病毒防御和分析.ppt

Slide Title,*,资料仅供参考,不当之处，请联系改正。,介绍,加密技术与信息安全工程师认证培训,中华人民共和国劳动与社会保障部职业资格认证,国家信息安全培训认证管理中心 主任,劳动与社会保障部国家督导、高级考评员,信息产业部 信息化与电子政务专家,盛鸿宇 副研究员,www.,cso,.,gov,.,cn,e_,gov,sina,.com,什么是病毒？,病毒来源于人类的传染病,病毒携带者,易感人群,病毒携带者,计算机病毒概述,计算机病毒是指那些具有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整,病毒源代码,*.,EXE,*.COM,*.DOC,等文件,类型,传播开,磁盘、磁带、,网络,计算机病毒定义（一）,计算机病毒是一个程序，一段可执行码,计算机病毒有独特的复制能力,计算机病毒可以很快地蔓延，又常常难以根除,它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来,计算机病毒定义（二）,能实现自身,复制的程序,能“传染“其他,程序的程序,所以,计算机病毒就是能够通过某种,途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的,具有对计算机资源进行破坏作用的一组程序或指令集合,计算机病毒简史（一）,1949,年，,冯,.,诺依曼提出,十年之后,贝尔实验室,1983,年,11,月,3,日，,弗雷德,.,科恩博士,1986,年初，,Pakistan,病毒，,即,Brain,1987,年,10,月，在美国，,世界上第一例,计算机病毒（,Brian,）发现,1988,年,3,月,2,日，,一种苹果机病毒发作,1988,年感染，,造成,Internet,不能正常,11,月,3,日，,美国,6,千台计算机被病毒运行,1989,年,全世界计算机病毒,攻击十分猖獗，我国也未幸免,1991,年美军第一次,将计算机病毒用于实战,1992,年出现针对,杀毒软件的,幽灵,病毒,计算机病毒简史（二）,1994,年,5,月计算机病毒破坏,南非大选活动,1996,年，出现针对,微软公司,Office,的,宏病毒,1997,年公认为,计算机反病毒界的,宏病毒年,1998,年，首例破坏计算机,硬件的,CIH,病毒出现,1999,年,3,月,26,日，,出现一种通过,因特网进行传播的美丽杀手病毒,1999,年,4,月,26,日，,CIH,病毒在我国大规模爆发,2003,年度计算机病毒回顾,2003,年度病毒排行榜,熊猫,卡巴司基,江民科技,金山毒霸,瑞星,W32/Bugbear.B,I-Worm.Sobig,I-Worm/Blaster,冲击波,/,冲击波杀手,红色结束符,W32/Klez.I,I-Worm.Klez,I-Worm/Sobig.(x),巨无霸,爱情后门,Trj/PSW.Bugbear.B,I-Worm.Swen,I-Worm/Supkp.(x),蠕虫王,Win32/FunLove.4099,W32/Blaster,I-Worm.Lentin,I-Worm/Mimail.(x),QQ,狩猎者,QQ,传送者,W32/Parite.B,I-Worm.Tanatos,I-Worm/Swen,恶邮差,冲击波杀手,W32/MapsonMM,I-Worm.Avron,I-Worm/Chian,口令,罗拉,W32/EnerKaz,Macro.Word97.Thus,I-Worm/Fizzer,小邮差,求职信,Trj/JS.NoClose,I-Worm.Mimail,Worm.SQL.helkerm,妖怪,尼姆达,II,W32/Bugbear,I-Worm.Hybris,Win32/FunLove.4099,费氏,QQ,木马,W32/Bugbear.B.Dam,I-Worm.Roron,PolyBoot,（,WYX.B,）,求职信,CIH,2003,年度计算机病毒回顾,2003,年度上榜计算机病毒特点,绝大部分都是利用网络传播的蠕虫病毒,年度排行榜中的病毒绝大部分都是每月排行榜的“常客”,前十名病毒感染计算机数量占全部病毒感染的数量的,50%,以上,利用,漏洞,发动攻击的蠕虫都能进入排行榜,2003,年度计算机病毒回顾,蠕虫病毒的特点,蠕虫病毒中绝大部分都是利用电子邮件进行传播,利用电子邮件传播的蠕虫病毒影响范围特别广泛,利用系统漏洞传播的病毒传播速度非常快、造成破坏十分严重,2003,年度计算机病毒回顾,电子邮件蠕虫病毒的特点,充分利用“社会工程学”方法,不依赖邮件服务器,变种繁多,2003,年度计算机病毒回顾,利用系统漏洞的蠕虫病毒出现得越来越快,病毒名称,补丁发布时间,病毒爆发时间,SQL Slammer,2002,年,7,月,2003,年,1,月,冲击波,/,冲击波杀手,2003,年,7,月,2003,年,8,月,计算机病毒的发展阶段,DOS,引导阶段,DOS,可执行阶段,伴随、批次型阶段,幽灵、多形阶段,生成器、变体机阶段,网络、蠕虫阶段,视窗阶段,宏病毒阶段,互连网阶段,Java,、邮件炸弹阶段,里程碑事件,在,70,年代美国作家雷恩出版的,P1,的青春,一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。