二、计算机病毒防范

1．计算机病毒的特点

计算机病毒是一种人为蓄意编制的具有自我复制能力并可以制造计算机系统故障的计算机程序。计算机病毒往往会利用计算机操作系统的弱点进行传播。提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，会严重削弱系统的可用性、实用性和易用性。因此病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。计算机病毒具有以下几个特点。

（1）寄生性。计算机病毒一般寄生在其他程序之中，当执行这个程序时，病毒就会起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

（2）传染性。计算机病毒不但本身具有破坏性，更有害的是其具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机不能正常工作甚至瘫痪。另外只要一台计算机染毒，如果不及时处理，病毒就会在这台机器上迅速扩散，计算机的大量文件（一般是可执行文件）会被感染。被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续传播。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的，病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如U盘、计算机网络等传染其他的计算机。

（3）潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可能在几周或者几个月内甚至几年内隐藏在合法文件中，不断对其他系统进行传染而不被发现。潜伏性越好，其在系统中的存在时间就越长，病毒的传染范围就会越大。如“黑色星期五”病毒，不到预定时间一点都察觉不出来，等到条件具备的时候一下就爆炸开来，对系统进行破坏。

潜伏性的第一种表现是病毒程序不用专用检测程序是检查不出来的；第二种表现是计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如对数据文件做加密、封锁键盘以及使系统死锁、删除文件等。

（4）隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过杀毒软件检查出来，有的根本就查不出来，有的则时隐时现，这类病毒处理起来通常很困难。

（5）破坏性。计算机中毒后，可能会导致正常的程序无法运行，也可能删除或不同程度地损坏计算机内的文件。

（6）可触发性。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制会检查预定条件是否满足，如果满足则启动感染或破坏动作，使计算机受到感染或攻击。

保障计算机安全的对策包括不断完善计算机安全立法、不断创新计算机安全技术、不断加强计算机系统内部控制与管理。

在会计电算化条件下，加强内部控制和管理是保障会计电算化系统安全的最有效途径。

2．计算机病毒分类

按照科学、系统、严密的方法，计算机病毒可分如下几类。

（1）按计算机病毒存在的媒体进行分类

按计算机存在的媒体可以划分为网络病毒、文件病毒、引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件；文件病毒感染计算机中的文件；引导型病毒感染启动扇区（BOOT）和硬盘的系统引导扇区（MBR）；还有这三种情况的混合型，如多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

（2）按计算机病毒传染的方法进行分类

根据计算机病毒传染的方法可分为驻留型病毒和非驻留型病毒。驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中，一直到关机或重新启动都处于激活状态。非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染。不驻留内存的病毒是一种立即传染的病毒，每执行一次带毒程序，就主动在当前路径中搜索，查到满足要求的可执行文件即进行传染。该类病毒不修改中断向量，不改动系统的任何状态，因而很难区分当前运行的是一个病毒还是一个正常的程序。

（3）按计算机病毒的破坏能力进行分类

根据计算机病毒的破坏能力可分为无害型、无危险型、危险型和非常危险型病毒。其中无害型病毒除了传染时减少磁盘的可用空间外，对系统没有其他影响；无危险型病毒仅仅是减少内存、显示图像、发出声音等影响；危险型病毒会使计算机系统操作产生严重的错误；非常危险型病毒会删除程序、破坏数据、清除系统内存区和操作系统中的重要信息。这些病毒对系统造成的危害并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。

（4）按计算机病毒的链接方式进行分类

按照计算机病毒的链接方式可分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒。

①源码型病毒。这种病毒可以在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。

②嵌入型病毒。这种病毒是将自身嵌入现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。

③外壳型病毒。这种病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写也易于发现，一般测试文件的大小即可发现。

④操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。

3．防范计算机病毒的有效方法

计算机病毒虽然是一些小程序，但具有很强的破坏能力，并且能够迅速地传播。计算机病毒防范体系的建设是一个社会性的工作，不是一两个人、一两家企业能够实现的，需要全社会的参与，充分利用所有能够利用的资源，形成广泛的、全社会的计算机病毒防范体系网络。

防范计算机病毒的最有效方法是切断病毒的传播途径，主要应注意以下几点。

（1）不用非原始启动盘或其他介质引导机器，对原始启动盘实行写保护。

（2）不随便使用外来盘或其他介质，对外来介质必须先检查、后使用。

（3）做好系统软件、应用软件的备份，并定期进行数据文件备份，供系统恢复使用。

（4）计算机系统要专机专用，避免使用其他软件，如游戏软件，减少病毒感染机会。

（5）接收网上传送的数据要先检查、后使用，接收邮件的计算机要与系统用计算机分开。

（6）定期对计算机进行病毒检查，对于联网的计算机应安装实时检测病毒软件，以防止病毒传入。

（7）如发现有计算机感染病毒，应立即将该台计算机断网，以防止病毒蔓延。

4．计算机病毒的检测和清除

目前病毒的破坏力越来越强，几乎所有的软、硬件故障都可能与病毒有牵连，所以当操作时发现计算机有异常情况，首先应考虑的就是病毒在作怪，而最佳的解决办法就是用杀毒软件对计算机进行一次全面的清查。

为防止计算机病毒的侵害，一方面要预防，另一方面还要经常检测和消除病毒。检测和消除病毒的方法有两种：一是人工检测和消除，二是软件检测和消除。

（1）人工检测和消除：由计算机专业人员进行，可通过找出有病毒的内容将其删除或用正确内容将其覆盖来消除病毒。该方法难度大，技术复杂。

（2）软件检测和消除：使用杀毒软件进行检测和消除。该方法操作简单、使用方便，适用于一般计算机用户。

5．杀毒软件的应用

杀毒软件也称反病毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除及自动升级等功能，有的杀毒软件还带有数据恢复等功能。

杀毒软件的任务是实时监控和扫描存储介质。部分杀毒软件通过在系统添加驱动程序的方式进驻系统，并且随操作系统启动。

下面以360免费杀毒软件为例简要介绍。

360杀毒软件是现在较主流的杀毒软件之一，它整合了国际知名的BitDefender病毒查杀引擎，以及360安全中心研发的云查杀引擎，并且完全免费使用。双引擎进行智能调度来提供病毒防护体系，不但查杀能力较强，而且能较快防御新出现的病毒、木马。

在360安全中心（www.360.cn）下载免费的360杀毒软件安装程序，并按照提示进行安装。操作步骤如下。

（1）查杀病毒

运行360杀毒软件，选择“病毒查杀”项，如图2-9所示。360杀毒软件提供了四种手动病毒扫描方式：快速扫描、全盘扫描、指定位置扫描及右键扫描。其中：

●快速扫描是指扫描Windows系统目录及Program Files目录。

●全盘扫描是指扫描所有磁盘。

●指定位置扫描是指扫描指定的目录。

●右键扫描功能集成到右键菜单中，当在文件或文件夹上单击鼠标右键时，可以选择“使用360杀毒扫描”对选中的文件或文件夹进行扫描。

（2）实时防护

如图2-10所示，在360杀毒软件中，选择“实时防护”项，可以为计算机开启实时防护，并设置防护的级别。