新华网消息 据中国计算机报2001年第45期报道（王江民）

　　人类进入信息社会创造了智能机器(电子计算机)， 同时也创造了机器病毒，福祸同降。从1983年计算机病毒首次被确认以来，并没有引起人们的重视。直到1987年，计算机病毒才开始受到世界范围内的普遍重视。我国于1989年在计算机界发现病毒。至今，全世界已发现近数万种病毒，并且还在高速度地增加。

　　病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特洛依木马等有害代码大量涌现。

　　本文中提到的病毒都是作者亲自编程杀过的。作者总结了多年的反病毒经验，提出抗病毒最基本的做法是：一备份，二快升级，三灾难恢复。

　　1、病毒的发展过程

　　20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。

　　20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

　　1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。

　　20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导区。这就是最早在世界上流行的一个真正的病毒。

　　1988年至1989年，我国也相继出现了能感染硬盘和软盘引导区的Stoned(石头)病毒，该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也称为“大麻”病毒等。

　　20世纪90年代初，感染文件的病毒有Jerusalem（黑色13号星期五）、 Yankee Doole、 Liberty、 1575、 Traveller、1465、2062、4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。这些病毒中，略有对抗反病毒手段的只有Yankee Doole病毒，当它发现你用Debug工具跟踪它的话，它会自动从文件中逃走。

　　接着， 又一些能对自身进行简单加密的病毒相继出现，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时， 用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使人看起来字节数很正常。

　　以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区，又感染可执行文件。

　　1992年以来，DIR2-3、DIR2-6、New DIR2病毒以一种全新的面貌出现，具有极强感染力，无任何表现，不修改中断向量表而直接修改系统关键中断的内核，修改可执行文件的首簇数，将文件名字与文件代码主体分离。在系统有此病毒的情况下，就像一切没发生一样。但你用无病毒的文件去覆盖有病毒的文件时，灾难就会发生，全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现，使病毒又多了一种新类型。20世纪内，决大多数病毒是基于DOS系统的，有80%的病毒能在Windows中传染。TPVO/3783病毒是“双料性”（传染引导区、文件）、“双重性”（DOS、Windows）病毒，这是病毒随着操作系统发展而发展。当然，Internet的广泛应用，Java恶意代码病毒也出现了。

　　近几年，出现了近万种Word(MACRO宏)病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Internet网上用Word格式文件进行大量的交流，宏病毒会潜伏在这些Word文件里，被人们在Internet网上传来传去。

　　早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剖析中，发现部分病毒好像出于一个家族，其“遗传基因”相同，简单地说，就是“同族”病毒，但绝不是其他好奇者简单地修改部分代码而产生的“改形”病毒。

　　“改形”病毒的定义与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同， 并且相同的代码其位置也相同， 否则就是一种新的病毒。

　　大量具有相同“遗传基因”的“同族”病毒的涌现，使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”，不法之徒可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。

　　这种“病毒生产机”软件可以不用绞尽脑汁地去编程序，便轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同。

　　危机一个接一个，网络蠕虫病毒I-WORM.AnnaKournikova，就是一种VBS/I-WORM病毒生产机生产的，它一出来，短时间内就传遍了全世界。这种病毒生产机也传到了我国。

　　Windows 9x、Win 2000操作系统的发展，也使病毒种类随其变化而变化。

　　病毒的种类、传染和攻击的手法越来越高超，一种流传到国内的“子母弹”病毒Demiurg，被反病毒应急中心捕获。该病毒被激活后，会像“子母弹”一样，分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。

　　该病毒感染文件的类型比较多，它既感染DOS可执行程序、批处理文件、Windows的可执行程序，而且还感染Excel 97/2000文件。

　　Internet网的发展，激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏，为世界带来了一次一次的巨大灾难。

　　1999年2月，“美丽莎”病毒席卷欧美大陆，是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。

　　1998年2月，台湾省的陈盈豪，编写出了破坏性极大的Windows恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏，然后，悄悄地潜伏在网上的一些供人下载的软件中。可是，两个月的时间，被人下载的不多，到了4月26日，病毒只在台湾省少量发作，并没引起重视。陈盈豪又炮制了CIH-1.3版，并将破坏时间设在6月26日。7月，又炮制出了CIH-1.4版。这次，他干脆将破坏时间设为每个月的26日。

