，问题显然出在内部客户端或者路由器上。

　　经过更换路由器，故障依旧，问题一下就集中在内部局网中的客户端了，将笔记本电脑连接到局域网中，Ping路由器的局域端IP地址，发现不通，重新开关路由器，再Ping路由器的局域端IP地址，通了，继续几下又不通了，再开关路由器并在Ping命令中加入参数t连续Ping路由器的局域端IP地址，发现显示用时从time<10ms到Pequest timed out的过程是指数级扩大，而且通过次数只有六七次。

　　解决方法

　　从上述的分析测试中证明局域网内肯定有客户端在强占出口通道，对外连续不断发送信号，这种情况表明一定是有客户端已经中毒，关键是要找出到底是哪一台机器出问题。笔者使用排除法对接触外界比较频繁的机器（如：人事招聘、销售、总台等使用的机器）进行逐一断网诊断，当检查到总台使用的机器并将它断网时，原本使用Ping命令不通的，现在立即出现正常信号，重新再作进一步认证，终于找到问题机器，立刻断开该计算机，网络各项指标运行正常。

　　将问题机器的硬盘进行病毒检查，发现存在下列几种病毒文件：

　　由于问题机器是“大无极”变种病毒发作造成路由器阻塞，从而使其他客户端不能正常访问互联网等。

　　接下来就是用最新版的杀毒软件进行杀毒。

　　总结

　　1.目前看到较多的是网站或局域网中各类服务器中毒不能正常提供服务，而网络各用户中毒造成路由器或网关瘫痪的例子确实不多见，希望大家能多注意这方面的问题。

　　2.更新最新防毒软件及病毒库是防范病毒攻击的理想且有效的武器。笔者公司的计算机就是因为没有及时更新最新版本的防毒软件而发生了网络堵塞的现象。

怪物II（Worm.BugBear.B）病毒档案
警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：局域网/邮件
感染对象：系统文件/网络
依赖系统: WIN9X//NT/2000/XP

病毒介绍：

该病毒于6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身，病毒运行时会释放三个病毒体到系统目录，偷取用户键盘信息，监听端口开后门，并且感染文件，在感染的过程中破坏文件结构，使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录，并通过EMAIL地址向外发送大量病毒邮件，造成网络瘫痪等严重后果。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 该病毒由于感染系统目录，释放的病毒文件名是随机的，因此可以查看一下注册表中的： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中是否有可疑的键值。
2. 病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令，可以用一些端口监听工具查看1080端口。
3. 病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程：

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用户安装了这些软件，并无故出错，则很可能是中了该病毒。

4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为：

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒邮件的附件名可能为：

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒邮件附件的扩展名可能为：

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg
,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用户收到了有以上内容的信件，则很可能是感染了该病毒。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了怪物II（Worm.BugBear.B）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.39版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响，瑞星公司已经推出免费注册表修复工具来进行系统恢复。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务!

“QQ 连发器(Trojan.WebAuto、Trojan.WebAuto.a)”病毒档案
警惕程度：★★★★
发作时间：随机
病毒类型：木马病毒
传播方式：QQ软件
感染对象：QQ用户
依赖系统: WIN9X//NT/2000/XP

病毒介绍：
该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找QQ窗口，每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

病毒的发现与清除：
此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：
1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。
2. 病毒会修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。
3. 病毒会将用户系统中的IE默认首页改为：http://www.qq588.com ，使用户一上网就中招。
4. 病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：
1. "激情电影爽啊！给你也推荐一下，完全免费--"；
2. "快去这看看，里面有蛮好好东西--"；
3. "上次看了个网站不错，去看看吧--"；
在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了QQ 连发器（Trojan.WebAuto、Trojan.WebAuto.a）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周同步升级，15.37.01版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响，瑞星公司已经推出免费注册表修复工具来进行系统恢复，下载网址：http://it.rising.com.cn/service/technology/tool.htm。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！

安全知识：专家解惑 使用杀毒软件存在的几大误区
几乎每个用电脑的人都遇到过计算机病毒，也使用过杀毒软件。但是，对病毒和杀毒软件的认识许多人还存在误区。此文的目的就是让更多的人能够对杀毒软件有正确的认识，更合理地使用杀毒软件。

误区一：我的机器没重要数据，有病毒重装系统，不用杀毒软件

　　许多电脑用户，特别是一些网络游戏玩家，认为自己的计算机上没有重要的文件。计算机感染病毒，直接格式化重新安装操作系统就万事大吉，不用安装杀毒软件。这种观点是不正确的。

　　几年前，病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术，有着明显的发作特征（比如某月某日发作，删除所有文件等等）。

　　但是，近几年的病毒已经发生了巨大的变化，病毒编写者以获取经济利益为目的。病毒没有明显的特征，不会删除用户计算机上的数据。但是，它们会在后台悄悄运行，盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说，它的危害性比传统的病毒更大。

　　对于此种病毒，往往发现感染病毒时，用户的账号信息就已经被盗用。即使格式化计算机重新安装系统，被盗的账号也找不回来了。

误区二：杀毒软件不管正版盗版，随便装一个能用的就行

　　目前，有很多人机器上安装着盗版的杀毒软件，他们认为只要装上杀毒软件就万无一失了，这种观点是不正确的。杀毒软件与其他软件不太一样，杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外，大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据，造成某些关键功能无法使用，系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者，直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等，给用户带来不必要的麻烦。

　　杀毒软件买的是服务，只要正版的杀毒软件，才能得到持续不断的升级和售后服务。同时，如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务，使用盗版软件看似占了便宜，实际得不偿失。

