计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。从实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹。通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了。
根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象。
一、计算机病毒发作前的表现现象
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现同时,又自我复制,以各种手段进行传播。
以下是一些计算机病毒发作前常见的表现现象:
1、 平时运行正常的计算机突然经常性无缘无故地死机。 病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生。
2、操作系统无法正常启动。 关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。
3、 运行速度明显变慢。 在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。
4、 以前能正常运行的软件经常发生内存不足的错误。 某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减校需要注意的是在Windows 95/98下,记事本程序所能够编辑的文本文件不超过64Kb字节,如果用“复制/粘贴”操作粘贴一段很大的文字到记事本程序时,也会报“内存不足,不能完成操作”的错误,但这不是计算机病毒在作怪。
5、 打印和通讯发生异常。 硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码。串口设备无法正常工作,比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使之不能正常工作。
6、 无意中要求对软盘进行写操作。 没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读娶复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件,也有的安装程序(如Office 97)对软盘有写的操作。
7、 以前能正常运行的应用程序经常发生死机或者非法错误。 在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
8、 系统文件的时间、日期、大小发生变化。 这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补叮对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会改变的,并不一定是计算机病毒在作怪。
9、 运行Word,打开Word文档后,该文件另存时只能以模板方式保存。 无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。
10、 磁盘空间迅速减少。 没有安装新的应用程序,而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长,在Windows 95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长,一般不会减少,而且同时运行的应用程序数量越多,内存交换文件就越大。
11、 网络驱动器卷或共享目录无法调用。 对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒,但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。
12、 基本内存发生变化。 在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小,一般少1Kb~2Kb.这通常是计算机系统感染了引导型计算机病毒所造成的。
13、 陌生人发来的电子函件。 收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附件的电子函件。当然,这要与广告电子函件、垃圾电子函件和电子函件炸弹区分开。一般来说广告电子函件有很明确的推销目的,会有它推销的产品介绍;垃圾电子函件的内容要么自成章回,要么根本没有价值。这两种电子函件大多是不会携带附件的。电子函件炸弹虽然也带有附件,但附件一般都很大,少则上兆字节,多的有几十兆甚至上百兆字节,而电子函件计算机病毒的附件大多是脚本程序,通常不会超过100Kb字节。当然,电子函件炸弹在一定意义上也可以看成是一种黑客程序,是一种计算机病毒。
14、 自动链接到一些陌生的网站。 没有在上网,计算机会自动拨号并连接到因特网上一个陌生的站点,或者在上网的时候发现网络特别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址,可以通过netstat命令查看当前建立的网络链接,再比照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点,或者是广告站点,这时候也会有陌生的网络链接出现。当然,这种情况也可以认为是非法的。 一般的系统故障是有别与计算机病毒感染的。系统故障大多只符合上面的一点或二点现象,而计算机病毒感染所出现的现象会多的多。根据上述几点,就可以初步判断计算机和网络是否感染上了计算机病毒。
二、计算机病毒发作时的表现现象
1、 提示一些不相干的话。 最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示“这个世界太黑暗了!”,并且要求你输入“太正确了”后按确定按钮。
2、发出一段的音乐。 恶作剧式的计算机病毒,最著名的是外国的“杨基”计算机病毒(Yangkee)和中国的“浏阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而“浏阳河”计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒,只是在发作时发出音乐和占用处理器资源。
3、 产生特定的图象。 另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是“良性”计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。
4、 硬盘灯不断闪烁。 硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。
5、 进行游戏算法。 有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作,一定要玩嬴了才让用户继续他的工作。比如曾经流行一时的“台湾一号”宏病毒,在系统日期为13日时发作,弹出对话框,要求用户做算术题。这类计算机病毒一般是属于“良性”计算机病毒,但也有那种用户输了后进行破坏的“恶性”计算机病毒。
6、 Windows桌面图标发生变化。 这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式,起到迷惑用户的作用。
7、 计算机突然死机或重启。 有些计算机病毒程序兼容性上存在问题,代码没有严格测试,在发作时会造成意想不到情况;或者是计算机病毒在Autoexec.bat文件中添加了一句:Format c:之类的语句,需要系统重启后才能实施破坏的。
8、 自动发送电子函件。 大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能。
9、鼠标自己在动。 没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制,从广义上说这也是计算机病毒发作的一种现象。 需要指出的是,有些是计算机病毒发作的明显现象,比如提示一些不相干的话、播放音乐或者显示特定的图象等。有些现象则很难直接判定是计算机病毒的表现现象,比如硬盘灯不断闪烁,当同时运行多个内存占用大的应用程序,比如3D MAX,Adobe Premiere等,而计算机本身性能又相对较弱的情况下,在启动和切换应用程序的时候也会使硬盘不停地工作,硬盘灯不断闪烁。
三、计算机病毒发作后的表现现象
大多数计算机病毒都是属于“恶性”计算机病毒。“恶性”计算机病毒发作后往往会带来很大的损失,以下列举了一些恶性计算机病毒发作后所造成的后果:
1、硬盘无法启动,数据丢失 计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容(如文件分配表,根目录区等),使得原先保存在硬盘上的数据几乎完全丢失。
2、系统文件丢失或被破坏 通常系统文件是不会被删除或修改的,除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件,或者破坏了系统文件,使得以后无法法正常启动计算机系统。通常容易受攻击的系统文件Command.com,Emm386.exe,Win.com,Kernel.exe,User.exe等等。
3、文件目录发生混乱 目录发生混乱有两种情况。一种就是确实将目录结构破坏,将目录扇区作为普通扇区,填写一些无意义的数据,再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中,只要内存中存在有该计算机病毒,它能够将正确的目录扇区读出,并在应用程序需要访问该目录的时候提供正确的目录项,使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒,那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。
4、部分文档丢失或被破坏 类似系统文件的丢失或被破坏,有些计算机病毒在发作时会删除或破坏硬盘上的文档,造成数据丢失。
5、部分文档自动加密码 还有些计算机病毒利用加密算法,将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方,而被感染的文件被加密,如果内存中驻留有这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使得用户察觉不到。一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了。
6、修改Autoexec.bat文件,增加Format C:一项,导致计算机重新启动时格式化硬盘。 在计算机系统稳定工作后,一般很少会有用户去注意Autoexec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的。
7、使部分可软件升级主板的BIOS程序混乱,主板被破坏。 类似CIH计算机病毒发作后的现象,系统主板上的BIOS被计算机病毒改写、破坏,使得系统主板无法正常工作,从而使计算机系统报废。
8、网络瘫痪,无法提供正常的服务。 由上所述,我们可以了解到防杀计算机病毒软件必须要实时化,在计算机病毒进入系统时要立即报警并清除,这样才能确保系统安全,待计算机病毒发作后再去杀毒,实际上已经为时已晚。