　　就在那一年，很不巧的是，当时正在上映的电视剧女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中，CIH-1.2、CIH-1.4病毒也被悄悄注进该程序，大量的用户从网上下载使用，三种版本的CIH病毒被广泛扩散，当时的反病毒公司也没有及时发现。因此，这种全新的Windows病毒到处传播，危机的阴影迅速笼罩着四方。

　　一个月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳出来发作。

　　1999年4月26日，一个计算机行业难以忘却的日子，也就是到了CIH-1.2病毒第二年的发作日，人们起早一上班轻松打开计算机准备工作，可是，打开一台计算机后，只看到屏幕一闪就黑暗一片。再打开另外几台，也同样一闪后就再也启动不起来了……，计算机史上，病毒造成的又一次巨大的浩劫发生了。 　　随着Internet网的发展，使病毒传播更加方便、更加广泛，网络蠕虫病毒已成为病毒主力，这应使我们严加防范。

　　2、网络蠕虫病毒的发展

　　最早的网络蠕虫病毒作者是美国的小莫里思，他编写的蠕虫病毒是在美国军方的局域网内活动，但是，必须事先获取局域网的权限和口令。

　　世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy 99网络蠕虫病毒，当你在网上向外发出信件时，Happy 99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标，到了1月1日，收件人一执行，便会在屏幕上不断暴发出绚丽多彩的礼花，机器就不再干什么了。

　　1999年3月欧美暴发了“美丽莎”网络蠕虫宏病毒，欧美最大的一些网站频频遭受到堵塞，造成巨大经济损失。

　　2000年至今，是网络蠕虫开始大闹互联网的发展期。

　　2000年，在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒，又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏，造成了比“美丽莎”病毒破坏还大的经济损失。目前，该病毒已有十多种变种产生，不断地到处破坏。 　　2001年，有更多的网络蠕虫出现。

　　I-WORM.NAVIDAD网络蠕虫 该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序（如爱虫、美丽公园等），该网络蠕虫程序具有较大的迷惑性：用户通过OutLook Express 收到的是一封来自你曾经发送过的人的回复信件，内容与你发送的完全一致，邮件的主题、邮件的正文都一样，只是增加了一个电子邮件的附件，该附件的文件名称是：NAVIDAD.EXE文件，文件的大小是：32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的Outlook Express邮件系统下自动传播，它会自动地给你的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。

　　由于病毒修改该注册表项目的文件名称的错误，Windows系统在启动、读取可执行EXE文件时，会因为找不到WINSVRC.EXE文件而不能正常启动Windows 系统。

　　I_WORM.Blebla.B网络蠕虫 该病毒是通过电子邮件的附件来发送的，文件的名称是：xromeo.exe和xjuliet.chm，该蠕虫程序的名称由此而来。

　　当用户在使用OE阅读信件时，这两个附件自动被保存、运行。当运行了该附件后，该蠕虫程序将自身发送给Outlook地址簿里的每一个人，并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个E-mail附件的形式发送的，信件的主体是以HTML语言写成的，并且含有两个附件：xromeo.exe及xjuliet.chm，收件人本身看不见什么邮件的内容。

　　该蠕虫程序的危害性还表现在它还能修改注册表一些项目，使得一些文件的执行，必须依赖该蠕虫程序生成的在Windows目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单地将蠕虫程序删除掉,而必须先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。

　　I_WORM/EMANUEL网络蠕虫 该病毒通过Microsoft的Outlook Express来自动传播给受感染计算机的地址簿里的所有人，给每人发送一封带有该附件的邮件。该网络蠕虫长度16896～22000字节，有多个变种。

　　在用户执行该附件后，该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标，如果用户点击该“花”图标，会出现一个消息框,大意是不要按此按钮。如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框,当你关闭该信息框时又会出现一些别的:诸如上帝保佑你的提示信息。

　　网络蠕虫I-Worm/Hybris 该病毒的最明显的特征是, 当你打开带有该网络蠕虫程序的附件时, 你的计算机屏幕就会被一个始终位于最上方的图像所覆盖,该图像是活动的、转动的、黑白相见的螺旋状的圆形图形。

