《中华人民共和国计算机信息系统安全保护条例》中定义计算机病毒是“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。通常对计算机病毒的理解为：计算机病毒是利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。

计算机病毒是人为的，是经过精心设计的特殊的程序，与偶然产生的程序乱码不同。例如，一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的。病毒则是一种比较完美的、精巧严谨的代码，按照严格的秩序组织起来，能与所在的系统网络环境相适应。现在流行的多数病毒可以找到作者和产地信息。从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，或出于对上司的不满，或为了好奇，或为了报复，为了祝贺和求爱，或为了得到控制口令，或为了软件拿不到报酬预留的陷阱等。当然也有因政治、军事、宗教、民族。专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。

计算机病毒不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难。随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。

2．计算机病毒的特征

计算机病毒一般具有以下几个特点：

计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人防不胜防。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

◆　潜伏性和可触发性

有些病毒像定时炸弹一样，什么时间发作是预先设计好的，等到条件具备的时候对系统进行破坏。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，启动病毒进行感染或攻击；如果不满足，则使病毒继续潜伏。

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常都很困难。

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。

计算机病毒具有多种感染和传播途径，通常有以下几种：

通过使用外界被感染的优盘，例如，不同渠道来的优盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的优盘，使机器感染病毒发病，并传染给未被感染的“干净”的优盘。大量的优盘文件转换，合法或非法的程序拷贝，不加控制地随意在机器上使用各种软件成了病毒感染、泛滥蔓延的温床。

通过硬盘传染也是重要的渠道。由于带有病毒的机器移到其他地方使用、维修等，会将干净的硬盘传染并再扩散。

因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。

这种传染扩散模快，能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更为迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件就很可能存在病毒；另一种威胁来自电子邮件，大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。

3．黑客和黑客攻击

黑客最早源自英文hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客攻击是当前网络安全的重要威胁。近年来黑客攻击计算机网络的事件频发，例如下面这些典型事件。

2007年，4月27日爱沙尼亚拆除苏军纪念碑以来，该国总统和议会的官方网站、政府各大部门网站、政党网站的访问量就突然激增，服务器由于过于拥挤而陷于瘫痪。全国6大新闻机构中有3家遭到攻击。此外，还有两家全国最大的银行和多家从事通讯业务的公司网站纷纷收到攻击。爱沙尼亚的网络安全专家表示，根据网址来判断，虽然火力点分布在世界各地，但大部分来自俄罗斯，甚至有些来自俄政府机构，这在初期表现尤为显著。其中一名组织进攻的黑客高手甚至可能与俄罗斯安全机构有关。《卫报》指出，如果俄罗斯当局被证实在幕后策划了这次黑客攻击，那将是第一起国家对国家的“网络战”。俄罗斯驻布鲁塞尔大使奇若夫表示：“假如有人暗示攻击来自俄罗斯或俄政府，这是一项非常严重的指控，必须拿出证据”。

2007年，俄罗斯黑客成功劫持Windows Update下载器。根据赛门特克公司研究人员的消息，他们发现已经有黑客劫持了BITS（后台智能传送服务是一个Windows组件，它可以在前台或后台异步传输文件）可以自由控制用户下载更新的内容。而BITS是完全被操作系统安全机制信任的服务，连防火墙都没有任何警觉。这意味着利用BITS，黑客可以很轻松地把恶意内容以合法的手段下载到用户的电脑并执行。

2007年，一名中国腾讯网名为The Silent's（折羽鸿鹄）的黑客在6月至11月成功侵入包括CCTV、163、TOM等中国大型门户服务器。

2008年，一个全球性的黑客组织，利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。黑客们攻破的是一种名为RBS WorldPay的银行系统，用各种技巧取得了数据库内的银行卡信息，并在11月8日午夜，利用团伙作案从世界49个城市总计超过130台ATM机上提取了900万美元。最关键的是，目前FBI还没破案，甚至据说连一个嫌疑人都没找到。

2009年7月7日，韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站受到了攻击。9日，韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。

2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。这次攻击百度的黑客疑似来自境外，利用了DNS记录篡改的方式。这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击事件。网民访问百度时，会被定向到一个位于荷兰的IP地址，百度旗下所有子域名均无法正常访问。

