计算机病毒的传播途径(计算机病毒如何传播？)

到目前为止，大多数计算机病毒通常是由主机中的用户操作系统引起的。目前最有效的传播也是针对Windows电脑病毒，如Win32PE、脚本病毒和宏病病毒，本节主要研究的都是针对Windows电脑病毒。

Windows计算机病毒

一、Win32PE病毒

Win32PE计算机病毒由Win32程序编写，以PE格式命名。国内流行的黑客主要使用Funlove等入侵，都属于Win32PE病毒的范围。通常Win32 PE计算机病毒具有以下特点(通过找出Win32 PE计算机病毒的特点，解决以下特点是我们的研究方向):

1.重定位是Win32 PE计算机病毒的功能之一。当计算机病毒的出现由于变量变化不准确而无法正常执行时，就要求病毒准确地重新定位自己的代码。

2.API函数的地址获取。首先得到Kernel132.dll代码的基本地址，Windows 98的BFF70000，Windows 2000的77E80000，Windows XP的77E60000。得到Kernel132.dll的位置后，定位API函数的地址，就可以得到你想调用的任何API函数的地址。

3.搜索文件。搜索文件的一般方法是递归算法，在搜索中找到有条件环境的被感染文件，然后进行感染。

4.内存中映射的文件。映射文件可以提供一系列完全独立的功能，任何地址都可以映射到进程的虚拟地址空之间的硬盘中的相关文件或磁盘中的一些文件。这样，在对映射文件进行数据操作时，可以对内存进行操作，降低了系统资源的利用率，提高了映射文件的运行速度。

Win32PE病毒

二、宏病毒

宏定义为一系列WORD指令或命令组合在一起后完成的指令(类似于DOS中的DOS批处理命令)。简单来说，它是一种通用的常规动作，可以通过同时完成多个任务来自动运行。创建Word文档的形式一般由Word模板组成，Word模板由宏、格式、菜单等相关文档元素组成。宏病毒入侵操作系统，保证了Word办公软件运行后能得到相应的控制权。一般是对Word模板中的Normal.dot文件进行篡改，嵌入宏病毒。

宏病毒

第三，脚本病毒

脚本病毒是指用脚本语言编译的恶意代码。一般脚本病毒类似于广告的特征，可以在PC端修改系统信息和系统注册表，从而给系统用户带来危害。脚本病毒与其他类型的病毒具有相同的功能，要求它们必须在独特的环境中受到系统用户的控制，才能修改系统并给系统带来危害。。脚本病毒一般采用以下手段获取系统最高权限。

1.利用映射文件操作的形式完成入侵病毒代码的文件相关映射。

2.篡改注册表中的项目。Windows运行时，会自动指向注册表中所有键值的执行程序。脚本病毒会利用这个键值入侵并指向执行病毒，最后修改并控制相关权限的操作。

3.folder.htt和desktop.ini文件的匹配方向最终达到访问权限。

4.利用个别文件名欺骗或诱导用户，使系统的用户可以独立运行。

特洛伊木马的传播

a)木马传播形式

木马本身在传播过程中缺乏主动性，所以在传播感染的过程中木马不得不进行人性化的传播，通常有以下几种传播感染的方式:

1)传播方式是通过操作系统的漏洞。木马通常是系统用户自己的IE浏览器或操作系统出现漏洞，然后嵌入木马，将木马加载复制到系统用户的电脑上运行。

2)通过电子邮件传输的形式。远程终端通过发送带有病毒的电子邮件来达到目的。这封电子邮件将使用各种诱惑来引导用户打开电子邮件中的附件。一旦用户打开附件，特洛伊木马就会立即启动，这会感染他的计算机。

3)通过目前流行的聊天软件传播。木马会发送一些容易引起用户兴趣的内容到聊天内容中，还会引导用户访问，从而触发木马。大部分与木马的聊天信息都是链接。只要用户打开链接，木马就会自动嵌入用户电脑，开始运行。

特洛伊木马程序

4)通过欺骗的方式传播到互联网上的博客、论坛和网站。木马程序会利用一些博客或者一些访问率较高的论坛和网站，发布一些同样诱人的欺骗虚假信息的方法，引导用户访问这些恶意网页。会使用一些小的常用工具如桌面天气、桌面日历等。，并在这些网页或小工具中嵌入木马，只要用户打开或执行这些。木马程序会自动立即加载到程序上进行后台安装和操作。

b)木马隐藏技术和手段

木马开发者设计了各种方法来伪装木马，以隐藏木马不被发现。同时，他们利用各种方法伪装木马，避免安全软件被检测和查杀，并利用这些方法和技术手段影响用户对木马的发现。以免被用户察觉。具体形式如下:

(1)文件的装订。这种方法是将木马程序附加到其中一个下载的安装程序上，从而伪装它的存在。只要执行下载的安装程序，木马就会悄无声息地运行，并且已经安装在用户的电脑上而不会被发现。

(2)图标的修改。它是普通安装程序或文件的图标，被木马伪装成普通安装程序或文件，一旦木马打开就会运行。但是现在这种方法不常用了。

(3)通过定制端口。因为以前的木马使用的端口都是固定的，所以在检测的时候可以通过选择特定的端口来发现木马。随着木马的发展，端口可以自定义，提高了对木马的判断能力。

(4)显示文件错误对话框窗口。当系统用户执行相应的木马程序时，会提示假文件错误对话框窗口。事实上，系统已经感染了木马程序。

(5)更名后的木马程序。这类木马为了伪装，可能会篡改一些常用安装程序的名称，诱导用户执行，也是在试图让用户执行。

(6)破坏木马本身。木马在执行启动后已经入侵系统，会通过自身的功能破坏自身。

蠕虫传播

蠕虫的工作过程主要包括:漏洞扫描、攻击、现场处理和复制。以下是对蠕虫攻击方法的简单介绍。

1)缓冲区溢出攻击

我们说缓冲区溢出，通常是因为用户输入的参数没有经过程序的仔细检查。蠕虫创建这种类型的缓冲区溢出是因为它们可以获得被攻击主机的控制权限，然后达到自由操纵系统的目的。

保护您的计算机免受蠕虫攻击。

2)拒绝服务攻击

指拒绝服务(DOS)，这种类型的攻击必须使用客户端作为平台，对一个或几个指定的目标发起DoS攻击。这种类型的攻击大大加强了DOS的攻击力。

3)弱密码攻击

相当一部分用户没有安全意识，密码设置非常简单，甚至使用空白色密码，为这类蠕虫攻击创造了条件。

其他病毒的传播

一、网络钓鱼

网络钓鱼是一种发送垃圾邮件的方法，目的是引诱收件人列出敏感信息，如密码、用户名等。其主要用途和目的是:金融诈骗、传播病毒软件、非法获取用户的Email地址和密码。网络钓鱼可以以多种方式传播，同时攻击用户。

1.建立欺骗性诱惑网站。犯罪分子首先建立了一个高仿网站，其域名和内容均为高仿正版互联网证券或网上银行，以试图引诱诈骗用户输入自己的真实用户名、密码等非常重要的个人信息，然后将这些信息存储在后台数据库中以骗取钱财。

2.鸡尾酒钓鱼。通过跨站点脚本技术，将真实网站和虚假窗口结合起来，达到混淆真假的目的。

3.将网络钓鱼与特洛伊木马和病毒相结合的技术。常见的例子有键盘监控程序:当该程序检测到用户正在访问指定网站时，它会自动打开键盘收集客户信息并将其发送给非法人员。

4.处理假冒网站的域名。比如拼音和图片相似的域名，用IP地址替换域名，编码假冒网站等。

二、灰色软件

被间谍软件和浏览器劫持的恶意代码在攻击目的和形式上基本相同，这两种攻击方式往往与经济利益相关，如:销售网络广告、通过用户点击获取用户账号和密码、登录用户账号获取非法利益等。这类软件还包括拨号拨号器、搞笑笑话程序、远程访问工具、黑客工具和广告软件。

灰色器皿

间谍软件和灰色软件通常作为附加到用户下载的灰色软件安装的程序进入网络。但是，灰色软件经常使用ActiveX进行攻击。一般来说，用户必须接受最终用户许可协议(EULA)，大多数软件程序将在下载软件之前带来。通常，EULA会包含带有灰色软件的信息，并会提醒用户某些程序通常用于收集个人用户信息。然而，大多数用户经常忽略这条信息，或者他们根本不懂这门语言。

只有当我们知道病毒是如何传播的，我们才能更好地防止计算机病毒的入侵。