,1983,年，美国学生,Fred Cohen,因研究计划需要创造出第一只计算机病毒。,1986,年，巴基斯坦的一对兄弟,Amjad,和,Basit Farooq Alvi,撰写了第一个,IBM,个人计算机的病毒,Brain,。,1988,年，美国,CORNELL,大学研究生莫里斯创造了第一只蠕虫，导致当时,Internet,主要节点关闭。,1998,年，台湾陈盈豪创造了世界上第一只能够破坏硬件的病毒,CIH,1999,年，,David L.Smith,创造了第一只通过电子邮件传播的病毒,Melissa,2000,年，爱虫病毒和库娃成为世界上首先利用“社会工程”方法的蠕虫,2001,年，利用微软漏洞的红色代码迅速席卷全世界，利用系统漏洞的蠕虫病毒开始大量通过,Internet,传播。,电脑病毒怎样附加在档案上？,正常的档案,被,感染的档案,电脑病毒的发展历史,平均每天就发现六到七个新电脑病毒,More than,44,000,Boot Viruses,Macro Viruses,Internet/E-mail Viruses,Source:Trend Micro,18,000,13,000,8,000,6,500,3,500,2,000,1,600,251,183,病毒的产生背景,计算机病毒是计算机犯罪的一种新的衍化形式,计算机软硬件产品的危弱性是根本的技术原因,微机的普及应用是计算机病毒产生的必要环境,病毒机制与组成结构,载荷机制,载荷机制定义为除了自我复制以外的所有动作,感染机制,病毒结构中首要的而且唯一必需的部分是感染机制,他是一种能让病毒繁殖的代码，也是病毒之所以成为病毒的原因,触发机制,病毒的第二个主要构成部分是有效载荷触发事件，这种病毒在找寻到一定数量的感染体、某一个时间或日期、某一段文本后触发，或者他可能仅仅在第一次被用时就触发了,电脑病毒的问题,病毒日日新,在网络有太,多入侵渠道,企业内病毒和网络安全的漏洞,路由器,De-Militarized Zone,http(www),服务器,防火墙,客户端,国际互联网,FTP/HTTP,代理 服务器,应用服务器,1.软盘或光盘,2.,内联网档案共享,3.互联网,档案共享,4.电子邮件的附件,5.电子邮件,炸弹,6.恶毒的,Java Applets,ActiveX Components,和,网页含有,VBScript.,SMTP,服务器,FTP,服务器,Design Goals,电脑病毒的问题,病毒日日新,在网络有太,多入侵渠道,病毒在网络内,传播速度非常快,病毒和网络,病毒是在档案共享的情形下传播的,网络是用来共享资料(档案)的,病毒爱网络!,+,=,国际互联网和病毒,“注意，当你连接上另一,台,电脑，你也是连接上,所有以前连接上这,台,电脑的其他电脑,.”,Dennis Miller,from the popular US television show“Saturday Night Live”.,在互联网上，电脑病毒,只,需要一分钟便能从西班牙传送到日本！,.,电脑病毒的问题,病毒日日新,在网络有太,多入侵渠道,病毒在网络内,传播速度非常快,频繁的 更新，,升级，保养与监察,你花费在防病毒软件总共要？,传染,所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程,病毒触发事件,日期触发,时间触发,键盘触发,感染触发,启动触发,访问磁盘次数触发,调用中断功能触发,CPU,型号,/,主板型号触发,病毒机制与组成结构,一个是主程序,另一个是引导程序,病毒的危害,影响系统效率,删除、,破坏数据,干扰正常操作,组塞网络,进行反动宣传,占用系统资源,计算机病毒分类,按,破坏性,分类,良性病毒、恶性病毒、极恶性病毒、灾难性病毒,按传染方式分类,文件型病毒、引导扇区病毒、混合型病毒,按连接方式分类,源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒,按特有算法分类,伴随型病毒、蠕虫型病毒、练习型病毒、诡秘型病毒、变形病毒,引导型病毒,感染对象和传播途径,引导型病毒感染启动扇区（,Boot,）和硬盘的系统引导扇区（,MBR,），并利用磁盘进行传播。