《网络安全》第八章 防治网络病毒内 容：重点：计算机病毒的原理、分类 难点：针对不同计算机病毒采取的安全措施第八章 防治网络病毒 这周我们将学习第八章《防治网络病毒 》第一节，这部分重点介绍计算机病毒基本的知识的相关知识，下面整理出的知识点供同学们学习。 概述 计算机病毒的破坏性随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的广泛应用，有些计算机病毒借助网络爆发流行，如 CIH 计算机病毒、“爱虫”病毒等。当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。隐性计算机病毒和多态性计算机病毒更加难以检测。 病毒的概念“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序，但是它与天然病毒有着相似之处。 计算机病毒能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。 病毒出现• 20 世纪 60 年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。 • 20 世纪 70 年代，美国作家雷恩在其出版的《P1 的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。• 1983 年 11 月，在国际计算机安全学术研讨会上，美国计算机专家 F. Cohen 博士首次将病毒程序在 （4）攻击 OS/2 系统的病毒。世界上已经发现第一个攻击 OS/2 系统的病毒。2．按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。 （2）攻击小型机的计算机病毒。小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机，也可以作为 小的计算机网络的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自 1988 年 11 月份 Internet 网络受到 worm 程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。 3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展， 所以，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。3．按照病毒的链结方式分类 由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执行的部分。 （1）源码型病毒 该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。 （2）嵌入型病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病 毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。（3）外壳型病毒 外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。如：“黑色星期五”和“哥伦布日”。（4）操作系统型病毒 这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中合法程序模块，在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。4.按照病毒的破坏情况分类 （1）良性计算机病毒，良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢 CPU 的控制权，时常导致整个系统死锁，给正常操作带来麻烦。因此也不能轻视所谓良性病毒对计算机系统造成的损害。（2）恶性计算机病毒，恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其发作时会对系统产生直接的破坏作用。 这类病毒是很多的，如米开朗基罗病毒。当米氏病毒发作时，硬盘的前 17 个扇区将被彻底破坏，使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。 防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，或至少发出警报提醒用户注意。5.按照寄生部位或传染对象分类 （1）磁盘引导区传染的计算机病毒，磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护， 则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。（2）操作系统传染的计算机病毒，操作系统是一个计算机系统得以运行的支持环境，它包括.COM、.EXE 等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。 通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。 3）可执行程序传染的计算机病毒 执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。 对于以上三种病毒的分类，实际上可以归纳为两大类：• 引导扇区型传染的计算机病毒； • 可执行文件型传染的计算机病毒。6．