局域网终端用户病毒特点与防护策略

据《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》统计，54%的被调查单位发生过信息网络安全事件；其中发生过3次以上的占22%，比去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况，占发生安全事件总数的84%；“遭到端口扫描或网络攻击”（36%）和“垃圾邮件”（35%）次之。教育科研单位发生网络安全事件发生的比例处于较高之列。校园局域网的建设，满足了现代化教学的要求为学校开展CAI以及远程教学提供了开发和运行的平台，通过与Internet的联接提供了多种类型信息高速传送的环境，从而为教学、科研提供了新的手段和工具，为教学及科研人员能了解最新教育科研动态与进展，增进学术交流，密切与各科研单位的协作关系提供了很大帮助。

一、计算机病毒种类

事务的发展总是一分为二的,由于校园网中有大量的终端用户,终端用户极易受到病毒的侵害，校园网络安全已经成为当前各高校局域网络建设中不可忽视的首要问题。根据病毒感染的型态，计算机病毒分为：

1.开机型：每次开机时, 在操作系统还没被加载之前就被加载到内存中。

2.文件型：文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种：

(1)非常驻型病毒(Non-memory Resident Virus)

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

(2)常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，只要执行文件被执行, 它就对其进行感染的动作。

3.复合型:复合型病毒兼具开机型病毒以及文件型病毒的特性。

4.隐形飞机型：又称作中断截取者(Interrupt Interceptors)。它通过控制DOS的中断向量，把所有受其感染的文件“假还原”，再把“看似跟原来一模一样”的文件丢回给DOS。

5.千面人：在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。

6.文件宏：宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

7.特洛伊木马病毒与计算机蠕虫:特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

例如：“ MELISSA-梅莉莎” 便是结合“病毒”及“计算机蠕虫”的两项特性。该恶性程序不但会感染 Word 的 Normal.dot，而且会通过 Outlook E-mail 大量散播。

二、如何正确判断是否感染

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了“特洛伊木马程序”、“计算机蠕”型态来造成更大的影响力。那么，怎么来正确地判断计算机是否被感染了病毒呢？

1.系统无法启动：病毒修改了硬盘的引导信息，或者删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

2.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏或硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时刷新服务器的内容。

3.报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需要大量内存资源的软件；系统配置不正确；内存容量太小等。

4.提示硬盘空间不够：病毒复制了大量的病毒文件。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

5.软盘等设备未访问时出读写信号：病毒感染，软盘取走了还在打开曾经在软盘中打开过的文件。

6.出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。

7.数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其他用户误删除了。

三、对策

在有大量终端用户的校园网中，做好防护工作，减少病毒侵袭，保障校园网的正常运行，是教学、科研以及管理工作正常运转的保证。为此需要做好以下几方面的工作：

1.使用正版的杀毒软件：杀毒软件顾名思义，用于杀掉计算机中的病毒，杀毒软件自然是把杀毒放在第一位。其实杀毒软件的最大用处在于防毒，使用杀毒软件应该每日更新以减少被病毒侵袭的机会。每天都有大量新的病毒如洪水般出现在我们面前，单纯靠杀毒软件防御潜在的危险是远远不够的，毕竟目前的杀毒软件还处于被动状态，只有当病毒出现后，杀毒软件才会升级更新。

2.安装系统维护工具：系统维护工具有很多，它能清理大多数的文件、注册表里的垃圾，同时强力的软件卸载功能可以清理一个软件在电脑内的所有记录，优化、设置系统可以打造自己的启动环境， IE修复、IE保护、恶意程序检测及清除工能能给你提供良好的上网环境，还能防止其它人浏览网站，阻挡，以及端口的过滤。

3.防止通过网上邻居进行病毒传播：如果你的终端只是需要简单的办公、教学及上网查阅资料，在本地连接的属性中将不需要的服务、协议卸载，只保留一个Internet协议（TCP/IP）协议即可，以防止通过网上邻居进行病毒传播。

4.小心使用移动存储设备：通过U盘、MP3、移动硬盘等移动存储设备传播，一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等，尤其在公用电脑上表现极为明显，传播极为迅速。当必需使用移动存储设备时，先按住shift键，然后插入移动存储设备，使用杀毒软件起先查杀或手动删除可疑文件，以防止通过移动存储设备进行病毒传播。

除止之外，还要做到洁身自好。只要你洁身自好，不去浏览各种色情、暴力等不良网站（很多恶意代码都与这些网站形成联盟），同时时刻注意电脑的运行状况，在一定程度上也可以减少网络威胁发生的可能。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。