,使用的主要技术,由于引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，所以该类型病毒基本上不得不采用减少操作系统所掌管的内存容量,(0:413H,单元,),方法来驻留内存高端，为了使病毒能传染给软盘，普遍修改,INT 13H,的中断向量，而新,INT 13H,中断向量段址必定指向内存高端。,引导型病毒,破坏行为,占用系统资源,导致系统不稳定,破坏磁盘数据,预防与保护的方法,不使用不可信的磁盘启动,使用防病毒软件,利用,fdisk/mbr,修复磁盘引导区（危险！）,著名的此类病毒,小球病毒,大麻病毒,文件型病毒,感染对象和传播途径,文件型病毒感染计算机中的各种文件,特别是可执行文件（如：,com,、,exe,、,scr,、,doc,等）。,使用的主要技术,通过对文件中插入相关病毒代码，修改文件执行流程加载、执行病毒代码，修改其他文件从而达到传播自身的目的。,文件型病毒,破坏行为,占用系统资源,导致系统不稳定,破坏磁盘数据,保护方法,不执行不可信的软件,使用防病毒软件,著名的此类病毒,CIH,病毒,其它病毒演示,女鬼病毒,其他病毒演示,千年老妖,其他病毒演示,白雪公主,Hybris,病毒特点：,无法追踪发信人,通过网站、新闻组下载插件以后产生变种,病毒文件名是根据多个文件名随机决定,病毒篡改,WSOCK32.DLL,以后，由于原先,的病毒文件将会被删除，发现困难。,宏病毒,宏是微软公司为其,OFFICE,软件设计的一个特殊功能，这些系统内置了一种类,BASIC,的宏编程语言。用户编制“宏”这一功能的目的是为了让用户能够用简单的编程方法，来简化一些经常性的操作。但由于宏容易编制，这也为那些心怀叵测的人提供了一种简单高效的制造新病毒的手段。,宏病毒与有用的正常宏采用相同的语言编写，只是这些宏的执行效果有害，而且在编写上利用了,Word,允许宏自动执行这一特点，一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在,Normal,模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒。如果其他用户打开了感染病毒的文档，宏病毒又会转移到他们的计算机上。,感染,Normal.dot,模板是宏病毒的最常用的传染方式。此外，与系统启动相类似，,Word,在启动过程中会自动执行,c,盘根目录下名为,Autoexec.bat,文档中包含的宏和,officestartup(,是指,Word,的安装目录)目录内的模板文件所包含的宏，有些病毒通过这两个“突破口”感染,Word,系统，使每次启动后的,Word,都成为带毒环境。,早期的宏病毒破坏方式往往是更改所附着的文档内容、扰乱文档的正常打印、开启一个无法关闭的对话框或不断开启新的文件直到系统资源耗尽、,Word,运行出错为止,随着,Office,新版本的推出，微软不断加强宏的功能，宏病毒的危害也就越来越大。前一段流行的,Melissa,病毒是利用宏来对,E-mail,管理程序,Outlook,通讯录中记录的前五十个地址发信，而最近较有影响的,July Killer(,七月杀手)宏病毒的破坏方式则是产生一个只有一条命令“,deltree/y c：”,的,Autoexec.bat,文件来替代你现有的该文件，当你下次启动机器时这条指令就会删除,C,盘中的所有文件，同时该病毒还会使“工具”菜单下的“宏”、“模板和加载项”、“自定义”、“选项”等选项无法工作，以达到阻止采用编辑宏等一般方法来手动清除病毒的目的。目前国内最流行的宏病毒有,TaiWan No.1、CAP、SetMode、July killer、OPEY.A,等。,“梅莉莎”病毒,W97M/Melissa,病毒传染的对象是,Word 97,和,Word xp,文件。当用户打开已感染有该病毒的文件时，梅莉莎便传染用户系统同时，病毒通过用户收发带毒的电子邮件互相传染，而且传染方式非常隐蔽。“梅莉莎”病毒的具体表现症状是：,当用户打开的文件感染有该病毒时，病毒首先检查注册表中是否有梅莉莎的注册信息，若有则表明系统已被传染，否则，在注册表中创建一条注册项如下：,HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa？”=“.by Kwyjibo”,利用Visual Basic指令建立一个Outlook对象从Outlook的全域地址表中获取成员地址信息，将下列信息以电子邮件方式，自动发送到地址表中的前50个邮箱(一次发送50封邮件)。