木马，全称为特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域则是一种客户/服务器程序（c/s）或邮件客户端程序（如阿里巴巴QQ大盗），是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“熊猫烧香（武汉男孩）”冰河”“广外女生”“黑洞”“黑冰”等；国外有名的木马则有：“SubSeven”“Bo2000 （Back Orifice）”“NetSpy”“Asylum”等。木马对计算机系统和网络的安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

木马程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施种木马者打开被入侵计算机的门户，使对方可以任意毁坏、窃取文件，甚至远程操控被入侵的计算机。木马与计算机网络中常常要用到的远程控制软件是有区别的。虽然两者在主要功能上都可以实现远程控制，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性。木马则完全相反，木马要达到的正是“偷窃”性的远程控制。因此，如果没有很强的隐蔽性的话，那么，木马简直就是“毫无价值”的。因此，判别木马与远程控制软件的两个重要标准是其使用目的和隐蔽性。

5．木马程序的特点

计算机木马一般由两部分组成，服务端程序和控制端程序。服务端程序在远程被入侵计算机运行。一旦执行成功就可以被控制或者造成其他的破坏，控制端程序也叫客户端，运行在入侵者的计算机上，客户端程序主要是配套服务端程序的功能，通过网络向服务端发布控制指令。

木马的传播途径很多，常见的有如下几类：

◆　通过电子邮件的附件传播。

这是最常见，也是最有效的一种方式，大部分病毒（特别是蠕虫病毒）都用此方式传播。首先，木马传播者对木马进行伪装，方法很多，如变形、压缩、加壳、捆绑、取双后缀名等，使其具有很大的迷惑性。一般的做法是先在本地计算机将木马伪装，再使用杀毒程序将伪装后的木马进行查杀测试，如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内，附带发送出去。

◆　通过下载文件传播。

从网上下载的文件，即使大的门户网站也不能保证任何时候的文件都安全，一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种，一种是直接把下载链接指向木马程序，也就是说下载的并不是所需要的文件；另一种是采用捆绑方式，将木马捆绑到需要下载的文件中。

◆　通过网页传播。

网页内如果包含了某些恶意代码，使得IE自动下载并执行某一木马程序。这样，在不知不觉中用户就被人种上了木马。

◆　通过聊天工具传播。

目前，QQ、ICQ、MSN等网络聊天工具盛行，而这些工具都具备文件传输功能，不怀好意者很容易利用对方的信任传播木马和病毒文件。

6．怎样判断是否感染病毒或木马

计算机的使用过程中，当发现出现以下症状时，表明计算机有可能感染了病毒或木马程序：

◆　机器运行的速度变得越来越慢；

◆　硬盘的指示灯在没有操作的时候也在闪烁不停；

◆　文件资料莫名其妙地丢失；

◆　应用程序频繁出现异常关闭或者无法打开；

◆　机器在运行过中频繁出现重启；

◆　一些不认识的应用程序在机器中悄悄运行，并占用大量的系统资源；

◆　U盘中文件突然消失，并增加了一些不认识的文件。

这些症状都表明，计算机系统很可能已经遭受了病毒或者木马程序的侵袭。

7．防范病毒和木马的措施

（1）使用专门的反病毒软件防范计算机病毒和木马程序

在计算机中安装专门的反病毒/木马软件是防范计算机病毒和木马的最重要的措施。

（2）日常使用中的基本预防措施

◆　不要使用来历不明的磁盘或光盘，以免被其中的带毒体感染。

◆　使用外来磁盘、U盘之前，要先用杀毒软件扫描，确定无毒后再使用。

◆　不要打开来历不明的电子邮件，甚至不要用鼠标指向这些邮件，以防其中带病毒文件感染计算机。

◆　养成重要文件备份的习惯，万一感染病毒，可以备份恢复数据。

◆　使用杀毒软件定时查杀，并经常更新杀毒软件特征库文件。

◆　了解和掌握计算机病毒的发作特征，如特定的时间，并先采取预防措施。

◆　不要访问那些来路不明的网站。访问网站时，特别是网银、证劵网站时应注意网址是否正确，尽量采用手输网址方式来访问，不要使用转移链接。

◆　从网上下载软件时，要选择正规的、有名气的下载站点下载，不要从不知名的站点下载软件。软件下载后要即时查杀病毒。

◆　如果要打开文档中含有宏，在不能正确确定来源的情况下不要贸然打开，可用最新杀软查杀。

◆　随时关注计算机报刊或其他媒体发布的病毒信息及防范方法。

7.5.2 计算机病毒和木马防护

7.5.2　计算机病毒和木马防护