预防恶意软件的常见问题

常见的恶意软件类型

1. 何谓 "仿冒诈骗攻击 "？

仿冒诈骗是是一种社交工程的攻击，犯罪者利用电子邮件或欺诈网站，引诱毫无戒心的网络用户透露私人资料，例如网上银行之登入名称和密码。

2. 什麽是恶意程式码？

恶意程式码是会在资讯系统中导致不良结果的程式。恶意程式码的例子包括电脑病毒丶网络蠕虫丶特洛伊木马丶逻辑炸弹丶间谍软件丶广告软件和后门程式。由于他们对软件和资讯处理的设施造成严重的威胁，必须采取防备措施防止和查出恶意程式码。

3. 什麽是殭尸网络？

殭尸网络即主机遥距控制殭尸电脑所组成的网络。

4. 什麽是蠕虫？

蠕虫是另一种能自行复制和经由网络扩散的程式。它跟电脑病毒有些不同，电脑病毒通常会专注感染其它程式，但蠕虫是专注于利用网络去扩散。从定义上，电脑病毒和蠕虫是非不可并存的。随着互联网的普及，蠕虫利用电邮系统去复制，例如把自己隐藏于附件并于短时间内电邮予多个用户。有些蠕虫 (如 CodeRed)，更会利用软件上的漏洞去扩散和进行破坏。

5. 什麽是特洛伊木马？

特洛伊木马是一个假装提供正常功能的程式，但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取使用者的密码资料或破坏硬碟内的程式或资料。与电脑病毒不同，特洛伊并不会复制自己。它的传播技俩通常是诱骗电脑用家把特洛伊木马植入电脑内，例如通过电邮上的游戏附件等。

6. 什麽是间谍软件？

「间谍软件」是指在未经用户允许的情况下，就将用户网上活动的资料秘密地转送至别人的软件。这些资料通常被用作市场推广用途，例如针对用户的上网习惯和喜好，以弹出式视窗或垃圾邮件等形式，向用户发送个人化的广告。一些间谍软件也能窃取受害者的文件，甚至获取敏感和个人资讯。

7. 什麽是广告软件？

广告软件则会于运行时在萤幕显示广告标语，很多广告软件同时也是间谍软件。在许多情况下，免费软件开发商为用户免费提供他们的产品时，接受广告软件市场赞助，把广告软件加入到免费软件产品中。您应该在安装任何免费软件或共用软件之前仔细地阅读使用条款。安装免费软件和共用软件时，有可能暗示您同意安装广告软件。

8. 什麽是后门程式？

后门程式是在某一网络埠听候命令的恶意程式码的总称。多数后门程式包括客户端和伺服器端。客户端寄居在攻击者的远程电脑里，伺服器端在受感染的电脑系统中。当客户端和服务器之间的连接建立时，攻击者就可控制受感染的电脑。例如，后门程式允许攻击者监测并从一台受感染的电脑窃取资料，上传和启动的病毒或者删掉用户资料等等。

9. 什麽是 rootkit？

Rootkit是一种程式／工具，用作夺取系统的根目录或管理员身份接达权。 Rootkit亦指没有通过正常授权及／或认证过程的恶意入侵。 Rookit可包含后门程式，和攻击者用来隐藏自己的踪迹的工具。

10. 什麽是殭尸电脑？

殭尸电脑是指连接互联网而已经受入侵者丶电脑病毒或木马程式影响的电脑。一般而言，拥有者并不知道该等入侵。该等电脑通常被用作恶意用途，例如在接收远程指令后作出拒绝服务攻击。