其中：邮件主题为：“Important Message From-”正文为“Here is that document you asked for.dont show anyone else;-)”。此后，病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.DOC”,当用户接收到带毒的邮件并打开时用户的,Word,系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时，如4月27号的4点27分，病毒将打开一个被传染的文件值得注意的是梅莉莎在传染,Word xp,时首先从注册表中检查其安全保护级别如果注册表,HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity“Level”,的值不为0，将禁用菜单中的“,MACRO/SECURITY”,选项。如果用户使用的系统是,Word 97，,则禁用菜单,“,欢乐时光”病毒,“欢乐时光”属于,VBS/HTM,蠕虫类病毒，通过邮件传播，但不是作为邮件的附件，而是作为邮件内容。如果用户使用,Outlook，,收到带毒邮件，当用户用鼠标指向带病毒的邮件时，不必打开信件，欢乐时光病毒将被激活，并生成如下文件：,c：help.htm,c：windowshelp.vbs,c：windowshelp.hta,c：windowsUntitled.htm,然后传染硬盘中的.,htm、.vbs、.hta、.asp、.html,后缀的文件。并修改注册表中部分键值：,在,HKEY_CURRENT_USERSoftware,下新建,Help,项，然后新建,Count,键值用于记录病毒感染的次数；新建,wallPaper,键值用于记录修改后的墙纸文件；,当用户安装了,VB，,该病毒将会自动给地址簿中的邮件地址发信，邮件标题为“,Help”。,但是，该病毒不能正确取到邮件地址，没有发件人，因而不能发送。如果收件箱中有未读邮件，则病毒会自动回复这些信件。如果未安装,VB，,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时，该病毒才会自动插入到邮件体中。,当染毒的计算机内日期的日+月=13时，该病毒就会逐步删除硬盘中的,exe、dll,类型文件，最后，导致系统瘫痪。,“主页”病毒,“主页”(,Homepage),病毒也是一个加密的,VBScript,蠕虫，该蠕虫能将自身通过,Outlook,发送给地址簿中的所有收件人。该蠕虫还能打开一个包含有色情内容的站点。,病毒发作时，蠕虫将自身作为邮件发送给,Outlook,地址簿中的所有收件人，邮件主题为,Homepage。,在发送邮件之前，蠕虫会搜索主题为,Homepage,的邮件，一旦找到便将其删除。邮件发送完后，蠕虫创建下面的注册键：,HKEY_CURRENT_USERSoftwareAnmailed,并将其值设为1，该注册键是用来防止蠕虫多次重复发送。此后，蠕虫随机选择一个色情网站并打开它。,附：另外，在邮件的使用中，还会有其他的安全隐患,如病毒,四维,(,I-Worm/Swen)，,木马病毒,还有一种特殊的病毒木马，因为它造成的危害十分严重，所以越来越多地受到人们的关注。木马，也称为后门，用“瞒天过海”或“披着羊皮的狼”之类的词来形容木马程序一点也不为过，直截了当的说法是木马有两个程序，一个是服务器程序，一个是控制器程序，当你的计算机运行了服务器程序后，黑客就可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。如,证券大盗,(,Trojan/PSW.Soufan),(1)木马可能造成的危害如下：,可以从受害者的硬盘上查看、删除、移动、上传、下载、执行任何文件。这个文件管理功能是非常危险的。它可以使用户上传任何类型的文件，甚至是病毒、其它的特洛伊木马等，然后再运行它们。可以非常简单地把受害者的硬盘格式化。可以在受害者硬盘上打开一个,FTP,服务，并且设置一个指定端口，任何人都可以在你的机器上下载、上传、执行文件。,大多数的新的特洛伊木马有,窃取受害者的隐藏,密码的功能，包括拨号的密码和用户名。,(2)通用手工清除木马方法,木马的种类也很多，由于运行机理相差不大，所以对它们的查杀方法也都差不多，我们不再详述每种木马的清除方法，只告诉你应该遵循的步骤，这些步骤几乎对所有的木马都有效。