误区三：只要不用软盘，不乱下东西就不会中毒

　　目前，计算机病毒的传播有很多途径。它们可以通过软盘、U盘、移动硬盘、局域网、文件，甚至是系统漏洞等进行传播。一台存在漏洞的计算机，只要连入互联网，即使不做任何操作，都会被病毒感染。
因此，仅仅从使用计算机的习惯上来防范计算机病毒难度很大，一定要配合杀毒软件进行整体防护。

误区四：杀毒软件和个人防火墙装一个就行了

　　许多人把杀毒软件的实时监控程序认为是防火墙，确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上，杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。

　　通俗地说，杀毒软件是防病毒的软件，而个人防火墙是防黑客的软件，二者功能不同，缺一不可。建议用户同时安装这两种软件，对计算机进行整体防御。

安全知识:教你了解网络防火墙和病毒防火墙的差别
“防火墙（Firewall）”一词，在网络术语中是指一种软件，它可以在用户的计算机和Internet之间建立起一道屏障（Wall），把用户和网络隔离开来；用户可以通过设定规则（rule）来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输，哪些情况下允许两者间的数据传输。通过这样的方式，防火墙承受住所有对用户的网络攻击，从而保障用户的网络安全。

　　“病毒防火墙”，这种与网络防火墙不同范畴的软件由于有着"防火墙"的名义，所以用户通常把这两种产品给混淆了；甚至有用户问到类似"我已经安装了杀毒软件，还需不需要安装防火墙这样的问题。所以在这里我们有必要阐述这两种产品之间有些怎么样的本质差别。


病毒防火墙

　　通过一些病毒防火墙的软件实例我们可以知道，所谓的“病毒防火墙”，其实和网络防火墙根本不是一个范畴的东西，它确却的说应该该称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之一。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统的运行中是否有病毒的迹象；一旦发现有携带病毒的文件，它们就会马上激活杀毒处理的模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。病毒防火墙就是以这样的方式，监控着用户的系统不被病毒所感染。

　　所以实际上，病毒防火墙不是说对网络应用的病毒进行监控；它是对所有的系统应用软件进行监控。由此来保障用户系统的“无毒”环境。

网络防火墙

　　上面已经说过了，网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置，使得合法的链路得以建立；而非法的连接将被禁止，同时通过各种手段屏蔽掉用户的隐私信息，以保障用户的对网络访问的安全。

　　同上所说，网络防火墙并不监控全部的系统应用程序进程，它只是对有网络访问那部分应用程序做监控。当它控制了系统的网络传输之后，所有的网络流量都必须通过它的规则匹配。所以利用网络防火墙，可以有效的管理用户系统的网络应用，同时保护用户的系统不为各种非法的网络攻击所伤害。

　　由于目前有许多病毒通过网络的方式来传播，所以，范畴不同的这两种产品有了交叉应用的可能。出于对网络的全权控制，网络防火墙可以切断病毒对网络的访问；而且不管它是如何的变形、变种，只要病毒的危害还是必须通过网络才能实现的话就无法逃离网络防火墙的控制。与此同事，一些网络入侵特有的后门软件（像木马），也被列入“病毒”之列而可以被“病毒防火墙”所监控到并清除。这样来看，反病毒产品和网络安全产品有了交叉融合。

系统安全知识:警惕！病毒引起的16种系统异常现象

1、 屏幕显示异常，显示出不是由正常程序产生的特殊画面或字符串，或屏幕显示混乱等现象。

2、 电源正常的情况下，系统突然自行重新引导。

3、 内存空间不应有的减少。

4、 程序的运行时间显著加长。

5、 系统无故死锁。

6、 扬声器发出不是由正常程序产生的异常声响或乐曲。

7、 文件发生不应有的变化(主要是可执行文件)，如文件长度突然增加，日期、时间被改变等，有时是文件莫名其妙地丢失或被破坏。

8、 磁盘坏区突然增多，卷标自行变化。

9、 本来可以工作的软件突然不能工作或工作不正常，字库或数据库无故不能使用。

10、 在没有安排向磁盘读写数据时，磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。

11、 打印机突然工作不正常，如打印机接而不通

12、 硬盘C不能启动系统。

13、 用软盘引导系统时，结果却变成C盘启动。

14、 系统经常出现“写保护错”的提示信息。

15、 命令处理文件COMMAND.COM被修改。

16、 磁盘上出现用户不能识别的文件。

系统安全知识:对计算机病毒要严格做到"三打九防"
三打：

　　一要打开个人防火墙，特别是在玩网络游戏的时候，可避免病毒入侵，防止账号被盗；

　　二要打开杀毒软件的实时监控，万一不幸中招，实时监控能第一时间发现病毒并能实施隔离、清除；
　　三要打系统补丁，利用系统漏洞的病毒层出不穷，如果能及时打好补丁就可以防止此类病毒攻击。

九防：

　　一防恶性病毒爆发，打好操作系统补丁程序；

　　二防木马病毒偷账号，需及时安装个人防火墙；

　　三防浏览网站染病毒，不要浏览色情类网站；

　　四防电子邮件贺卡带病毒，陌生人邮件不要轻易打开；

　　五防QQ、MSN聊天即时病毒传播，不要随意点击MSN、QQ传来的链接；

　　六防网络陷阱程序，用户不要随意在不明网站填写信用卡号与密码；

　　七防共享软件带毒，不要从不正规的小网站下载应用软件；

　　八防垃圾邮件堵塞网络，注意及时清理邮箱；

　　九防小区宽带染病毒，如果不需要上网请将网络连接关闭。