11. 有没有 CMOS种类的电脑病毒？

虽然电脑病毒可写入（及破坏）个人电脑的 CMOS记忆体，但电脑病毒却不能「藏」在那里。恶意程式码或可会更改 CMOS的资料，因而导致电脑无法启动，但它却无法感染 CMOS或匿藏在该处。病毒可利用 CMOS记忆体贮存部分编码，但贮存在该处的可执行编码必须先移往电脑的主要记忆体才可执行。迄今尚未发现可把编码贮存在 CMOS记忆体内的电脑病毒。有报告称 AMI BIOS曾受木马程式病毒感染。其实，它不是一种病毒；它只是一种不会复制的「恶作剧程式」。这种有害的程式并不是在磁碟上，也不是在 CMOS内；它只是直接写入系统上的 BIOS 唯读记忆体晶片内的编码。到了每年的十一月十三日，这个程式会终止电脑的启动过程，并且透过扬声器播出「 Happy Birthday」 (生日快乐 ) 的声音。

12. 有没有 BIOS 种类的病毒？

理论上， BIOS 内有可能藏有电脑病毒，并且可在该处被执行。现有的技术已可协助程式把编码写入 BIOS 内。当启动个人电脑时所执行的程式的最初步编码，便是贮存在基本输入输出系内。

有些病毒是可以在 BIOS内发作，典型的例子就是 CIH 病毒，又称为 Chernobyl 或 Spacefiller。

恶意软件如何感染您？

1. 有没有专门针对流动装置，比如说手机，的病毒和恶意程式码？

有的，事实上专门针对流动装置的病毒和恶意程式码正在以惊人的速度增长。

可以安装应用程式的手机很即可能遭到病毒或恶意程式码攻击。现在已经有少数关于病毒攻击流动装的报导，其中的一个例子就是 Cabir。

在 2007年，针对流动装置的恶意程式码发展的趋势的复杂性，抵得上桌面电脑 20年来发展的病毒。比如说，已经有木马程式和病毒可以通过手机来传播。原因是现有的流动装置及其操作平台并不支援现有的抗电脑病毒软件。

2. 资料档案会受到病毒感染吗？

纯资料档案是不受病毒和恶意程式码感染的，但是它们可以感染含有可执行程式码的资料档案。例如：有些病毒和恶意程式码通过文字处理软件，如 Microsoft Word 和 Adobe PDF 文档来传播。

3. 什麽是巨集病毒，它是如何传播的？

巨集病毒是一种由巨集语言写的程式，使用在一些软件应用程式里（如文字处理软件丶报表等）。巨集病毒为了繁殖，会利用巨集语言的能力把自己从一个受感染的档转移到另一个档。例如，当打开感染巨集病毒的 Word档时，通常病毒会复制到 Word通用范本 (典型的是 NORMAL.DOT) 中，之后打开或创建的所有档都将一一遭到感染。巨集病毒由于成为受感染档的一个组成部分，所以可以随文档转移，甚至感染其他的文档。

4. 巨集病毒会造成什麽破坏力？

如所有的电脑病毒一样，巨集病毒可以破坏资料和文档。有些案例中，巨集病毒可以重新格式化电脑的硬碟。虽然已知巨集病毒多数没有很大破坏力，但却浪费用户的生产力和时间。

5. Microsoft Access 资料库也会感染电脑病毒和恶意程式码吗？

会，第一只 Access档巨集病毒 JETDB_ACCESS-1会感染 Microsoft Access 97 资料库。当你打开一个受感染的资料库档案时，此病毒会开始搜寻并逐一感染现行目录下，及其父目录和根目录下的所有 .MDB档案。

6. 我的电脑会不会因接驳互联网浏览网页／下载程式而受到电脑病毒和恶意程式码感染？

如果你有部份的保安修补程式还未安装，或执行 ActiveX丶 active scripting及 JAVA应用程式，或执行从互联网下载的程式而这些程式可能已感染病毒，因此，你的电脑也有可能受到感染。

电脑用户在浏览互联网时，应注意采取以下措施：

确保已经为作业系统及电脑上的软件安装了最新的保安修补程式。

启动即时进行扫描的抗电脑病毒软件，及使用最新的病毒识别码和相应的侦测修复引擎。

避免浏览可疑／不可信赖的网站。

不执行未经辨识的以 ActiveX技术编写的指令，或从不可信赖的来源取得的以 ActiveX技术编写的指令。

可能的话，在浏览器的设定中关闭执行 Script的选项。

避免从不可信赖的网站下载程式，因为这样做电脑会很易受到病毒感染。

7. 电子邮件内容会受病毒感染吗？

普通电子邮件的内容，如果只有纯文字而不含可执行程式码的话，是不会受到感染的。但嵌入了可执行的 HTML格式的电邮，和附加在邮件中的附件都可能会受病毒感染。现时大部份抗电脑病毒软件都可扫描电子邮件及附件。