,编辑,win.ini,文件，将,WINDOWS,下面的“,run=,木马程序”或“,load=,木马程序”更改为“,run=”,和“,load=”；,编辑,system.ini,文件，将,BOOT,下面的“,shell=,木马文件”更改为：“,shell=explorer.exe”；,用,regedit,对注册表进行编辑，先在“,HKEY-LOCAL-MACHINESoftwareMicrosoft WindowsCurrentVersionRun”,下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序；有时候还需注意的是：有的“木马”程序并不是直接将“,HKEY-LOCAL-MACHINE SoftwareMicrosoftWindowsCurrentVersionRun”,下的“木马”键值删除就行了，因为有的“木马”(如,BladeRunner“,木马”)，如果你删除它，“木马”会立即自动加上，这时你需要的是记下“木马”的名字与目录；然后退回到,MS-DOS,下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。,“冲击波,”蠕虫病毒,电脑病毒“冲击波”（,WORM_MSBlast.A）,是一种蠕虫病毒，它利用微软操作系统的,RPCDCOM,缓冲溢出漏洞进行传播。它会从已经被感染的计算机上下载能够进行自我复制的文件，然后随操作系统启动而自动运行。电脑病毒会自动检查当前电脑是否联网。如果没有连接，蠕虫每隔10秒就对互联网连接进行一次检查。用户电脑一旦联网，电脑病毒会自动扫描互联网，攻击其他联网计算机。在1月至8月的16日至31日以及9月至12月的任意一天，病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过这一网站升级系统，令更多的系统漏洞无法打补丁。,染病症状,受到感染的计算机中,Word、Excel、Powerpoint,等文件无法正常运行，弹出找不到链接文件的对话框，“粘贴”等一些功能无法正常使用，计算机出现反复重新启动等现象。,系统资源被大量占用，有时会弹出,RPC,服务终止的对话框，并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，,DNS,和,IIS,服务遭到非法拒绝等。下面是弹出,RPC,服务终止的对话框的现象：,而在263邮箱，一直显示“系统忙”。一些媒体和企事业单位，以及一些依靠网络生存的网吧的网络都受到感染。广州市内数十家网吧，发现虽然大部分网吧及时下载了针对该病毒的补丁，但是仍有一些因消息迟缓而感染了“冲击波”，损失惨重。据国内著名杀毒软件厂商江民公司估计，这次“冲击波”在全球造成的损失可能将超过12亿美元以上。,“冲击波”病毒利用了微软,WinME,以上操作系统中一个被广泛使用的功能的缺陷。微软公司曾经在7月21日向社会公布了这一缺陷，并发布了补丁软,件。据有关专家介绍，这种病毒中有包含有两段文字信息，一段与微软公司的创始人比尔盖茨有关：“,BillyGates why do you make this poss-ible？Stop making money and fix your software！”（,比尔盖茨，你为什么使得这一切成为可能？停止赚钱来好好修正你的软件吧！）；另一段信息则是该蠕虫病毒的作者对另一个人的问候，这也为司法机关抓住病毒作者提供了线索。,解“毒”方法,除及时安装和升级防病毒软件以外，专家还提供了两种解决方法：一是安装微软提供的补丁。可以登录网址 china/technet/security/bulletin/MS03-026.asp网页查看该漏洞的信息，并下载RPC的补丁程序。,查看电脑是否中毒，具体方法为：查看操作系统的安装目录中是否存在一个名为：msblast.exe的文件，如果存在，则证明已经中了该病毒。,病毒,震荡波,(I-Worm/Sasser)类似冲击波也是网络(非邮件)传播,IE,恢复,当,IE,被恶意网页修改了默认网址后，我们通常的做法都是以该恶意网址为对象搜索注册表后删除注册表内的相关键值，或者用第三方的,IE,恢复工具来还原,IE。,但随着,网页制作水平,的发展，我发现了另一种狡猾的篡改,IE,默认值的方法前几日上网后发现每次启动,IE,都会被引导到一个不希望去的网站，因此使用了上述的方法，可是每当重启机器就会发现该恶意网址又被自动加载了。既然删除后,IE,恢复正常，而启动后又被改写,由此推断该网址一定是在启动时被加载的，于是运行,msconfig，,当查看了启动选项页后发现了可疑的的启动项目“,regedits cwindowswindll”，,看来是把这个,dll,文件导人了注册表，接着按上面的网址进,windows,目录后用记事本打开了这个隐藏属性的,dll,文件，好啊!