《三、计算机网络安全讲义》由会员分享,可在线阅读,更多相关《三、计算机网络安全讲义(69页珍藏版)》请在金锄头文库上搜索。
1、常见病毒及防范病毒的定义n一段程序n不宜察觉的n可以传播的n通常具有破坏性的病毒的基本特征n自我复制特征(这是最本质的特征)n潜伏特征(现在常见的病毒通常都没有 耐心潜伏了)n破坏特征(现在最主要的表现是机器性 能的大幅下降和部分资源无法正常使用 )n隐蔽性(这是病毒最讨厌的特征,找不 到)当前病毒的主要目标n种植木马以获取利益(盗号,如QQ号 ,网游帐号,抓肉鸡等),以磁碟机, 木马群为代表的木马下载器就是典型例 子n恶意的商业推广行为,如网站的恶意推 广,恶意获取广告点击流量等n有少数的纯熟实验性的开玩笑,比如女 鬼病毒,只是显示一个吓人的图片病毒的传播途径n目前主要有四条: 系统漏洞:如
2、木马群利用Flash漏洞传播, 只要你看了他的Flash就会中着 邮件附件 局域网共享资源 移动存储介质木马通常也被做为病毒处理n木马技术有一部分和病毒技术是重叠的 ,如隐藏自己,因此木马和病毒常常是 相互结合的。现在的杀毒软件通常将木 马做为一类病毒处理,也没有必要清晰 地区分木马和病毒常见的病毒分类n系统病毒 :感染系统文件,通常在杀 毒软件的报警中体现为Win32.*.*、 PE.*.*, 如pe.cih.an这一类病毒编写技术要求比较高,通常 具有比较高的危险性,但种类比较少, 现在不多见常见的病毒分类n蠕虫病毒:利用网络,如邮件或系统漏 洞进行大面积传播,典型危害是网络大 面积堵塞,
3、通常在杀毒软件的前缀是 worm。比较典型的如震荡波,冲击波 等。一般以单一文件形式存在。常见的病毒分类n脚本病毒:以脚本编写而成,通过网页 浏传播。这一类病毒的前缀一般是 vbs,js等,典型的如红色代码,欢乐时 光。通常这一类病毒比较喜欢劫持浏览 器,有时候很讨厌。特别是可以通过邮 件内容传播,不需打开附件,只要预览 内容就能中毒常见的病毒分类n木马病毒:这个不用说了,这一类包括 木马及黑客工具,一般具有远程控制能 力,也有些只是窃取信息进行隐蔽传送 ,如著名的网银大盗,前缀是trojan或 hack常见的病毒分类n宏病毒 这一类病毒现在已经很少见,它 是利用OFFICE软件的自动执行宏的
4、功 能编写的,危害通常是破坏OFFICE文 档,著名的如美丽莎,一般前缀为 macro常见的病毒分类n后门病毒 该类病毒的公有特性是通过 网络传播,给系统开后门,给用户电脑 带来安全隐患,后门病毒的前缀是: Backdoor,著名的有Backdoor.IRCBot常见的病毒分类n病毒种植程序病毒,这是最讨厌的一类 病毒,其功能是在你的机器上安装各种 各样的病毒,如磁碟机,机器狗,木马 群等等,前缀一般是Dropper或 torjandownload常见的病毒分类n破坏性程序病毒 :这类病毒的公有特性 是本身具有好看的图标来诱惑用户点击 ,当用户点击这类病毒时,病毒便会直 接对用户计算机产生破坏
5、,如杀手命令,c 盘格式化等,前缀一般是harm常见的病毒分类n恶作剧病毒:这类病毒的公有特性是本 身具有好看的图标来诱惑用户点击,但 一般不产生恶性结果,前缀一般是 joker,比较著名的如Girlghost女鬼常见的病毒分类n捆绑机病毒:这类病毒的公有特性是病 毒作者会使用特定的捆绑程序将病毒与 一些应用程序如QQ、IE捆绑起来,表 面上看是一个正常的文件,当用户运行 这些捆绑病毒时,会表面上运行这些应 用程序,然后隐藏运行捆绑在一起的病 毒,从而给用户造成危害。如QQ捆绑 机常见的病毒介绍nAuto “U盘寄生虫” 采用Delphi编写,由某个木马程序释放出来的DLL木 马组件文件,一般