　　该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统Outlook来传播的, 同样是修改Windows系统下的主管电子邮件收发的wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身，而且发送的文件的名称是变化的。

　　该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块（插件），分别潜藏计算机内的不同位置，以便躲避查毒软件。该病毒可将这些碎块聚合成一个完整的病毒，再进行传播和破坏。

　　I_WORM/HTML.Little Davinia网络蠕虫 这是一个破坏性极大的网络蠕虫，可以清除硬盘上的所有数据，它利用Word 2000的漏洞、E-mail等来传播。该网络蠕虫程序是复合型的, 是HTML（网页语言）形式的、VBS文件结构、带有宏的网络蠕虫程序。

　　该病毒还能修改系统的注册表，一旦修改注册表成功，该病毒就会自动搜索所有的本地硬盘、网络盘以及所有目录下的文件，采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字，被损坏的文件很难修复！

　　I_WORM.MTX网络蠕虫病毒 该病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊，它没有主题、正文，只有一个附件文件，附件的文件名是变化的。

　　I-WORM.AnnaKournikova网络蠕虫 该病毒程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是：

　　AnnaKournikova.jpg.vbs（俄罗斯体育选手的名称命名的文件名称），它是一个VBS程序文件。当邮件用户不小心执行了该附件，那么该网络蠕虫程序会给Outlook地址簿里的所有人发送一份该网络蠕虫程序，邮件的附件文件名称：

　　AnnaKournikova.jpg.vbs（俄罗斯网球女明星的图片文件）

　　该网络蠕虫程序的长度是2853字节左右。

　　如果机器的日期是1月26日的话，该网络蠕虫程序会自动将你指向一个位于荷兰的计算机商店的网络地址。

　　从该网络蠕虫程序会给所有地址簿里的所有用户发送网络蠕虫程序来看，它和轰动一时的“爱虫程序”有相似之处。

　　I-Worm.Magistr网络蠕虫 这是一个恶性病毒，可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。

　　该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去，如果你的机中.DOC或.TXT文件是机密文件，肯定会被发在互联网上到处都是。

　　目前，该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件，文件内容全部被改写，这将导致文件不能恢复！

　　如果在Win 9x环境下，该病毒会像CIH病毒一样，破坏BIOS和清除硬盘上的数据，是危害性非常大的一种病毒。

　　该病毒采用了多变形引擎和两组加密模块，病毒感染文件的中部和尾部，将中部的原文件部分代码加密后潜藏在病毒体内，病毒长为24000～30000字节。 病毒使用了非常复杂的感染机制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件，病毒每传染一个目标，就变化一次，具有无穷次变化，其目的是使反病毒软件难以发现和清除。

　　病毒在发展，网络在发展，网络又促进了病毒的发展，复杂的病毒又朝着变形病毒发展。

　　3、变形病毒

　　早先，国内外连续发现多种更高级的能变换自身代码的“变形”病毒，其名字有:Stealth(诡秘)病毒、Mutation Engine(变形金钢或称变形病毒生产机)、Fear(恐怖)、Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine，它遇到普通病毒后能将其改造成为变形病毒。这些变形病毒具有多态性、多变性，甚至没有一个连续的字节是相同的，从而使以往的搜索病毒方法不知去搜索什么。

　　1992年，我们首次发现了国内第一例变形病毒，病毒名字为“Doctor”(医生)。目前， 我国已发现了许许多多变形病毒。

　　这些变形病毒能将自身的代码变换成亿万种样子贴附在被感染的文件中，其Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使得一些病毒扫描软件产生漏查漏杀现象。其中，CONNIE2台湾2号变形王、MADE-SP、 JOKE、 NIGHTALL、 Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂，几乎达到了不可解除的状态。

　　通过以上例子来看，计算机病毒在不断发展，手段越来越高明，结构越来越特别。目前，对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策，但变形病毒将会是今后病毒发展主要方向之一，这应当引起我们的警惕。那么变形病毒是什么样呢?