您可以采取什么措施来防范恶意软件

1. 我收到一个电子邮件，看起来象虚假的新病毒通告，或是一个看起来好得不太真实的促销广告，我该怎么办？

恶作剧电子邮件是由恶意的个体发出的不真实的谣言丶警告丶或警报，意图就是欺骗接收人信以为真的电邮。这些电邮的典型的例子包括与新电脑病毒有关的，促销，或者其它热门的丶吸引他人注意的相关的恶作剧邮件。恶作剧电子邮件通常有以下一个或多个特征：

它们使用技术专业术语和复杂的技术描述；

它们要求收信人发送或转发邮件给他们认识的每个人；

它们不包含发信人的资讯，或者使用伪造的发信人资讯。

虽然恶作剧电子邮件不直接伤害电脑，但它们包含不真实的资讯而误导接收者，甚至引起恐慌。转发恶作剧电子邮件会消耗网络和系统资源，并且浪费接收者的时间。

处理互联网恶作剧电子邮件的适当的方式就是不理会它们。为了减少传播互联网恶作剧电子邮件，请不要：

传播来源不明的消息，除非先确认他们是否可靠的丶具有权威性的资讯来源；

转发任何恶作剧电子邮件。

2. 如何减少 Word巨集病毒对硬碟及档案造成的破坏？

你应该定时备份你所有的资料，安装并启动即时进行扫描的抗电脑病毒软件，及使用最新的病毒识别码和相应的侦测修复软件，并定期扫描整个系统。

3. 什麽是防范仿冒诈骗最好的工具？

为避免被卷入网络诈骗，请采用以下的一些最佳做法：

不要回应电子邮件要求输入个人资料（如密码），不要点击不可信来源和可疑的电子邮件提供的 URL连结，这样，你才能避免被重新定向至看似合法的恶意网站。

通过传统的电子邮件或电话来联络网站所属的组织，如银行，来验证该网站的真确性。

手动键入网址，以到达预期的网站，或使用你之前保存的曾经去过的重要或关键网站的书签。

登录到任何网站，你应定期检查帐户状态和上次登录时间，确定是否有任何可疑活动。

递交敏感的个人或帐户资讯给网站时，必须保持警惕。银行及金融机构很少利用电子邮件问及你的个人或户口资料。如果有疑问，要谘询有关的组织。

必须确保你的电脑安装有最新的抗电脑病毒软件和病毒识别码。这将减少被受欺诈性电子邮件或攻击软件漏洞的网站的影响。这也有助于保护您的电脑机免遭其他安全或病毒攻击。

考虑使用滥发邮件过滤产品，以发现和阻止欺诈性电子邮件，但需要提防假警报。

发送任何你收到的网络仿冒诈骗电子邮件给关组织和 /或警方作进一步调查。

4. 怎样防范电脑变成殭尸电脑？

以下最佳做法可以帮助保护您的电脑避免成为一部殭尸电脑：

在你的电脑里安装和使用抗电脑病毒和个人防火墙软件。

更新您的抗电脑病毒软件，经常更新病毒识别码。

及时更新你的抗电脑病毒软件，因为过时的抗电脑病毒软件对新发现的病毒无效。

给你使用的软件安装最新的保安修补程式。

当你不使用互联网的时候，断开你的电脑互联网接驳。已接驳上互联网的电脑时刻都有感染病毒的风险，它们被攻击的可能性更大。

5. 怎样防范我的电脑感染病毒和恶意程式码？

必须安装和使用抗电脑病毒软件或恶意程式码的检测和维修工具。您也可以考虑采取类似的产品应付间谍软件和广告软件。用户应定期更新病毒识别码及恶意程式码定义档。更新功能应设置为自动更新，而更新频率至少须为每日一次。如无法进行自动更新，至少须每周手动更新一次。