6、被注入EXPLORER.EXE”进程中加 载运行,强行篡改被感染计算机上的系统时间,致 使某些安全软件失效。修改hosts文件,屏蔽某些安 全站点,阻止用户对某些安全站点的访问。在被感 染的计算机上搜索与安全相关的软件,一旦发现便 强行将其关闭,在计算机硬盘的各盘符根目录下以 及移动存储设备根目录下创建“autorun.inf”文件和蠕 虫主程序文件“auto.exe”,会在后台秘密收集被感染 计算机上的系统信息,并发送到骇客指定的远程服 务器站点上。在被感染计算机上下载恶意程序并自 动调用运行。常见病毒介绍n磁碟机病毒又名dummycom病毒,变种 繁多,超过了100个,典型特征是关闭 系统
7、的安全软件,屏蔽安全站点,疯狂 下载木马,感染系统中文件并改变图标 ,在每个盘下面建立autorun.inf等。采 用进程注入和进程守护技术,百杀不死 ,杀毒的办法主要是利用专杀工具,现 在也有免疫工具常见病毒介绍n器狗木马病毒是用一个C语言编写的木马病 毒。病毒运行后会删除系统目录下的 userinit.exe,并建立一个包含病毒的 userinit.exe,随系统每次启动时加载到系统 中。此文件运行后会在系统的 SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下添加一系列反病毒软件和安全工具 的键值,
8、使这些软件和工具无法正常运行。 另外病毒还会尝试注入IE进程通过互联网下 载病毒的更新,达到躲避查杀与侦测的目的常见病毒介绍n机器狗病毒的判断方法:打开system32文件 夹 ,找到userinit.exe、explorer.exe点击右 键查看文件的属性,若在属性窗口中看不到 文件的版本标签则说明该文件已经被病毒替 换系统已经染毒。n机器狗可穿透硬件还原,在网吧里最好用, 可以用专杀工具清除,也有免疫工具常见病毒介绍n木马群病毒:这两天比较流行,利用 flash漏洞传播,篡改系统文件,伪装进 程加载; 关闭杀毒软件,阻止杀毒软 件的安装和升级,关闭杀毒辅助软件, 疯狂下载并运行木马,禁用进
9、程管理器 和注册表编辑器,中毒后系统几乎无法 运行。可以利用专杀工具清除,并应打 flash补丁常见病毒介绍n代理木马”变种cm“代理木马”变种cm是一种内嵌在正常网页 中的木马下载器,假如用户电脑没有及时安 装微软发布的相应漏洞补丁,那么当用户使 用浏览器访问带有“代理木马”变种cm的恶 意网页时,就会在当前用户电脑的后台连接 骇客指定的远程服务器站点,下载恶意程序 并在被感染电脑上自动调用运行。一般安装 杀毒软件后即可防范和清除常见病毒介绍n威金(Worm.Viking)” 属于网络蠕虫 病毒,可执行文件感染、网络感染、下 载网络木马或其它病毒的复合型病毒, 同时病毒运行后枚举内网的所有可
10、用共 享,并尝试通过弱口令方式连接感染目 标计算机,影响到的操作平台Windows 95/98/ME, Windows NT/2000/XP/2003 系常见病毒介绍n威金的症状 机器使用变得极慢 会捆绑所有的EXE文件,只要一运用应用程序,在 windows或winnt(win2000系统)下的logo1.exe图 标就会相应变成应用程序图标,并且winrar压缩 文件图标模糊不清。 3、可执行程序被感染后,应用程序启动出错,或 被强行退出,例如QQ。 4、阻止以下杀毒软件的运行,包括卡巴斯基、金 山公司的毒霸、瑞星等杀毒软件的正常运行。 5、使用任务管理器查看当前系统运行的进程可以 发现“
11、Logo1_.exe、rundl132.exe”进程。常见病毒介绍n威金可以采用专杀工具清除常见病毒介绍n新欢乐时光脚本类病毒,和欢乐时光 “VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上通过电 子邮件进行传播,也可以通过文件感染 ;感染后的机器系统资源被大量消耗, 速度变慢;利用 Windows 系统的“资 源管理器”进行寄生与感染常见病毒介绍n每个检查 到的文件夹下生成 “desktop.ini”和“folder.htt”文件; 在注 册表 HKEY_LOCAL_MACHINESoftwareMi crosoftWindowsCurrentVersion
