病毒、蠕虫与特洛伊木马之间的区别？

2007-10-30　网友评论 0 条　点击进入论坛

　　术语“病毒”通常用作任何恶意代码的通称，该恶意代码事实上并不是真正的计算机病毒。本文将讨论病毒、特洛伊木马、蠕虫和谎报及其防止方法。

　　什么是病毒？

　　计算机病毒是编写的小程序，它可以在未经用户许可，甚至在用户不知情的情况下改变计算机的运行方式。病毒必须满足两个条件：

　　它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。

　　它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。

　　一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。

　　可识别的病毒类型有五种：

　　文件传染源病毒：文件传染源病毒感染程序文件。这些病毒通常感染可执行代码，例如 .com 和 .exe 文件。当受感染的程序从软盘、硬盘或网络上运行时，可以感染其他文件。这些病毒中有许多是内存驻留型病毒。内存受到感染之后，运行的任何未感染的可执行文件都会受到感染。已知的文件传染源病毒示例包括 Jerusalem 和 Cascade。

　　引导扇区病毒：引导扇区病毒感染磁盘的系统区域，即软盘和硬盘的引导记录。所有软盘和硬盘（包括仅包含数据的磁盘）的引导记录中都包含一个小程序，该程序在计算机启动时运行。引导扇区病毒将自身附加到磁盘的这一部分，并在用户试图从受感染的磁盘启动时激活。这些病毒本质上通常都是内存驻留型病毒。其中大部分是针对 DOS 编写的，但所有 PC 机（无论使用什么操作系统）都是此类病毒的潜在目标。只要试图用受感染的软盘启动计算机就会被感染。此后，由于病毒存在于内存中，因此访问软盘时，所有未写保护的软盘都会受到感染。引导扇区病毒示例有Form、Disk Killer、Michelangelo 和Stoned。

　　主引导记录病毒：主引导记录病毒是内存驻留型病毒，它感染磁盘的方式与引导扇区病毒相同。这两种病毒类型的区别在于病毒代码的位置。主引导记录感染源通常将主引导记录的合法副本保存在另一个位置。受到引导扇区病毒或主引导扇区病毒感染的 Windows NT 计算机将不能启动。这是由于 Windows NT 操作系统访问其引导信息的方式与 Windows 95/98 不同。如果 Windows NT 系统用 FAT 分区格式化，通常可以通过启动到 DOS 系统，并使用防病毒软件来杀除病毒。如果引导分区是 NTFS，则必须使用三张 Windows NT 安装盘才能恢复系统。主引导记录感染源示例有 NYB、AntiExe 和 Unashamed。

　　复合型病毒：复合型病毒同时感染引导记录和程序文件，非常难以修复。如果清除了引导区，但未清除文件，则引导区将再次被感染。同样，只清除受感染的文件也不能完全杀除该病毒。如果未杀除引导区的病毒，则清除过的文件将被再次感染。复合型病毒示例包括 One_Half、Emperor、Anthrax 和 Tequilla。

　　宏病毒：这种类型的病毒感染数据文件。它们最常见，修复它们占用的公司财力和时间也最多。随着 Microsoft Office 97 中 Visual Basic 的出现，编写的宏病毒不仅可以感染数据文件，还可以感染其他文件。宏病毒可以感染 Microsoft Office Word、Excel、PowerPoint 和 Access 文件。现在，这类新威胁也出现在其他程序中。所有这些病毒都使用其他程序的内部程序设计语言，创建该语言的原意是使用户能够在该程序内部自动执行某些任务。这些病毒很容易创建，现在传播着的就有几千种。宏病毒示例包括 W97M.Melissa、WM.NiceDay 和 W97M.Groov。

　　什么是特洛伊木马？

　　特洛伊木马是具有欺骗性的文件（宣称是良性的，但事实上是恶意的）。特洛伊木马与病毒的重大区别是特洛伊木马并不像病毒那样复制自身。特洛伊包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件。PWSteal.Trojan 就是一个特洛伊木马。

　　什么是蠕虫？

　　蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同，病毒需要传播受感染的驻留文件。尽管蠕虫通常存在于其他文件（通常是 Word 或 Excel）内部，但蠕虫和病毒使用驻留文件的方式不同。通常，蠕虫将发布其中已包含“蠕虫”宏的文档。整个文档将在计算机之间传播，所以应将整个文档视为蠕虫。PrettyPark.Worm 是常见示例。

　　什么是病毒谎报？

　　病毒谎报是消息，几乎总是通过电子邮件发送，其危害不比连锁信件大多少。这些谎报中常用的短语包括：

　　如果收到标题为 [此处为电子邮件病毒谎报名称] 的电子邮件，不要打开！立即删除！其中包含 [谎报名称] 病毒。它将删除硬盘上的所有内容，并 [此处极尽所能地渲染其危险]。此病毒今天由 [此处为著名组织名称] 发布。请将此警告转发给您认识的所有人！

　　大多数病毒谎报警告不会偏离此模式太远。

　　什么不是病毒？

　　因为病毒如此受到公众观注，人们容易将任何计算机问题都归咎于病毒。病毒或其他恶意代码不太可能引起下列情况：

　　硬件问题。没有病毒可以物理损坏计算机硬件，例如芯片、主板和监视器。

　　计算机启动时发出蜂鸣声，并且没有屏幕显示。这通常是由于启动期间的硬件问题引起的。请参阅计算机文档，了解蜂鸣代号的含义。

　　计算机不注册 640 K 常规内存。这可能是病毒的标记，但并不绝对。有些硬件驱动程序（例如监视器或 SCSI 卡的驱动程序）可以使用部分常规内存。请咨询计算机制造商或硬件供应商，确定是否属于这种情况。

　　安装了两个防病毒程序，其中一个报告有病毒。这可能是病毒，但也可能是由于一个防病毒程序在内存中检测到另一个程序的签名。

　　使用 Microsoft Word 时，Word 警告文档中包含宏。这并不意味着此宏是病毒。

　　打不开特定文档。这并不意味着一定有病毒。尝试打开其他文档，或者问题文档的备份。如果其他文档打开正常，则可能是该文档被损坏了。

　　更改了硬盘驱动器的卷标。每个磁盘有一个卷标。可以使用 DOS Label 命令或从 Windows 内部指定磁盘卷标。

　　运行 ScanDisk 时，NAV 自动防护报告类病毒活动。

今日推荐

• ·微软欲起诉谷歌Chrome浏览器垄断
• ·精选ERP以技术为纲
• ·技术答疑：AC.NET标准会计软件--《会稽山》单机专业版[图]
• ·AC.NET标准会计软件--《会稽山》下载安装与操作流程
• ·敏捷开发和高级别CMMI

• ·Siemens PLM Software 技术技巧（12）[组图]
• ·Siemens PLM Software 技术技巧（11）[组图]
• ·用ANSYS计算变压器箱体涡流，可以加阻抗边界条件吗
• ·企业为什么要实施易拓软件
• ·网络管理系统的进步[图]

重点推荐

领军企业技术文库

最新专题

电子杂志订阅

技术热点