按照病毒激活的时间分类 按照计算机病毒激活的时间可分为定时的和随机的。 定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。7．按照传播媒介分类 按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。 （1）单机病毒 单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。 （2）网络病毒 网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。最有代表性的就是 Worm8．按照寄生方式和传染途径分类 人们习惯将计算机病毒按寄生方式和传染途径来分类。 计算机病毒按其寄生方式大致可分为两类，一是引导型病毒， 二是文件型病毒； 它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。 混合型病毒集引导型和文件型病毒特性于一体。 还有电子邮件、宏病毒等。4 计算机病毒的来源计算机病毒的来源多种多样，如： • 计算机工作人员或业余爱好者为了纯粹寻开心或恶作剧而制造 出来的； • 是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚，因为他们发现病毒比加密对付非法拷贝更有效且更有威胁； • 蓄意破坏，分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为，而政府行为则是有组织的战略战术手段。 • 有的病毒则是用于研究或实验而设计的“有用”程序，由于某种原因失去控制扩散出实验室或研究所，从而成为危害四方的计算机病毒5 计算机病毒的传染1．计算机病毒的传染条件 所谓传染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带。但是，只有载体还不足以使病毒得到传播。促成病毒的传染还有两种先决条件：用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。计算机病毒是以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。 2．计算机病毒的传染过程对于病毒的被动传染而言，其传染过程是随着拷贝磁盘或文件工作的进行而进行的，而对于计算机病毒的主动传染而言，其传染过程是这样的：在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。在病毒引导模块将病毒传染模块驻留内存的过程中，通常还要修改系统中断向量入口地址（例如 INT 13H 或 INT 21H），使该中断向量指向病毒程序传染模块。这样，一旦系统执行磁盘读写操作或系统功能调用，病毒传染模块就被激活，传染模块在判断传染条件满足的条件下，利用系统 INT 13H 读写磁盘中断把病毒自身传染给被读写的磁盘或被加载的程序，也就是实施病毒的传染，然后再转移到原中断服务程序执行原有的操作。传染方式基本可分为两大类 • 立即传染，即病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序； • 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序或 DIR 等操作时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后， 仍可活动，直至关闭计算机。 3．系统型病毒传染机理系统型病毒利用在开机引导时窃获的 INT13 控制权，在整个计算机 运行过程中随时监视系统盘（软、硬盘）操作情况，趁读写系统盘的时机读出系统盘引导区，判断系统盘是否染毒，如未感染就按病毒的寄生方式把原引导区写到系统盘另一位置，把病毒写入系统盘第一个扇区，从而完成对系统盘的传染。 由于在每个读写阶段病毒都要读引导区，既影响微机工作效率，又容易因驱动器频繁寻道而造成物理损伤。4．文件型病毒传染机理 当执行被传染的.COM 或.EXE 可执行文件时，病毒驻人内存。一旦病毒驻人内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作： （1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒； （2）当条件满足，利用 INT 13H 将病毒链接到可执行文件的首部或尾部或中间，并存入磁盘中； （3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。文件型病毒主要传染方式有： （1）加载执行文件 文件型病毒驻内存后，通过其所截获的 INT 21 中断检查每一个加载运行可执行文件进行传染。加载传染方式每次传染一个文件，传染不到那些用户没有使用的文件。 （2）列目录过程 在用户列硬盘目录的时候，病毒检查每一个文件的扩展名，如果是可执行文件就调用病毒的传染模块进行传染。 这样病毒可以一次传染硬盘一个于目录下的全部可执行文件。DIR 是最常用的 DOS 命令，每次传染的文件又多，所以病 毒的扩散速度很快，往往在短时间内传遍整个硬盘。 （3）创建文件过程 创建文件是 DOS 内部的一项操作，功能是在磁盘上建立一个新文件。已经发现利用创建文件过程把病毒附加到新文件上去的病毒，这种传染方式更为隐蔽狡猾。因为加载传染和列目录传染都是病毒感染磁盘上原有的文件，细心的 用户往往会发现文件染毒前后长度的变化，从而暴露病毒的踪迹。而创建文件的传染手段却造成了新文件生来带毒的奇观。