此外，用户应：

启动即时侦测以扫描现行程式丶执行程式及正在处理的档案是否附带电脑病毒及恶意程式码。

定期对系统进行全面扫描。

定期检讨并为作业系统及应用程式安装最新的保安修补程式。

在安装任何软件之前，核查软件是否完整（例如比较校验和）及确保软件并无附带电脑病毒和恶意程式码。

因个人互联网电子邮件较容易受电脑病毒感染，应避免使用。倘若因业务需要而必须使用个人互联网电子邮件服务，则应在独立设置的专用互联网连接电脑处理这些邮件。

应使用主硬磁碟啓动工作站。未经允许不得透过抽取式储存装置啓动工作站。

定期备份你的电脑资料。

如果你怀疑自己的电脑感染了病毒，你应该停止使用它，因为这可能会散播电脑病毒或恶意程式码。如果这是你的办公室的电脑或手提装置，你要立即向上司和局部区域网 /系统管理员通报。

虽然你可以使用抗电脑病毒软件删除恶意程式码，它可能无法完全恢复受感染的档案。你应该从原来的备份系统更换任何受感染的档案。恢复后，完整的扫描自己的电脑和其他可移动存储媒介，确保一切病毒或恶意程式码不再存在。

6. 防火墙可否侦测电脑病毒？

防火墙本身不能侦测出电脑病毒和恶意程式码。但是，因为防火墙在网络上的位置是侦测病毒的理想地点，部分防火墙已经设有插入的扫描病毒的程式。此外，亦有部分程式可在防火墙之前或之后的位置侦测病毒。请注意，扫描 FTP或 HTTP档案的工作会耗用大量网络资源而且防火墙只是其中一个病毒入侵点，病毒还可经由软磁碟丶移动记忆体和电子邮件感染内联网。

7. 什麽是扫描引擎 (Scan Engine)?为什麽抗电脑病毒软件除了更新病毒识别码，还需要更新扫描引擎？

病毒扫描引擎是实际执行扫描工作及侦测病毒的程式，而病毒识别码是扫描引擎用以识别病毒的「指纹」。推出新版本的扫描引擎有着不同的原因。旧的扫描引擎可能侦测不出新种类的病毒。新版本的扫描引擎会提高扫描表现及侦测率。部分抗电脑病毒软件制造商在一个档案里提供扫描引擎及病毒识别码的更新程式，另一些则以分开的档案提供。

8. 在多台电脑的网络环境中，什麽是最有效的方法去更新病毒识别码？

替电脑系统和网络定期地更新最新的病毒识别码对于有效地侦测和阻挡最新的病毒和它们的变种是非常重要的，特别是在高危害病毒爆发的时候。为增强病毒识别码的更新过程，应该考虑在电脑运行时或登录到网络伺服器时，自动地更新所有连接网络的电脑的病毒识别码。亦可以考虑使用抗电脑病毒软件制造商的自动更新病毒识别码系统去进行自动更新。

9. 局部区域网络／系统管理员应该如何防范电脑网络感染电脑病毒和恶意程式码？

局部区域网络／系统管理员应确保伺服器及工作站均安装抗电脑病毒软件或恶意程式码侦测及修复软件。电脑病毒识别码及恶意程式码定义应配置为自动更新，而更新频率至少须为每日更新一次。如无法进行自动更新，局部区域网络／系统管理员应至少每周人手进行更新。

亦应考虑实施以下：

关于网络方面：

安装抗电脑病毒及内容过滤通讯闸，以扫描所有输入或输出的信息／档案是否含有恶意内容。通讯闸应配置为可阻截丶隔离及删除含有恶意 ?容的信息或档案，有关信息或档案，以及建立审计记录以供日后参考。

