第 16 章 電腦病毒

本章大綱 16 - 1 認識電腦病毒 16 - 2 掃瞄病毒與解毒程序 16 - 3 防範電腦病毒的原則

16 - 1 認識電腦病毒 16 - 1 - 1 何謂電腦病毒 電腦病毒是指具有破壞性或是惡作劇性質的電腦程式。這類程式可以自我複製或感染電腦中其他正常的程式， 進而破壞電腦系統， 導致電腦無法正常運作或是資料流失， 就如同真實生活中的病毒一般， 故稱為「電腦病毒」。

16 - 1 - 2 感染病毒的徵兆 當電腦感染病毒時， 可能會出現以下情形： 16 - 1 - 2 感染病毒的徵兆 當電腦感染病毒時， 可能會出現以下情形： 螢幕上出現一些開玩笑或警告的字語、畫面， 甚至要求和您玩數字遊戲。 突然找不到硬碟、檔案異常變大或變小， 甚至發出音樂或怪聲。 檔案的名稱、日期或屬性無故被更改、多出一些不明檔案、或是在正常使用狀況之下， 產生記憶體不敷使用的異常情形。 電腦執行程式的速度變慢， 或是莫名其妙的當機。

16 - 1 - 3 電腦病毒的種類 電腦病毒大致可分為以下幾種類型： 16 - 1 - 3 電腦病毒的種類 電腦病毒大致可分為以下幾種類型： 開機型病毒：亦稱為系統型病毒。它會潛伏在磁碟啟動區中， 只要使用已感染病毒的磁碟或磁片開機後， 病毒便常駐到記憶體內， 進而感染其他軟、硬碟機的啟動磁區。此類病毒最著名的就是米開朗基羅病毒。

16 - 1 - 3 電腦病毒的種類 檔案型病毒：此類病毒主要是寄宿在可執行的檔案中， 當使用者不慎執行已中毒的檔案， 病毒就會開始破壞， 並感染其它程式。通常受感染的檔案有以下幾類：

16 - 1 - 3 電腦病毒的種類 傳統的執行檔， 如：.EXE、.COM 等檔案。 16 - 1 - 3 電腦病毒的種類 傳統的執行檔， 如：.EXE、.COM 等檔案。 含有 VBA 巨集的文件檔案， 如 .DOC、.XLS 的檔案， 此類病毒亦稱為巨集型病毒。較著名的巨集病毒為 Taiwan NO.1 、履歷表、開機殺手病毒。 由 VBScript 或 JAVAScript 描述語言撰寫出來的病毒， 這類病毒檔案的副檔名為 .VBS、.JS。

常駐型病毒與非常駐型病毒 檔案型病毒可分為常駐型與非常駐型 2 種: 1. 常駐型病毒 (Memory Resident Virus)：所謂常駐型病毒是指當我們執行某個感染病毒的程式後， 病毒便會潛伏到系統的記憶體當中， 之後被執行的程式就會被潛藏在記憶體中的病毒感染， 一直要到電腦關機後， 此帶毒的程式才會從記憶體被釋放出來。

常駐型病毒與非常駐型病毒 2. 非常駐型病毒 (Memory Non-Resident Virus)：非常駐型病毒則不會暫存在記憶體中， 但是當受病毒感染的程式被執行時， 病毒將會去感染其它的程式。

16 - 1 - 3 電腦病毒的種類 混合型病毒：混合型病毒可說是開機型病毒與檔案型病毒的綜合體， 它除了感染可執行檔案外， 也能感染磁碟的開機磁區， 破壞力和傳染力更甚上述兩者， 因此預防上也較為困難。

新型的電腦病毒 除了上述病毒外， 「特洛依木馬程式」 與 「電腦蠕蟲」 也是近年來極為流行的電腦病毒： 特洛依木馬程式：特洛伊木馬程式必須先進入使用者的電腦當中， 伺機進行刪除檔案、格式化硬碟， 駭客可能會藉此盜用使用者的帳號、密碼等機密資料， 是一種極具破壞性的電腦病毒。它通常透過比較吸引人的方式， 誘導使用者安裝於電腦中， 例如被包裝成遊戲、螢幕保護程式、工具程式、電子郵件…等等。