经常使用各种编译、连接工具的计算机专业工作者应该注意文件 型病毒发展的这一动向，特别在商品软件最后生成阶段严防此类病毒。计算机病毒的传播途径• 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用 ASIC（Application Specific Integrated Circuit）芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 • 通过移动存储设备来传播这些设备包括软盘、光盘、磁带等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。目前，大多数计算机都是从这类途径感染病毒的。• 通过计算机网络进行传播。网络为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一 个系统，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时， 我们的病毒也在国际化。估计以后这种方式将成为第一传播途径。 • 通过点对点通信系统和无线通道传播。目前，这种传播途径还不是十分广泛，但预计在未来的信息时代， 这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。6 计算机病毒的发展 计算机病毒的发展大致可划分为以下几个阶段：• DOS 引导和 DOS 可执行阶段• 伴随型阶段• 幽灵、多形阶段• 生成器、变体机阶段 • 网络、蠕虫阶段• 视窗和宏病毒阶段• Java、邮件病毒阶段• 三维、四维变形阶段计算机感染病毒的症状• 机器不能正常启动 • 运行速度降低 • 磁盘空间迅速变小 • 文件内容和长度有所改变 • 经常出现“死机”现象 • 外设工作异常(硬盘不动或狂奔、打印机不动) • 屏幕出现奇怪画面、问候语、提示等 • 经常丢失数据或程序 • 中断向量发生变化 • 系统不引导系统或不识别硬盘等本周要求掌握的内容如下：本周的内容，主要重点重点介绍计算机病毒基本的知识的相关知识.练习1、按照病毒的链结方式分类的是()A、源码型病毒B、攻击微型计算机的病毒C、攻击 OS/2 系统的病毒D、恶性计算机病毒2、网络病毒属于计算机病毒的一种（对） VAX/750 计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。 • 20 世纪 80 年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。第一节 计算机病毒基本概念1 计算机病毒基本介绍网络病毒(Network Computer Virus)也属于计算机病毒的一种，所以先看一下计算机病毒的定义: 1994 年 2 月 18 日， 在颁布实施的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 此定义在我国具有法律性、权威性1 病毒的原理和基本机制计算机病毒并不是自然界中发展起来的生命体，它们只不过是某些人专门做出来的、具有一些特殊功能的程序或者程序代码片段。 这种代码片段具有一些特殊性质，能够在人们的不注意之时传播到计算机系统里；在人们的无意之中启动运行以致进行破坏活动。 实际上，计算机病毒也是利用计算机的基本原理工作的。  病毒工作条件计算机中的 CPU（中央处理器）功能强大，是计算机系统信息处理能力的核心。 CPU 只会严格按照程序中的指令工作。如果当时执行的指令要求向内存或者磁盘的某个位置写一些信息，CPU 就会把信息写到指定位置，覆盖掉原来存放在那里的信息。显然，这些操作是正常程序中每时每刻都需要做的事。 但是另一方面，同样是这些指令也实际地构成了计算机病毒及其破坏的基础，它们也可能造成破坏计算机系统的效果。因为 CPU 并不知道要求它转去执行的到底是什么程序，CPU 也不知道指令要求写入存储器的是什么信息，被覆盖掉的又是什么，这个存储数据的操作是正常的程序操作，还是计算机病 毒的破坏性动作。 病毒也是代码计算机病毒作为一段存储在计算机里的程序代码，与其他的程序代码一样，具有两重性： 一方面，作为一批二进制形式的数据（编码），这些代码可以被其他程序处理，被复制或者传输；另一方面，由于它是程序代码，一旦某种条件出现，使这段程序得到执行，它就能够占据 CPU、指挥CPU 做它所要求做的事情。 正常程序要求 CPU 做的是某些正常的数据处理、计算的工作，而病毒代码要求 CPU 做的是某些具有破坏性的操作。而一个病毒究竟能够造成什么破坏，则完全是由病毒代码的具体内容决定的（后面有病毒的分类）。  计算机病毒的作用机制1．计算机病毒的一般构成 2．计算机病毒的引导机制 3．计算机病毒的传染机制 4．计算机病毒的破坏机制 宏病毒1．公（共）用宏病毒 这类宏病毒对所有的 Word 文档有效，其触发条件是在启动或调用 Word 文档时，自动触发执行。它有两个显著的特点： 1）只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx 表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy 等。 2）它们一定要附加在 Word 共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在 Normal.dot 模板上，或者首先要能将自己写进这样的模板才行。2．