定期检讨并为网络作业系统及通讯闸安装最新的保安修补程式。

就电脑设备及发展中或用以测试的软件均应采用相同的资讯保安考虑事项及程序。

所有电脑须进行全面扫描后，方可接达网络。

于每安装一台新机器，服务维修和安装新的软件后进行全面的系统扫描。

对伺服器端：

透过主硬磁碟启动伺服器。如电脑须透过抽取式储存媒体启动（例如 USB Thumbdrive丶USB硬磁碟丶唯读光碟丶数码影像光碟等），在啓动前必须扫描抽取式储存媒体是否附带电脑病毒。

定期检讨，并从产品供应商的作业系统及应用程式下载最新的保安修补程式。

使用接达控制功能保护伺服器的，例如储存应用程式的目录应设定为 "唯读 "。此外，应按照 "需要赋予 "原则赋予接达权，尤其是 "写入" 及 "修改" 权。

运用文件管理解决方案共用文件，从而减低受感染档案在不受控制下传播的机会。

在供用户使用前，应先将所有新安装的软件，进行病毒扫描。

定期执行全面病毒扫描。

定期备份电脑资料。

此外，管理员应透过登记接收保安通知／警告信息取得最新的安全警告信息。他们应该立即向全体用户转达关键和主要的电脑病毒警报，教导用户以令其明白大规模的恶意程式码攻击的影响，并确保用户采取最佳的做法以免他们的电脑感染电脑病毒和恶意程式码。

10. 如果必须在工作环境中使用私人电子邮件，我应该怎麽做？

有时，我们会在办公室里的使用私人电子邮件服务。然而这时，最好安装一台单独的丶没有连接上网络的电脑，并使用专门的互联网去读取私人电子邮件。另外，这台单独的电脑应该由安装了最新的病毒识别码的抗电脑病毒软件进行保护。并且先检查接受到的电子邮件的附件，才让它们进入到内部系统和网络。

有关防病毒软件的其他问题

1. 什麽是 EICAR？

EICAR是「欧洲电脑抗毒研究机构」（ European Institute for Computer Anti-virus Research）的简称。它在科学丶研究丶发展丶实施和管理的领域，为 IT保安专家提供一个独立而公平的平台。它利用一系列的知识资料库，来制订最佳做法步骤和说明指南。 EICAR的官方网站是 http://www.eicar.org。

2. 什麽是 WildList？

肆意传播表 ( Wild List ) 是指全球流行的电脑病毒清单。这个清单刊载在肆意传播表国际组织 (WildList Organisation International)的网站内。这个组织由 Joe Wells 和 Sarah Gordon 在 1996年建立。他们与全球抗毒研发队伍和自愿者紧密合作，定期更新清单内容，目的是提供准确丶及时和全面的电脑病毒最新的资讯。该组织免费向公众提供这个肆意传播表。

3. 为什麽我不能成功删除某些受感染电脑病毒或恶意程式码感染的档案？

很可能作业系统或其它程式正在使用你想删除病毒的档案。最好是以安全模式重新开机，然后用抗电脑病毒软件或别的删除工具删除病毒。

4. 为什麽抗电脑病毒软件能侦测到某些病毒和恶意程式码，但却不能删除它们？

抗电脑病毒软件不单能侦测病毒，亦能侦测其他可能无法删除的恶意程式码。例如，特洛依木马就是应该删除的，而非尝试删除的恶意程式码。在另一些情况下，病毒可能损毁档案而令它无法复原。不过，这里有一些指引，可以提高你成功复原档案的机率：

使用最新的病毒识别码和扫描引擎

确保磁碟有足够的空间

参考抗电脑病毒软件制造商官方网站提供的相关指示，或下载适用的病毒移除工具

若果仍告失败，可获取病毒样本及送往抗电脑病毒软件制造商，以便其作出指引。

5. 在我的部门里，作为互联网通讯闸的电脑已经装了最新的抗电脑病毒软件。为什麽有些部门电脑还是感染了病毒？

根据以往的经验，病毒感染大多数与处理电邮时的操作方式，或与资讯科技保安管理方式相关。例如，不难看见一个用户直接利用办公室的电脑来存取由外部互联网供应商或电子邮件服务提供的私人的电邮帐户。这样私人的电邮服务可能未通过互联网集中管理或电邮通讯闸的病毒侦查过程。因此，强烈建议用户不要在工作时使用私人电子邮件服务。请看相关问题 [如果必须在工作环境中使用使用私人电子邮件，我应该怎麽做？ ]，以了解更多关于在工作环境中使用个人电邮的细节。