新型的電腦病毒 此外， 特洛依木馬程式雖不具有感染電腦中其他檔案的能力， 但只要一感染此病毒， 很容易造成電腦資料被竊取、或是損失的情況。 電腦蠕蟲：電腦蠕蟲是一種惡性程式碼， 利用電子郵件或是區域網路散佈到其他的電腦中， 常見的病毒為梅莉莎、I Love You…一旦開啟或執行具有病毒的檔案後， 病毒便隨著電子郵件的通訊錄或是區域網路而傳播出去。

新型的電腦病毒 目前流行的電腦病毒常同時結合電腦蠕蟲、特洛伊木馬程式、或是其他傳統型病毒的特性，其破壞力與感染力更是驚人。

新型的電腦病毒 舉例閱讀來說， 「探險蟲」(ExploreZip) 就是結合 「特洛伊木馬程式」及「電腦蠕蟲」 兩項特性的病毒。它不但會覆蓋位於區域網路上的電腦檔案， 還會尋找尚未感染的電腦， 將病毒安裝至電腦中。 此外， 目前近來網路上很流行的 Flash 動畫檔案 (製作成 .EXE 檔案)， 也可能夾帶病毒， 因此在開啟這類檔案時， 也必須格外小心。

16 - 1 - 4 電腦病毒的感染途徑 以上幾種類型的電腦病毒除了特性不同外， 其傳染途徑也不相同。我們將電腦病毒的主要感染途徑條列如下： 16 - 1 - 4 電腦病毒的感染途徑 以上幾種類型的電腦病毒除了特性不同外， 其傳染途徑也不相同。我們將電腦病毒的主要感染途徑條列如下： 各種儲存媒體：病毒可經由各種的儲存媒體， 如磁片、光碟片、Zip 等等， 將病毒散佈到不同的電腦中；只要執行或開啟儲存媒體中的檔案， 病毒便會感染其他的程式， 或常駐在電腦中。

16 - 1 - 4 電腦病毒的感染途徑 網頁瀏覽與下載檔案：由於 Internet 的盛行， 許多病毒也隨著網頁、下載的檔案到處傳播。尤其是一些包裝成強檔電影、美女圖...等的分享檔案， 特別容易被植入像是木馬程式...等， 以致個人電腦中的資料被竊取或遺失。 區域網路：病毒除了透過 Internet 傳播外， 也會利用一般企業、公司、政府機構、學校、研究單位、軍事單位所架設的區域網路來傳播病毒。

16 - 1 - 4 電腦病毒的感染途徑 E-mail：許多病毒都是利用 E-mail 的夾帶檔案來散佈， 一旦開啟了含有病毒的 Email附加檔， 就會中毒。中毒後， 病毒會利用您的名義自動散佈病毒信給通訊錄名單中的人， 而且轉寄時， 還會變更新的信件主題和內文。為了避免中毒， 建議您不要隨意開啟 E-mail 裡的附加檔案， 甚至是連結的網址。此外， 也要注意附加檔案的檔案類型， 因為許多附加檔案會故意偽裝成不易中毒的檔案格式 (例如文字檔)。

透過即時傳訊軟體感染病毒 目前病毒發作的溫床， 有漸漸朝向透過即時通訊軟體 (如：MSN Messenger ) 的趨勢， 由於使用者眾多， 特別適合利用此平台來散佈病毒。在 2002 年 10 月， 「即時通訊病毒 WORM_RODOK.A」 就是透過即時通訊軟體的聯絡人清單來散佈， 接著 2003 年還有 「WORM_LIRVA.C」 莉娃病毒、「PE_BUGBEAR.B」 頑皮熊病毒…， 都是以即時通訊軟體散佈， 並造成大規模災情的病毒。

16 - 1 - 4 電腦病毒的感染途徑 由於新的電腦病毒仍不停地增加中， 我們必須經常留意新病毒的資訊。若想得知病毒資訊， 可以連上防毒軟體公司的網站查詢 (參考圖表 16-2)。