12、Ru n下生成“Kernel32”键值 ,并指向 “Kernel.dll”或者“Kernel32.dll”文件;在 system目录下生成“kjwall.gif”文件常见病毒介绍n打开注册表,删除 HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunKernel3 2键值; 对照其它没中毒的电脑,恢复 HKEY_CLASSES_ROOTdllFile下的键值; 对照其它电脑,恢复 HKEY_CURRENT_USERIdentities“ & UserID & “SoftwareMicrosoftOutlook Express“
13、 & OEVersion &“Mail下的相 关键值; 常见病毒介绍n对照其它电脑,恢复 HKEY_CURRENT_USERSoftwareMicrosof tOffice9.0OutlookOptionsMail下的 相关键值; 对照其它电脑,恢复 HKEY_CURRENT_USERSoftwareMicrosof tOffice10.0OutlookOptionsMail下 的相关键值; 常见病毒介绍n二、删除带毒文件(建议在 DOS 状态下进 行) 对照其它电脑,恢复Windowsweb目录下 “folder.htt”文件; 删除“Kernel32.dll”或“Kernel.dll”文件
14、; 删除“kjwall.gif”; 查找所有带有“KJ_start”字符串的文件,并 删除文件尾部的病毒代码。常见病毒介绍n熊猫烧香(武汉男孩,尼姆亚)n其实是一种蠕虫病毒的变种,而且是经过多 次变种而来的。尼姆亚变种(Worm.Nimaya.w) ,由于中毒电脑的可执行文件会出现“熊猫 烧香”图案,所以也被称为“熊猫烧香”病 毒。用户电脑中毒后可能会出现蓝屏、频繁 重启以及系统硬盘中数据文件被破坏等现象 。同时,该病毒的某些变种可以通过局域网 进行传播,进而感染局域网内所有计算机系 统,最终导致企业局域网瘫痪,无法正常使 用,使用专杀工具清除常见病毒介绍nSxs病毒(落雪) 可以通过可移动磁
15、盘传播,主要危害是盗 取QQ帐户和密码,并且会终止大量反病 毒软件的进程,降低系统的安全等级, 典型特征是无法查看隐藏文件,在文件 夹选项里设置也不能显示隐藏常见病毒介绍n断开网络连接,打开“任务管理器”,应该有 个SVOHOST.EXE进程,把它结束掉。到 C:WINDOWSsystem32里找到 SOVHOST.EXE把它删除nHKEY_LOCAL_MACHINESoftwareMicros oftwindowsCurrentVersionexplorerAdvan cedFolderHiddenSHOWALL中的 CheckedValue,检查它的类型是否为 REG_DWORD,如果不是
16、则删掉 CheckedValue,然后单击右键“新建”- “Dword值”,并命名为CheckedValue,然后 修改它的键值为1常见病毒介绍n打开各硬盘(“我的电脑”里右键“打开” 或“资源管理器”右侧选择),“文件夹选 项”“查看”选择“显示所有文件和文 件夹”,并把“隐藏受保护的系统文件”复 选框去除选择。可以看到各个硬盘根目 录下都有autorun.inf和sxs.exe文件,把 它们都删掉。常见病毒介绍n灰鸽子n 灰鸽子(backdoor.gpigeon)是国内一款著 名后门。backdoor.gpigeon可以说是国内后 门的集大成者。其丰富而强大的功能、灵活 多变的操作、良好的隐藏性使其他后门都相 形见绌。客户端简易便捷的操作使刚入门的 初学者都能充当黑客。当使用在合法情况下 时,是一款优秀的远程控制软件。但如果拿 它做一些