私用宏病毒 私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的 Word 模板中，仅与使用这种模板的 Word 文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私 用宏病毒一般不起作用。• 宏病毒的行为和特征宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在 Windows、Windows 95/98/NT、OS/2、Macintosh System7 等操作系统上执行病毒行为。 宏病毒的主要特征如下： 1）宏病毒会感染.DOC 文档和.DOT 模板文件。 2）宏病毒的传染通常是 Word 在打开一个带宏病毒的文档或模板时，激活宏病毒。3）多数宏病毒包含 AutoOpen、AutoClose、AutoNew 和 AutoExit 等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。 5）宏病毒在.DOC 文档、.DOT 模板中以 BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个 Word 版本格式可能不兼容。 6）宏病毒具有兼容性。• 宏病毒的特点1、传播极快--Word 宏病毒通过 DOC 文档及 DOT 模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己计算机的引导部分和 可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给 Word 宏病毒传播带来很多便利。特别是 Internet 网络的普及，E-mail 的大量应用更为 Word 宏病毒传播铺平道路。2、制作、变种方便--Word 使用宏语言 WordBasic 来编写宏指令。宏病毒同样用 WordBasic 来编写。目前，世界上的宏病毒原型已有几十种，其变种与日骤增，追究其原因还是 Word 的开放性所致。现在的Word 病毒都是用 WordBasic 语言所写成。3、破坏可能性极大--鉴于宏病毒用 WordBasic 语言编写，WordBasic 语言提供了许多系统级底层调用，如直接使用 DOS 系统命令，调用 WindowsAPI， 调用 DDE、DLL 等。这些操作均可能对系统直接构成威胁，而 Word 在指令安全性完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒 Nuclear就是破坏操作系统的典型一例 • 宏病毒的防治和清除方法Word 宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了 Word 宏病毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。 1．查看“可疑”的宏 2．按使用习惯编制宏 3．防备 Autoxxxx 宏  网络蠕虫病毒如今对大家的电脑威胁最大的就属网络蠕虫病毒了！网络蠕虫病毒的危害之大简直令人吃惊，从大名鼎鼎的“爱虫”到“欢乐时光”，再到“红色代码”，其破坏力越来越强，因此我们有必要了解网络蠕虫病毒。 蠕虫病毒与一般的计算机病毒不同，蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。 蠕虫病毒的破坏性很强，部分蠕虫病毒不仅可以在因特网上兴风作浪，局域网也成了它们“施展身手”的舞台。 • 蠕虫的行为特征 主动攻击—搜索漏洞、复制副本、攻击系统均自动完成。  行踪隐蔽—传播过程中，不需要计算机使用者的辅助，可自动传播，不易察觉。  利用系统、网络服务漏洞—由于漏洞的复杂性，防不胜防。  造成网络拥塞—蠕虫会造成巨大网络流量。  降低系统性能—消耗大量系统资源。  产生安全隐患—收集敏感信息，留下系统后门。  反复性—虽然清除，但漏洞没有及时修补。  破坏性—可能包含大量恶意代码。 • 蠕虫的功能结构基本功能模块1. 搜索模块：寻找下一台要传染的计算机，可采用一系列的搜索算 法。 2. 攻击模块：在被感染的计算机上建立传输通道（传染途径）。 3. 传输模块：计算机之间的蠕虫程序复制。 4. 信息收集模块：收集和建立被传染计算机上的信息。 5. 繁殖模块：建立自身的多个副本，提高传染效率，避免重复传染。扩展功能由四个模块构成1. 隐藏模块：隐藏蠕虫程序，使一般检测不能发现。 2. 破坏模块：摧毁或破坏被感染的计算机，或在被感染的计算机上 留下后门程序等。 3. 通信模块：如虫之间、蠕虫与黑客之间进行交流。 4. 控制模块：调整蠕虫行为，更新其他功能模块，控制被感染计算 机。蠕虫病毒具有自我复制能力实施传播• 病毒需要传播，电子邮件病毒的传播无疑是通过电子邮件传播 的。对于 OutLook 来说地址簿的功能相当不错，可是也给病毒的传播打开了方便之门。几乎所 有通过 OutLook 传播的电子邮件病毒都是向地址簿中存储的电子邮件地址发送内同相同的脚本附件完成的。看看如下的代码：蠕虫病毒具有特定的触发性 • 在这里我们以时间触发为例，使用一个很简单的判断程序，来判 断时间到了没有，如果有就开始执行代码。好，我们看看程序： • x=time （） if x=xx.xx.xx then ………… end if • 就这么简单一个程序，就可以实现特定条件触发事件的目的。当 然了，病毒制作者还可以通过监视运行某个程序而触发事件，也可以响应键盘触发事件等等。 蠕虫病毒的破坏性（了解）蠕虫的简单防护由于蠕虫病毒大多是用 VBScript 脚本语言编写的，而 VBScript 代码是通过 Windows Script Host 来解释执行的，因此将 Windows Script Host 删除，就再也不用担心这些用 VBS 和 JS 编写的病毒了！