16 - 2 掃瞄病毒與解毒程序 16 - 2 - 1 使用防毒軟體掃毒 16 - 2 掃瞄病毒與解毒程序 16 - 2 - 1 使用防毒軟體掃毒 防毒軟體通常都會提供掃瞄病毒的功能。使用防毒軟體時， 若發現電腦中毒可直接進行解毒。不過， 前提是在使用防毒軟體掃毒前， 必須先更新病毒碼， 才不會有偵測不到新型病毒的情況發生。

16 - 2 - 1 使用防毒軟體掃毒 以下我們列出 3 套防毒軟體供您選購時參考， 若您對軟體有興趣， 可參考圖表 16-2 的網站列表， 連到網頁瀏覽更多的產品資訊。

16 - 2 - 1 使用防毒軟體掃毒 更新病毒碼 即使電腦中已安裝了防毒軟體， 但並不代表您的電腦從此不會遭受到病毒的侵襲， 若沒有定期更新病毒碼， 難保電腦不會遭受新病毒的感染。一般來說， 我們可以利用防毒軟體中內建的病毒碼更新功能來更新病毒碼， 或是連上防毒軟體公司的網站， 將病毒碼下載到電腦中手動更新。

16 - 2 - 1 使用防毒軟體掃毒 掃瞄病毒 以下以賽門鐵克的防毒軟體為例， 簡述防毒軟體的掃瞄操作。安裝好軟體之後， 請開啟防毒軟體， 在左邊窗格選擇要執行的功能， 然後從右邊的窗格中勾選想要掃瞄的位置， 再按下掃瞄鈕。

16 - 2 - 1 使用防毒軟體掃毒

16 - 2 - 2 線上掃毒 除了購買防毒軟體之外， 也可以選擇線上掃毒的方式來保障電腦不被病毒入侵。線上掃毒的好處是不需要手動下載、更新病毒碼；缺點則是每次掃瞄時都得要連上網路才行。目前線上掃毒的大多採收費方式， 以趨勢科技的 HouseCall 為例， 費用在 50 元左右， 詳細的價格及收費方式請參考網站說明。

16 - 2 - 2 線上掃毒

正確的防毒觀念 掃瞄病毒， 其實只是做到事後的檢查工作， 但病毒很可能已經對電腦系統造成傷害了。因此若要徹底防毒， 除了安裝合法的軟體外， 還要定時下載軟體廠商提供的更新、修補程式 (例如微軟的修補程式) ， 以確保所使用的軟體沒有安全漏洞。

16 - 2 - 3 中毒後的解決方法 當發現電腦有類似感染病毒的徵兆 (參考16-1-2)， 您可以依照下列方法處理： 16 - 2 - 3 中毒後的解決方法 當發現電腦有類似感染病毒的徵兆 (參考16-1-2)， 您可以依照下列方法處理： 檢查感染何種病毒：若電腦已安裝防毒軟體， 請先掃瞄電腦感染何種病毒。若防毒軟體可直接解毒， 您只要將解毒工作交給防毒軟體即可；假如無法解毒， 或是檢查不出電腦感染哪一種病毒， 此時請記住電腦發病的狀況， 並關閉電腦電源 (可避免電腦資料持續被刪除、竊取)。

16 - 2 - 3 中毒後的解決方法 尋找病毒相關資訊：您可以利用尚未受到病毒感染的電腦， 上網閱讀病毒相關資訊， 並下載解毒程式 (您可連上趨勢科技公司的網站 http://www.trendmicro.com.tw)， 或是詢問朋友、專家是否有解毒的辦法。 利用救援磁片或開機片重新開機：有些防毒軟體可製作救援磁片， 您可以利用其開機並掃瞄電腦是否中毒。

16 - 2 - 3 中毒後的解決方法 如果沒有救援磁片時， 可使用沒有病毒感染的開機片或是安裝光碟片重新開機， 並執行之前所下載的解毒程式(部分解毒程式需在 DOS 模式中執行)， 清除病毒。 系統還原：部分作業系統 (Windows Me、XP) 或時光回溯軟體也會提供系統還原的功能， 只要先建好還原點， 萬一系統感染病毒而無法正常運作， 我們便可利用系統還原功能， 將系統回復到當初建立還原點 (尚未感染病毒的時間點) 的地方。