果然不出我所料，这就是专门把我不希望去的网页地址在启动后加载到,ie,的注册表导入文件，,为了保险起见，在,msconfig,内把该项目的勾去掉就可以了，重启电脑后,ie,又变得白白净净了。每个恶意网站用的修改文件可能采用不同名字的文件，但只要我们知道了它的运行机制，还原其实非常简单。,优点,局限性,防火墙,可简化网络管理，产品成熟,无法处理网络内部的攻击,IDS,实时监控网络安全状态,误报警，缓慢攻击，新的攻击模式,Scanner,简单可操作，帮助系统管理员和安全服务人员解决实际问题,并不能真正扫描漏洞,VPN,保护公网上的内部通信,可视为防火墙上的一个漏洞,防病毒,针对文件与邮件，产品成熟,功能单一,小结-网络安全工具的特点,电子邮件本身是无毒的，但它的内容中可以有,Unix,下的特殊的换码序列，就是通常所说的,ANSI,字符，当用,Unix,智能终端上网查看电子邮件时，有被侵入的可能,电子邮件可以夹带任何类型的文件作为附件（,Attachment,），附件文件可能带有计算机病毒,利用某些电子邮件收发器特有的扩充功能,利用某些操作系统所特有的功能,超大的电子邮件、电子邮件炸弹也可以认为是一种电子邮件计算机病毒,电子邮件病毒,网络病毒,/,蠕虫病毒,感染对象和传播途径,网络病毒主要通过计算机网络传播感染网络中的计算机。,使用的主要技术,通过网络利用电子邮件、系统漏洞、共享、弱口令等各种途径传播。,网络病毒,/,蠕虫病毒,破坏行为,占用系统资源,导致系统不稳定,影响系统安全性,保护方法,不执行电子邮件附件程序,及时更新系统补丁,使用防病毒软件,著名的此类病毒,HAPPY99,梅丽莎病毒,尼姆达病毒,冲击波杀手,蠕虫（,WORM,）病毒,是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等,蠕虫病毒,蠕虫病毒新的特性,传染方式多,传播速度快,清除难度大,破坏性强,蠕虫病毒与一般病毒的异同,普通病毒,蠕虫病毒,存在形式,寄存文件,独立程序,传染机制,宿主程序运行,主动攻击,传染目标,本地文件,网络计算机,蠕虫的破坏和发展趋势,病毒名称,持续时间,造成损失,莫里斯蠕虫,1988,年,6000,多台计算机停机,直接经济损失达,9600,万美元,!,美丽杀手,1999,年,3,月,政府部门和一些大公司紧急关闭了网络服务器,经济损失超过,12,亿美元,!,爱虫病毒,2000,年,5,月至今,众多用户电脑被感染，损失超过,100,亿美元以上,红色代码,2001,年,7,月,网络瘫痪，直接经济损失超过,26,亿美元,求职信,2001,年,12,月至今,大量病毒邮件堵塞服务器，损失达数百亿美元,Sql,蠕虫王,2003,年,1,月,网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过,26,亿美元,利用操作系统和应用程序的漏洞主动进行攻击,此类病毒主要是“,红色代码,”和“尼姆达”,以及至今依然肆虐的”求职信”等,传播方式多样,如“尼姆达”病毒和”,求职信,”病毒，可利用的传播途径包括文件、电子邮件、,Web,服务器、网络共享等等,病毒制作技术新,与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索,与黑客技术相结合,潜在的威胁和损失更大,以红色代码为例,感染后的机器的,web,目录的,scripts,下将生成一个,root.exe,可以远程执行任何命令,从而使黑客能够再次进入,蠕虫发作的一些特点和发展趋势,蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,软件上的缺陷,如远程溢出，微软,ie,和,outlook,的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件,人为的缺陷,主要是指的是计算机用户的疏忽,蠕虫病毒,MYDOOM,的,工作原理,W32.Novarg.Amm Symantec,，受影响系统,:Win9x/NT/2K/XP/2003,1,、创建如下文件：,%System%shimgapi.dll,%temp%Message,，这个文件由随机字母通组成。,%System%taskmon.exe,如果此文件存在，则用病毒文件覆盖。,2,、,Shimgapi.dll,的功能是在被感染的系统内创建代理服务器，并开启,3127,到,3198,范围内的,TCP,端口进行监听；,3,、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。