第6章计算机病毒、木马和间谍软件与防治6.1计算机病毒概述6.1.2计算机病毒的特征6.1.3计算机病毒的分类6.1.4病毒、蠕虫和木马2．蠕虫的特点
蠕虫属于计算机病毒的子类，所以也称为“蠕虫病毒”。通常，蠕虫的传播无需人为干预，并可通过网络进行自我复制，在复制过程中可能有改动。与病毒相比，蠕虫可消耗内存或网络带宽，并导致计算机停止响应。
与病毒类似，蠕虫也在计算机与计算机之间自我复制，但蠕虫可自动完成复制过程，因为它接管了计算机中传输文件或信息的功能。3．木马的特点
木马与病毒的重大区别是木马并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件等。
目前，木马主要通过两种途径进行传播：电子邮件和文件下载。6.1.5计算机病毒的演变过程从1990年开始，Internet的应用为计算机病毒编写者提供了一个可实现快速交流的平台，一些典型的计算机病毒使是大量病毒编写者“集体智慧的结晶”。同年，开发出了第一个多态病毒（通常称为Chameleon或Casper）。
接着在1992年，出现了第一个多态病毒引擎和病毒编写工具包。从此开始，病毒就变得越来越复杂。
6.2蠕虫的清除和防治方法6.2.2蠕虫的分类和主要感染对象6.2.3系统感染蠕虫后的表现如2003年8月11日开始出现的冲击波病毒（如图6-1所示）和2004年5月1日出现的“震荡波（Worm.Sasser）”病毒（如图6-2所示）都属于蠕虫。2．通过网页进行触发的蠕虫
蠕虫的编写技术与传统的病毒有所不同，许多蠕虫是利用当前最新的编程语言与编程技术来编写的，而且同一蠕虫程序易于修改，从而产生新的变种，以逃避反病毒软件的搜索。现在大量的蠕虫用Java、ActiveX、VBScript等技术，多潜伏在HTML页面文件里，当打开相应的网页时则自动触发。
3．蠕虫与黑客技术相结合
现在的许多蠕虫不仅仅是单独对系统破坏，而是与黑客技术相结合，为黑客入侵提供必要的条件。6.2.4实验操作--蠕虫的防治方法除自动更新之外，系统还提供了“下载更新”和“下载通知”两个功能。如图6-4所示，如果选择了“下载更新，但是由我来决定什么时间来安装”一项，系统会随时到WindowsUpdate网站下载被丁程序，之后会提示用户是否要安装该补丁程序；当选择了“有可用下载时通知我，但是不要自动下载或安装更新”一项时，如果WindowsUpdate网站有新的补丁发布，系统会提示用户来下载并安装该补丁程序，如图6-5所示。用户可以选择“快速安装”来安装所有的补丁程序，也可以选择“自定义安装”来选择安装部分补丁程序。2．加强对系统账户名称及密码的管理
现在的一些蠕虫已经具备了黑客程序的一些功能，有些蠕虫会通过暴力破解的方法来获得系统管理员的账户名称和密码，从而以系统管理员人身份来入侵系统，并对其进行破坏。为此，我们必须加强对系统管理员账户及密码的管理。
3．取消共享连接
文件和文件夹共享及IPC（InternetProcessConnection）连接是蠕虫常使用的入侵途径。所以，为了防止蠕虫入侵，建议关闭不需要的共享文件或文件夹以及IPC。6.3脚本病毒的清除和防治方法6.3.1脚本的特征6.3.2脚本病毒的特征6.3.3实验操作--脚本病毒的防治方法6.4木马的清除和防治方法6.4.1木马的特征如图6-22所示，运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式（Client/Server，C/S），其中，客户端在本地主机执行，用来控制服务器端。而服务器端则在远程主机上执行，一旦执行成功该主机就中了木马，就可以成为一台服务器，可以被控制者进行远程管理。木马通常采取如图6-23所示的方式实施攻击：配置木马（伪装木马）→传播木马（通过文件下载或电子邮件等方式）→运行木马（自动安装并运行）→信息泄露→建立连接→远程控制。图6-23木马的运行过程6.4.2木马的隐藏方式3．隐藏通信方式
隐藏通信也是木马经常采用的手段之一。这种连接一般有直接连接和间接连接两种方式，其中“直接连接”是指攻击者通过客户端直接接人植有木马的主机（服务器端）；而“间接连接”即是如通过电子邮件、文件下载等方式，木马把侵入主机的敏感信息送给攻击者。
4．隐藏加载方式
木马在植入主机后如果不采取一定的方式运行也就等于在用户的计算机上拷入了一个无用的文件，为此在木马值入主机后需要司机运行。5．通过修改系统配置文件来隐藏
木马可以通过修改VXD（虚拟设备驱动程序）或DLL（动态链接库）文件来加载木马。
6．具有多重备份功能
现在许多木马程序已实现了模块化，其中一些功能模块已不再由单一的文件组成，而是具有多重备份，可以相互恢复。当用户删除了其中的一个模块文件时