16 - 2 - 3 中毒後的解決方法 格式化硬碟：如果利用上述方法都無法清除病毒時， 就只能格式化硬碟、重新安裝作業系統了。不過， 在此有個觀念要先澄清， 格式化硬碟可能無法清除開機型病毒或混合型病毒， 因為此類病毒可能會潛藏在分割磁區中， 當我們進行格式化時， 可能僅格式化開機磁區， 但分割磁區仍暗藏病毒。因此， 若要完全清除病毒， 則必須進行低階格式化， 也就是重新分割硬碟磁區。

16 - 2 - 3 中毒後的解決方法 格式化硬碟的方法， 必須視您當初安裝作業系統時所使用的檔案格式而定。至於重新安裝作業系統及其他應用程式的方法， 請參考相關書籍。

16 - 2 - 4 平日應做好的救援準備 在進行上述的解毒方法時， 有些工具應當先準備好， 已備不時之需。舉例來說， 若需要格式化硬碟， 一定要準備作業系統的安裝光碟片、開機片、驅動程式…等等。以下列出一些平時應做好的救援準備， 提供您參考： 備份資料：定期利用光碟片、隨身碟等等儲存重要的檔案， 以避免中毒時損壞或遺失檔案。

16 - 2 - 4 平日應做好的救援準備 製作救援磁片：萬一電腦因中毒而無法開機， 便可利用救援磁片開機或掃瞄病毒。 16 - 2 - 4 平日應做好的救援準備 製作救援磁片：萬一電腦因中毒而無法開機， 便可利用救援磁片開機或掃瞄病毒。 備妥格式化硬碟的工具：在格式化硬碟前， 請先準備好下列工具： 乾淨的開機片或開機光碟。 安裝作業系統及應用程式的光碟片或磁片。 週邊裝置的驅動程式， 如：印表機、數據機、掃瞄器…等設備的驅動程式。

16 - 2 - 4 平日應做好的救援準備 上述這些工具在平常就應該整理歸納於同一處， 建議您可收放在同一個抽屜或收納盒中。此外， 開機片最好能夠註明是哪一套作業系統的開機片與製作時間， 以免與一般的磁片混淆。

16 - 3 防範電腦病毒的原則 防治電腦病毒最佳的方法在於 「預防勝於治療」 ， 但要如何落實病毒防治這項工作呢？在此補充一些預防病毒的基本原則供您參考。 不使用盜版軟體或來路不明的軟體。 避免使用在公共電腦用過的磁片、光碟片…等儲存媒體。 安裝一套合法的防毒軟體， 並時常更新病毒碼， 讓電腦多一份保障。

16 - 3 防範電腦病毒的原則 開啟電子郵件的附加檔案前， 可開啟防毒軟體的即時掃瞄功能掃毒；若無此功能， 可先將檔案儲存於電腦中， 利用防毒軟體掃毒後， 確定沒有感染病毒才開啟。 為避免因閱讀郵件而感染病毒， 請關閉電子郵件軟體的預覽郵件功能。以 Outlook Express 為例， 若要取消 Outlook Express 的預覽郵件功能， 請在 Outlook Express 視窗中執行『檢視/版面配置』 命令， 取消顯示預覽窗格項目。

16 - 3 防範電腦病毒的原則

16 - 3 防範電腦病毒的原則 大部分的電子郵件軟體也具備防毒相關設定， 以 Outlook Express 為例， 您可在 Outlook Express 視窗中執行『工具/選項』 命令， 切換到安全性頁次， 勾選在附件有可能有病毒時不允許儲存或開啟項目， 則 .exe、.com、.vbs 之類的郵件附加檔案將無法被開啟或執行。

16 - 3 防範電腦病毒的原則 在閱讀網頁或是從網路下載檔案時， 也可能會受到病毒的感染， 我們可利用瀏覽器的安全設定功能來防範， 例如 IE 可以先確認網際網路選項內的安全性頁次中安全層級設定是否完成；或是在使用檔案前先利用防毒軟體掃瞄一遍， 以確保沒有夾帶病毒。