另一个原因是直接连接到了办公室的互联网服务，例如为个别职员安排的宽频或拨号调制解调器接入的互联网服务。这样病毒就会绕过中央互联网通讯闸提供的周边防护措施。职员的笔记本电脑在办公室之外时感染了病毒，然后回到办公室环境继续使用，也是另一个感染源。

另外，有些病毒会利用软件漏洞，除非应用了对应的最新的保安修正档才能有效地阻止它。除了上述之外，用户应时刻保持保安意识，采取最佳的操作方式。当用户处理文件和电子邮件时，应该保持警惕，不要打开或转发可疑电邮或他们的附件，这样就可以减低电脑感染病毒的机会。

6. 为什麽抗电脑病毒软件不能修复特洛伊木马或蠕虫感染的档案？

严格来说，并没有「被特洛伊或蠕虫感染的档案」。病毒和特洛伊或者蠕虫之间的一个区别就是病毒将复制自己到一个乾净的档案，当受病毒感染的乾净档案被执行或被打开时，病毒将感染其他乾净的档案。

特洛伊木马是一种恶意程式码安装在受感染的电脑中但并不附在任何档案上。横跨网络传播的蠕虫也是一种恶意程式码，但它并不会复制到一个乾净的档案。所以当电脑感染特洛伊或蠕虫时，没有可修复的档案。

7. 带有欺骗特点的群发邮件病毒

37-1. 我听说过群发邮件病毒和它的欺骗能力，它有什麽特性？

某些电脑病毒能大规模发送感染了病毒的电子邮件。这种病毒通常从受感染的电脑偷取电邮地址（如电邮程式中的地址簿），然后随机选择某些电邮地址发送感染了病毒电子邮件。它也能伪装寄件人和收件人地址。

因此，电子邮件上的寄件人可能不是真正的寄件人。这可以使电子邮件看起来是由另一人发送的，而事实上并非如此。这是一个常见的手法以图欺骗收件人，并掩饰病毒的来源。

如果你收到此类病毒感染的电子邮件，它意味着你的电邮地址可能是在别人受感染的电脑中被偷取，并且已经在这个过程中传播受感染的电子邮件。遇到这种情况时，你的电邮地址也可能被利用为伪装寄件人地址，并发送出更多病毒感染的电子邮件到其他用户。

37-2. 如果我收到群发邮件病毒生成的受病毒感染的电邮，我该怎麽办？

你应该拒收和删除这种邮件，不要打开其附件。你应该确保你的电脑有完善的抗电脑病毒保护机制，同时抗电脑病毒软件安装了最新的病毒识别码和侦查修复引擎。除非可以确认受病毒感染的寄件者的电邮地址是真实的，否则不要寄发任何询问邮件给寄件者，因为寄件者的地址大多是伪装的，并且寄件者和受病毒感染的电邮无关。这样可以避免进一步混乱和多馀的投诉。

8. 从防护病毒的观点来看，使用中央互联网通讯闸有什麽优点？

如果从外部互联网供应商下载的电子邮件内包含病毒，而用户的工作站并没有适当的病毒保护措施 (即没有啓动已安装最新病毒识别码抗电脑病毒软件的自动保护功能)，工作站便会容易地受病毒感染。受感染的电脑可能会进一步继续感染其他网络上连接的伺服器的档案和目录，病毒通过内部网络传播，并触发大规模的电脑病毒感染。部署一个中央互联网通讯闸是一种有效的解决方案，它能提供额外的病毒防护层，阻拦危险的电子邮件及其附件，例如那些副档名为 .EXE附件。而且，及时和定期的更新最新的病毒识别码到中央互联网通讯闸，比设法更新所有用户的电脑相对更容易，因此它更为可靠和安全。