第三章 计算机病毒防护



            没有很高的技术壁垒，但确实会给人们带来困扰。
                 （二）通过主动扫描传播
                 此种病毒通常是远程扫描因特网或因特网中远程主机的硬件、软件、协议
            的具体实现或系统安全策略上存在的缺陷，通过这些硬件、软件、协议的具体实
            现或系统安全策略存在的缺陷将自己注入远程计算机并取得控制权。病毒试图利

            用网络中的各种硬件、软件、协议的具体实现或系统安全策略上存在的缺陷：有
            些病毒在某一区域内由多台计算机互联成的计算机组中进行扫描，如果目标机器
            的的账号口令过于简单，蠕虫病毒便可以很轻易地突破防御获得系统控制权。还

            有一些病毒会尝试搜索一些公开的，可写入的文件夹，直接将病毒写入其中，等
            待合适的机会运行，这种方式和用电子手段提供信息交换的通信方式传播的病毒
            相近，但非完全相同，有其特异性，下面进行具体介绍：
                 1. 社交程序，也称作欺骗手段
                 同样是社交程序，相比于通过用电子手段提供信息交换的通信方式，还是

            有所不同，安全上的破绽让病毒可能侵入某一区域内由多台计算机互联成的计算
            机组内机器上的很多目录。这样病毒可以在目标成倍地复制，只要有一个文件得
            以执行，病毒便能迅速传播。

                 2. 利用系统硬件、软件、协议的具体实现或系统安全策略上存在的缺陷
                 病毒常利用一些系统缺陷和硬件、软件、协议的具体实现或系统安全策略上
            存在的缺陷，如：Windows Explorer 有一个默认打开的选项一“按 web 页方式察
            看”，打开此选项后，Explorer 在打开每一个目录时，会自动执行其下的 folder.
            htt 文件。某些版本的 Windows Explorer 为了实现预览，还会自动执行其中的 eml

            文件。Nimda 会搜索本地网络的共享文件夹，无论是文件提供计算服务的设备还
            是终端客户机，一旦找到，便会将一个名为 RICHED20.DLL 的隐藏文件加入每一
            个包含 DOC 和 EML 文件的目录中。当别的用户打开这些目录下的 DOC 或 EML

            文档时，Word、写字板、Outlook 等应用程序将执行 RICHED20.DLL 文件，从而
            使机器被感染。与用电子手段提供信息交换的通信方式传播不同的一点是，利用
            系统硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，病毒常常可以
            在远程获得联网主机的控制权。也就是说，它们首先控制目标机，而后再将自己
            全部复制过去，进行下一步操作。如去年流行的冲击波病毒（Blaster)，就是利用

            了微软 DCOM 服务中 RPC 接口缓冲区溢出可能允许执行代码的硬件、软件、协


                                                                                    91
                                                                                    91