【正文】 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)絡(luò)系。 盡管當(dāng)前的文件服務(wù)器體系結(jié)構(gòu)容許客戶機(jī)從服務(wù)器存取文件，卻不容許客戶機(jī)在服務(wù)器上執(zhí)行直接的、扇區(qū)級(jí)操作。假如網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)被感染，引導(dǎo)記錄病毒就無法感染連接到服務(wù)器的客戶機(jī)。此時(shí) Inter是文件病毒的載體。 文件病毒可以通過 Inter毫無困難地發(fā)送。 這些特點(diǎn)使得端到端網(wǎng)絡(luò)對(duì)基于文件的病毒的攻擊尤其敏感。因此，每個(gè)工作站都可以有效地成為另一個(gè)工作站的客戶和服務(wù)器。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過特別設(shè)計(jì)與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機(jī)器上被激活。 如果一個(gè)標(biāo)準(zhǔn)的 病毒感染會(huì)發(fā)生什么呢 在一個(gè)用戶登錄到網(wǎng)絡(luò)上之后，他就會(huì)啟動(dòng)病毒，并且感染在其工作站上使用的每一個(gè)程序。然而，一般文件服務(wù)器中的許多文件并沒得到保護(hù)，而且，非常容易成為感染的有效目標(biāo)。用戶在工作站上執(zhí)行內(nèi)存駐留文件帶毒，當(dāng)訪問服務(wù)器上的可執(zhí)行文件時(shí)進(jìn)行感染。 病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用的局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被消除，其潛在危險(xiǎn)仍然巨大。因此，僅對(duì)工作站進(jìn)行殺毒處理并不能徹底解決問題。由于病毒在網(wǎng)絡(luò)中傳染速度非?？?，故其傳染范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有電纜，還能通過遠(yuǎn)程工作站將病毒在瞬間內(nèi)傳播到千里之外，且清除難度大。但病毒傳染方式比較復(fù)雜，傳播速度比較快。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染、再生，就會(huì)使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。它不需要停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起，不被人們察覺。 Inter衍生出一些新一代病毒，即 Java及 ActiveX病毒。 Inter的飛速發(fā)展給反病毒工作帶來了新的挑戰(zhàn)。對(duì)于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會(huì)把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。而且，在應(yīng)用系統(tǒng)頻頻升級(jí)的今天，升級(jí)后的版本對(duì)現(xiàn)有軟件是否兼容是難以預(yù)料的。兩類軟件各有自己的優(yōu)勢(shì)，一般說來，前者的適應(yīng)能力強(qiáng)于后者。 盡管我們?cè)谇懊娼榻B了種種反宏病毒的方法，但是對(duì)大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。而當(dāng)你需要改變 ，剛好又遇上宏病毒，它是不會(huì)報(bào)警的。相對(duì)于設(shè)置只讀屬性來說，這一方法更加有效。 7. 在 Tools/Option下的 Save選項(xiàng)的 ReadOnly Remended的另一項(xiàng)是設(shè)置密碼保護(hù)： WriteReservation Password。宏病毒完全可以繞過這一障礙，比如說在 便可以改變這一屬性。很多業(yè)界專家和宏病毒的作者的看法完全相反。因此，在理論上來說，如果，病毒將不能改變它們。對(duì)一般用戶而言，這一選項(xiàng)的確很有用，它可以起到一定的預(yù)防作用。這一提示框告知用戶要打開的文件中是否有宏的存在。 