　　4、变形病毒的基本类型

　　变形病毒的基本类型后，病毒自身代码和结构在空间上、时间上具有不同的变化。以下我们将变形病毒简要划分为四类。

　　第一类变形病毒的特性是：具备普通病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的, 这里称为：一维变形病毒。

　　在一维变形病毒中,个别的病毒感染系统后，遇到检测时能够进行自我加密或脱密，或自我消失。有的列目录时能消失增加的字节数，或加载跟踪时，病毒能破坏跟踪或者逃之夭夭。

　　第二类变形病毒的特性是：除了具备一维变形病毒的特性外，那些变化的代码相互间的排列距离(相对空间位置)也是变化的，这里称为：二维变形病毒。

　　在二维变形病毒中，有如前面提到的MADE-SP病毒等，能用某种不动声色特殊的方式或混杂于正常的系统命令中去修改系统关键内核，并与之融为一体，或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定，或与文件融为一体。

　　第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，当病毒引擎被激发后自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能潜藏在几个文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区、也可能另开垦一块区域潜藏……等等。而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为：三维变形病毒。 　　第四类变形病毒的特性是：具备三维变形病毒的特性，并且这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒，其本身就是具有传播性质的“病毒生产机”病毒，它们会在计算机内或通过网络传播时，将自己重新组合代码生成与前一个有些代码不同的变种新病毒，这里称为：四维变形病毒。 　　四维变形病毒大部分具备网络自动传播功能，在网络的不同角落里到处隐藏。

　　还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的，它可能主要是人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济秩序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息，也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波，向外发出信息。也可以潜藏在联接Internet网的计算机中，收集密码和重要信息，再悄悄地随着主人通信时，将重要信息发出去（I-WORM/MAGISTR（马吉思）病毒就有此功能），这些变形病毒的智能化程度相当高。

　　以上，我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样，可使我们站在一定的高度上对变形病毒有一个较清楚的认识，以便今后针对其采取强而有效的措施进行诊治。这四类变形病毒可以说是病毒发展的趋向，也就是说：病毒主要朝着能对抗反病毒手段和有目的的方向发展。

　　5、特洛依木马与有害代码

　　互联网的发展，使病毒、黑客、后门、漏洞、有害代码等相互结合起来，对信息社会造成极大的威胁。

　　国际上最早最有名的Backdoor.BO1.2、BO2K是一个可潜伏在用户机中的后门程序，它可将用户上网后的计算机大开后门，任意进出，并可以记录各种口令信息，获取系统信息，限制系统功能；还可远程对文件操作、对注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时，影响极大。

　　攻击类的黑客程序，是行为人（黑客）使用的工具，一般的反病毒软件不去查它，留给“网络防火墙”来处理。

　　网络的广泛使用和漫无边际的交流，为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下载，或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。

　　目前，国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向，已有了2000多种，仅次于7500多种宏病毒。有害代码程序会越来越多，而查毒软件对其没有任何先知的智能化的查找方法，最多也只能在其行为上（破坏时）进行“实时监测”。

　　6、病毒的种类与数量

　　目前，病毒到底有多少？各反病毒公司说法不一。笔者于2000年12月参加了在日本东京举行的“亚洲计算机反病毒大会”，几乎世界各国的反病毒专家和著名的反病毒厂家都参加了会议。大会对2000年11月以前的病毒种类和数量作出了初步的统计，详情如下：

　　随着计算机的不断发展，和历史原因，以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续，造成了计算机所固有的脆弱性。

dos病毒 40000多种 win32病毒 15种 win 9x病毒 600多种 win nt/win 2000病毒 200多种 word宏病毒 7500多种 excel宏病毒 1500多种 powerpoint病毒 100多种 script脚本病毒 500多种 macintos苹果机病毒 50种 linux病毒 5种 手机病毒 2种 合计 55000多种

　　比如说：CPU等芯片，它的功能和构造比我们身上带的BP机要强大和复杂得多，谁能说它里面没有“后门”或“病毒”呢！它是否能像BP机一样通过主板上的导线接收外来的无线信息？一但接收到了外来信息，它是否会放出“病毒”或开启“后门”或发出破坏指令？或令“死机”！那后果可想而知……

　　我们已发现某些操作系统存在“后门”，这一现状应引起我们的高度重视。小规模的信息化战争和对抗已不断出现，大规模的信息战争也将一触即发。所以，我们必须加强反病毒手段的研究和全方位信息安全的研究。