从另一个角度来说，Windows Script Host 本来是被系统管理员用来配置桌面环境和系统服务，实现最小化管理的一个手段，但对于大部分一般用户而言，WSH 并没有多大用处，所以我们可以禁止 Windows Script Host。卸载 Windows Scripting Host：在 Windows98 中（NT4.0 以上同理），打开“控制面板”，打开“添加/删除程序”，点选“Windows 安装程序”，再鼠标双击其中的“附件”一项，然后再在打开的窗口中将“Windows Scripting Host”一项的“对勾”去掉，然后点“确定”，再点“确定”，这样就可以将 Windows Scripting Host 卸载。如果你嫌麻烦，可以到 Windows 目录中，找到 WScript.exe 和 JScript.exe，更改其名称或者干脆删除。2 计算机病毒特征1. 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。它通常附在正常程序之中或磁盘引导扇区中，或者标为坏簇的扇区中，也有个别的以隐含文件形式出现。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。 计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。因为，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。 2.非授权可执行性 与其他正常程序相同，病毒只有运行之后才能发挥它的传染破坏作用。由于用户不会故意运行病毒，所以病毒的运行必须获得某些激活条件。一般正常的程序是由用户调用，再由系统分配资源，完成用 户交给的任务。其目的对用户是可见的、透明的。 而病毒具有正常程序的一切特性，如可存储性、可执行性。它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。3.潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。病毒的潜伏性越好，它在系统中存在的时间也就越长，病毒传染的范围也越广，其危害性也越大。如“PETER-2”在每年 2 月 27 日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢 13 号的星期五发作。国内的“上海一号”会在每年三、六、九月的 13 日发作。当然，最令人难忘的是 26 日发作的 CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4.传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机器上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。 5.可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的表现部分或破坏部分。 触发的实质是一种条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件可以是敲入特定字符，使用特定文件，某个特定日期或特定时刻，或者是病毒内置的计数器达到一定次数等。如“黑色星期五”在逢 13 号的星期五发作。6.表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作 用的病毒程序也要占用系统资源(如占用内存空间，占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像，影响系统的正常运行，还有一些病毒程序删除文件，加密磁盘中的数据甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。因此，病毒程序的副作用轻者降低系统工作效率，重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。7.不可预见性 从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻留内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的3 计算机病毒的分类发展到今天，计算机病毒更加复杂，多数新病毒是集后门、木马、蠕虫等特征于一体的混合型病毒，而病毒技术也从以前以感染文件和复制自身，给电脑 用户带来麻烦和恶作剧为目的，变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。 计算机反病毒技术在与计算机病毒的较量中也得到了升华，与 20 年前相比已经已经有了质的飞跃。但是，病毒的数量仍在不断增加。据统计，病毒以 10 种/周的速度递增，另据我国公安部统计，国内以 4 -6 种/月的速度递增。1．按照病毒攻击的系统分类 （1）攻击 DOS 系统的病毒。这类病毒出现最早、最多，变种也最多，此类病毒占病毒总数的 90％以上。 （2）攻击 Windows 系统的病毒。由于 Windows 正逐渐取代 DOS，从而成为病毒攻击的主要对象。破坏计算机硬件的 CIH 病毒就是一个专门破坏 Windows 的病毒。 （3）攻击 UNIX 系统的病毒。当前，UNIX 系统应用非常广泛，并且许多大型的操作系统均采用 UNIX作为其主要的操作系统。