這種方法禁止使用自動(dòng)宏的執(zhí)行，它比使用 Shift鍵更為有效，但還是只能用于限制使用自動(dòng)宏的宏病毒，而對(duì)那些不依賴于自動(dòng)宏來傳播的宏病毒是無效的。 選擇 Tools/Macros在 Macro中，輸入 Autoexec然后點(diǎn)擊 Create輸入 DisableAutoMacros指令。 4. 使用 DisableAutoMacros宏 這是一個(gè)“以宏治宏”的方法，通過DisableAutoMacros宏指令來禁止使用自動(dòng)宏。這才是比較安全的查看宏的方法。如果有宏存在的話，它們會(huì)被列在框內(nèi)。 在啟動(dòng) Word后，進(jìn)入 Organizer并選擇 Macros按鈕，按一下按鈕 Close Files使其轉(zhuǎn)變?yōu)?Open Files。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒有打開任何文件的情況下重新打開 Word。正確地用 Word工具選項(xiàng)來查看宏代碼的方法是使用 Organizer來查看文檔中的宏。另外，這對(duì)使用其他宏來傳播的宏病毒是無效的。你必須在打開 Word的時(shí)候一直按著 Shift鍵，必須確保一手按著 Shift鍵，另一手雙擊 Word圖標(biāo)。同樣，在退出時(shí)按下 Shift鍵， AutoClose宏也不會(huì)被執(zhí)行。 2. 別通過 shift 鍵來禁止運(yùn)行自動(dòng)宏 在打開文檔時(shí)按下 Shift鍵可使文檔在打開時(shí)沒有執(zhí)行任何自動(dòng)宏。 如果病毒的傳播沒有通過感染 或者病毒關(guān)閉了這一選項(xiàng)，用戶還是以為平安無事的話，后果不堪設(shè)想。 但其局限性是僅在退出 Word 時(shí)才作出提示。用戶可以在 Tools/Option 下的 Save 選項(xiàng)中進(jìn)行設(shè)置。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個(gè) Word版本格式可能不兼容。 有些宏病毒通過這些自動(dòng)宏控制文件操作。病毒宏將自身復(fù)制到 Word通用 (Normal)模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。這一點(diǎn)在多種文本編輯器需要轉(zhuǎn)換文檔時(shí)便不能實(shí)現(xiàn)。 2. 宏病毒特征 (1) 宏病毒會(huì)感染 .DOC文檔和 .DOT模板文件。同時(shí)高版本的 Word文檔在低版本的 Word下是打不開的，這就是為什么宏病毒在我國(guó)內(nèi)地發(fā)現(xiàn)較少的原因。宏病毒 Nuclearr就是破壞操作系統(tǒng)的典型一例。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。 Word宏病毒通過 .DOC文檔及 .DOT模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類型。 這樣做，等于是為宏病毒大開方便之門，只要撰寫了有問題的宏，再去感染這個(gè)共用范本（ ），那么只要一執(zhí)行 Word， 這個(gè)受感染的共用范本即被載入，計(jì)算機(jī)病毒便隨之傳播到之后所編輯的文檔中去。只要一啟動(dòng) Word， 就會(huì)自動(dòng)運(yùn)行 ?？墒鞘聦?shí)上，很少人會(huì)對(duì)宏產(chǎn)生興趣，因?yàn)楹甑木帉懴喈?dāng)于學(xué)習(xí)一套程序語言，盡管它的語法被撰寫得很簡(jiǎn)單，可是大多數(shù)的人，一方面不知情不了解，一方面雖知如此，卻寧愿多花幾秒重復(fù)幾個(gè)動(dòng)作。不過這種形式的傳染有原始碼被公開的特點(diǎn)，而且正因?yàn)樵即a是公開的，這種計(jì)算機(jī)病毒的一切行為便無所遁形了。正因?yàn)檫@種是宏亦是資料的文檔格式，便產(chǎn)生了宏感染的可能性。宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)式計(jì)算機(jī)病毒，可以在 Windows、 Windows9 9 NT、OS/ Macintosh System7等操作系統(tǒng)上執(zhí)行病毒行為?！?Word宏是使用 Word Basic語言來編寫的。