　　国际互联网Internet的广泛发展，虽然加速了病毒的传播速度和广度，但是，各国的老病毒由于其本身的局限性还不会在全球广泛传播。只有本地化和地域性的新型病毒随着国与国信息的频繁往来交流，将上升为全球性病毒。新病毒对各国来说都是新的，这就要看谁具备了快速的反病毒手段，谁具备了快速为用户能解除病毒的条件。

　　另外，在网络上抗病毒（防火墙）和对网络性能要求成反比，所以，总会有漏网的病毒，目前，各国都在研究各种各样的防火墙（防病毒是防火墙内的功能之一），但在网络上还没有完美无缺的抗病毒方法和产品。据实验，最好的防病毒产品，对新病毒的漏网率为20%，那么，10个新病毒就可能有2个漏网，100个新病毒就可能有20个病毒漏网，这多可怕！而往往有时用户的机器中也就染上了那么一两种病毒，而就这一两种病毒就使机器不能正常工作了，而也就在这时，这一两种病毒使那些能杀1千种、1万种、5万种的杀毒软件的威风不知道哪去了。也就为了杀除这一两种病毒，用户到处寻求有效的反病毒解决方案！

　　病毒都具有一定的基本特性，这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等表现，这是普通病毒所应具备的基本特性。

　　过去，一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码，可称为‘病毒’”。即病毒从一个文件传染到另一个文件上，许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。

　　而在互联网时代，病毒会在互联网上通过一台机器自动传播到另一台机器上，一台机器中只有一个蠕虫病毒，当然，也有的蠕虫可以在当前机器中感染大量文件。现在应发展一下对病毒的基本定义，即对病毒的基本定义简单的说是“具有传播性质的一组代码，可称为‘病毒’”。

　　病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究，对变形病毒做了以下定义:

　　变形病毒的特征主要是病毒传播到目标

　　7、寻找抗病毒的有效方法

　　在反病毒的长期过程中，我们必须用科学的观点正视如下现实:

　　1. 目前的防病毒软硬件不可能自动防今后一切病毒!

　　2. 目前的查解病毒软硬件不可能自动查解今后一切病毒而又能正确自动恢复被这些新病毒感染的文件!

　　3. 目前的防、查、解病毒软件和硬件， 如果其对付的病毒种类越多，越会有误查误报现象，也不排除有误解或解坏现象。杀毒编程太费事、太累，还要冒风险，因此国外有的软件干脆只杀除其已知病毒的70%，复杂病毒只查不杀了。所以，杀病毒时，用户应遵循一查找、二备份、三解除的原则。

　　4. 目前的防、查、解病毒软件和硬件是易耗品， 必须经常更新、升级或自我升级。

　　病毒层出不穷，有时明明知道机内染有一种新病毒，那么在别的机器内和磁盘中还有此病毒吗? 这需要靠经验和时间去费力地判断，用户苦于手头没有主动式快速诊治新病毒的手段。

　　目前，计算机病毒之所以到处不断地泛滥，其一个方面的原因就是查解病毒的手段老是跟在一些新病毒的后面发展，所以病毒就到处传染。并且，现代信息传递有多么快、多么广，病毒就传染有多么快、多么广。病毒产生在先，诊治手段在后，让病毒牵着鼻子走的状态，怕是长久问题。

　　那么，有没有能紧紧跟上病毒的传播，而对其采取有效的查解手段呢?最起码在新病毒刚露头时，就应有能立即快速将其查找出来的手段，这样可针对其采取相应的措施，将新病毒消灭在初发阶段。

　　目前，有效诊治病毒的手段之一，就是应该使懂电脑基本操作的和略知病毒常识的用户，有一种能不必编程序而可方便有效地主动去快速查出新病毒的手段。查出新病毒后，可根据情况采取相应对策，这样做会及早限制住新病毒的流行。这种方法之一就是，用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门程序，其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得，需要有反病毒部门经常提供新病毒特征码和反毒程序模块。

　　对用户需要来说，抗病毒最有效的方法是：一备份！二备份！三备份！

　　对用户需要来说，抗病毒最有效的手段是：病毒库升级要快！快！快！

　　对用户需要来说，病毒破坏后最没办法的办法是：灾难恢复！

资料来源：新华网