它利用簡(jiǎn)單的語法，把常用的動(dòng)作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。伴隨型病毒使用許多策略，例如用同一個(gè)文件名，在同一個(gè)目錄下創(chuàng)建一個(gè) .COM文件代替已存在的 .EXE文件。然而，它們是唯一不把自己附加到已存在的程序文件中的病毒。這些病毒可能不故意地覆蓋跟在映射之后的重復(fù)數(shù)據(jù)或代碼，或者由于實(shí)際文件大小和程序內(nèi)存映射大小的差異不正確地計(jì)算出新的入口點(diǎn)，這就會(huì)導(dǎo)致程序完全崩潰或運(yùn)行錯(cuò)誤。 然而，如果用戶從 Windows下運(yùn)行這個(gè)程序，Windows 就會(huì)正確地把這個(gè)文件標(biāo)識(shí)為特殊的Windows可執(zhí)行文件類型，并且正確地裝入和執(zhí)行它的 Windows部分，而不是“ DOS stub”。 在 .EXE文件中，這個(gè)程序的更大的Windows組件跟在這個(gè)短小的 DOS內(nèi)存映射之后。每一個(gè) Windows的 .EXE文件都有一個(gè)所謂的“ DOS stub”程序，如果程序以 DOS執(zhí)行，這個(gè)“ DOS stub”程序就會(huì)顯示“ This program requires Microsoft Windows”消息。如果用戶以后要執(zhí)行這個(gè)感染的程序，DOS就會(huì)拒絕執(zhí)行。 例如， .COM格式的文件被 DOS限制不能超過65280字節(jié)長(zhǎng)。文件感染病毒所做的這種無意的損害通常只會(huì)影響容易替換的程序文件，而不是寶貴的數(shù)據(jù)文件。然后當(dāng)用戶引用程序文件時(shí)病毒就會(huì)感染它們。當(dāng)一個(gè)被感染的程序啟動(dòng)時(shí)，病毒會(huì)把它自己安裝成操作系統(tǒng)中的內(nèi)存駐留服務(wù)提供者。因此，如果用戶在執(zhí)行完感染程序后再執(zhí)行任何未感染的程序，這些程序并不會(huì)被感染。許多病毒只感染 .COM文件或 .EXE文件，但是不會(huì)兩者都感染；如果一個(gè)直接操作， .COM感染病毒要感染 .EXE程序，則很可能使這個(gè)程序崩潰。有些直接操作病毒只在當(dāng)前目錄下搜索要感染的新文件，其他直接操作病毒可能要感染硬盤或 DOS路徑下每一個(gè)文件。如果病毒斷定計(jì)算機(jī)內(nèi)存中沒有它自己的拷貝，再把自己安裝為駐留的服務(wù)提供者。被感染的文件一執(zhí)行，直接操作文件感染病毒就感染目錄上或硬盤上某個(gè)地方的其他程序文件。設(shè)備驅(qū)動(dòng)器感染病毒要完成以下動(dòng)作序列：選擇要修改的程序入口點(diǎn)；在宿主程序中記錄宿主程序原來的入口點(diǎn)，以后就可以執(zhí)行原來的 Strategy或Interrupt例程；把它自己的一份拷貝附加到宿主程序的最后；在 .SYS頭標(biāo)中改變這兩個(gè)入口點(diǎn)中的一個(gè)或兩個(gè)，使之指向病毒代碼。 當(dāng)操作系統(tǒng)在引導(dǎo)期間裝入文件時(shí)，這兩個(gè)入口點(diǎn)都獨(dú)立地執(zhí)行，都在設(shè)備驅(qū)動(dòng)器文件頭標(biāo)中標(biāo)識(shí)，當(dāng)用戶裝入感染的 .SYS文件時(shí)，病毒可以通過感染每一個(gè)入口來感染計(jì)算機(jī)。這種感染方法保證一旦可執(zhí)行文件映射裝入內(nèi)存并執(zhí)行，病毒就能得到控制。 (2) .EXE文件的感染： .EXE文件有一個(gè)入口點(diǎn)變量，它通過程序頭標(biāo)的代碼段（ CS） 和指令指針（ IP） 標(biāo)識(shí)。使用這種技術(shù)的病毒通常編寫得非常野蠻，它用病毒代碼直接覆蓋宿主程序的開始部分來感染 .COM程序。整個(gè)病毒就被放到可執(zhí)行文件映射的前部，當(dāng)程序裝入時(shí)它就會(huì)首先執(zhí)行，稱為前置。 病毒也可以通過修改可執(zhí)行文件映射的前部指令來感染 .COM文件。此前它必須記錄宿主程序原來的入口指令，這樣它完成后就可以修復(fù)宿主程序。進(jìn)行這個(gè)動(dòng)作時(shí)，這個(gè)程序就完全控制了計(jì)算機(jī)，直到它最后終止時(shí)把控制返回給 DOS。 (1) .COM文件的感染： COM文件格式是 DOS可執(zhí)行文件格式中最簡(jiǎn)單的一種。運(yùn)行中，病毒首先取出系統(tǒng)的日期和時(shí)間進(jìn)行判斷，如果滿足條件則進(jìn)行破壞，病毒主要是破壞軟盤和硬盤的引導(dǎo)扇區(qū)。若執(zhí)行的是讀操作，其軟盤引導(dǎo)扇區(qū)的 1BCH處無病毒標(biāo)記，則進(jìn)行傳染。 火炬病毒的傳染過程是這樣的，用軟盤啟動(dòng)系統(tǒng)時(shí)，病毒把硬盤的主引導(dǎo)扇區(qū)讀入內(nèi)存，檢查主引導(dǎo)扇區(qū)的 1BCH處有無病毒標(biāo)記，如果有，則放棄傳染，若沒有，則將病毒標(biāo)記寫到 1BCH處，然后將分區(qū)信息寫到病毒尾部的 46B， 利用這保留的分區(qū)信息，病毒仍然能夠啟動(dòng)系統(tǒng)，但硬盤分區(qū)表的信息卻永久地丟失了。最后，病毒程序再將原系統(tǒng)正常的引導(dǎo)扇區(qū)內(nèi)容調(diào)到內(nèi)存的 0：7C00H處，并轉(zhuǎn)去執(zhí)行正常的系統(tǒng)引導(dǎo)。病毒首先使內(nèi)存總量減少 1KB， 并計(jì)算出系統(tǒng)內(nèi)存高端的段地址，然后把 INT 13H中斷入口設(shè)在病毒程序段偏移 0013H處。 當(dāng)病毒發(fā)作時(shí)，屏幕上出現(xiàn) 5個(gè)火炬，使主引導(dǎo)扇區(qū)信息丟失，引起硬盤癱瘓，系統(tǒng)完全處于病毒的控制之中，硬盤數(shù)據(jù)也被破壞。如果病毒盲目地把原來主引導(dǎo)記錄的一份拷貝保存到這里，它就可能會(huì)覆蓋磁盤驅(qū)動(dòng)器，在以后的引導(dǎo)中引起系統(tǒng)崩潰。主引導(dǎo)記錄病毒把原來的主引導(dǎo)記錄存放在硬盤的第一磁道的某個(gè)地方，因?yàn)椴《緵]有檢查就假設(shè)這部分空間可以用于它自己的目標(biāo)。對(duì)于大多數(shù)硬盤來說，磁盤分區(qū)軟件（ FDISK） 在硬盤主引導(dǎo)記錄之后會(huì)留下一個(gè)未用磁道的扇區(qū)。以后在計(jì)算機(jī)從已感染的硬盤引導(dǎo)并且病毒把它自己安裝為駐留的服務(wù)提供者之后，病毒就要裝入原來的主引導(dǎo)記錄并把控制傳送給這個(gè)主引導(dǎo)記錄的自舉程序。更改的主引導(dǎo)記錄通常包含帶毒的自舉例程以及原來的主引導(dǎo)記錄的分區(qū)表。在 ROM BIOS 引導(dǎo)程序把控制傳送給主引導(dǎo)記錄自舉程序的時(shí)候，病毒就得到控制權(quán)，一般的主引導(dǎo)記錄病毒把它自己安裝為內(nèi)存駐留服務(wù)提供者，就像軟引導(dǎo)記錄病毒一樣。然后驗(yàn)證主引導(dǎo)區(qū)在扇區(qū)的最后是否有正確的特征標(biāo)記，如果正確的話它就把控制轉(zhuǎn)給主引導(dǎo)記錄的自舉程序。主引導(dǎo)記錄病毒也像軟引導(dǎo)記錄病毒一樣，在被激活前，它要在引導(dǎo)時(shí)被裝入并執(zhí)行。 (2) 主引導(dǎo)記錄病毒 幾乎所有的軟引導(dǎo)記錄病毒都會(huì)感染硬盤的主引導(dǎo)記錄（ MBR） 或硬盤的活動(dòng)分區(qū)引導(dǎo)記錄。如果軟盤滿了，病毒就會(huì)覆蓋某個(gè)文件的一個(gè)扇區(qū)，從而至少損壞512B的數(shù)據(jù)。如果這個(gè)扇區(qū)正在使用，存儲(chǔ)在這個(gè)扇區(qū)的任何文件目錄條目都會(huì)被破壞。 當(dāng)病毒把一個(gè)被感染的自舉例程插入軟引導(dǎo)記錄，并且把原來的軟引導(dǎo)記錄的拷貝存儲(chǔ)在磁盤中的某個(gè)地方時(shí)，它可能覆蓋一些數(shù)據(jù)。大多數(shù)時(shí)候病毒會(huì)把目標(biāo)軟引導(dǎo)記錄裝入內(nèi)存并與它自己比較，如果病毒確定目標(biāo)軟盤沒有被感染過，就會(huì)進(jìn)行感染，并把原來的軟引導(dǎo)記錄保存到軟盤中的另外一個(gè)扇區(qū)。通過這種方式，病毒就會(huì)有效地傳播到新的軟盤而不被發(fā)現(xiàn)。 其次，病毒可以在 BIOS磁盤服務(wù)提供者為正常的磁盤請(qǐng)求提供服務(wù)后立即暗中感染軟盤的引導(dǎo)記錄，感染過程很快。只有當(dāng)請(qǐng)求磁盤服務(wù)時(shí)才感染新的軟盤，這樣