,4,、对,实施拒绝服务（,DoS),攻击,创建,64,个线程发送,GET,请求，这个,DoS,攻击将从,2004,年,2,月,1,延续到,2004,年,2,月,12,日；,5,、在如下后缀的问中搜索电子邮件地址，但忽略以,.edu,结尾的邮件地址：,.htm.sht.php.asp.dbx .tbb.adb.pl.wab.txt,等；,6,、使用病毒自身的,SMTP,引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；,7,、邮件内容如下：,From:,可能是一个欺骗性的地址；主题,:hi/hello,等。,攻击的是微软数据库系,Microsoft SQL Server 2000,的,利用了,MSSQL2000,服务远程堆栈缓冲区溢出漏洞,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施,但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想,sql,蠕虫,红色代码,(Code red),病毒,病毒利用,IIS,的,.,ida,漏洞进入系统并获得,SYSTEM,权限,该蠕虫感染运行,Microsoft Index Server 2.0,的系统，或是在,Windows 2000,、,IIS,中启用了,Indexing Service(,索引服务,),的系统，该蠕虫利用了一个缓冲区溢出漏洞进行传播（未加限制的,Index Server ISAPI Extension,缓冲区使,WEB,服务器变的不安全）,(,微软在,2001,年,6,月份已发布修复程序,MS01-033),病毒产生,100,个新的线程,99,个线程用于感染其它的服务器,第,100,个线程用于检查本机,并修改当前首页,在,7/20/01,时所有被感染的机器回参与对白宫网站,www.,whitehouse,.,gov,的自动攻击,.,蠕虫只存在于内存中，并不向硬盘中拷文件,求职信病毒,该程序具有罕见的双程序结构,分为蠕虫部分（网络传播）和病毒部分（感染文件，破坏文件）,两者在代码上是独立的两部分，可能也是分开编写的,两者的结合方式非常有趣，作者先是写好蠕虫部分，然后将病毒部分的二进制码在特定位置加进蠕虫部分，得到最终的病毒,/,蠕虫程序,尼姆达病毒,Nimda,病毒,该病毒影响运行,Windows95,98,ME,NT,和,2000,的客户端和服务器,通过,Email,传播,通过网络共享,传播,通过浏览器,传播,通过主动扫描未打补丁的,IIS,服务器进行传播,携带该病毒的邮件的包含两部分,Nimada,的工作原理,4,种不同的传播方式,IE,浏览器,:,利用,IE,的一个安全漏洞,(,微软在,2001,年,3,月份已发布修复程序,MS01-020),IIS,服务器,:,和红色代码病毒相同,或直接利用它留下的木马程序,.,(,微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案,),电子邮件附件,:,(,已被使用过无数次的攻击方式,),文件共享,:,针对所有未做安全限制的共享,蠕虫病毒,对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件,(Email),以及恶意网页等等,对于利用,email,传播得蠕虫病毒来说，通常利用的是社会工程学,(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播,恶意网页,确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作,对个人用户产生直接威胁的蠕虫病毒,计算机病毒的表现现象分为三大类,计算机病毒发作前的表现现象,计算机病毒发作时的表现现象,计算机病毒发作后的表现现象,计算机病毒的表现现象,平时运行正常的计算机突然经常性无缘无故地死机,操作系统无法正常启动,运行速度明显变慢,以前能正常运行的软件经常发生内存不足的错误,打印和通讯发生异常,无意中要求对软盘进行写操作,以前能正常运行的应用程序经常发生死机或者非法错误,系统文件的时间、日期、大小发生变化,运行,Word,，打开,Word,文档后，该文件另存时只能以模板方式保存,磁盘空间迅速减少,网络驱动器卷或共享目录无法调用,基本内存发生变化,陌生人发来的电子邮件,自动链接到一些陌生的网站,计算机病毒发作前的表现现象,计算机病毒发作时的表现现象,提示一些不相干的话,发出一段的音乐,产生特定的图象,硬盘灯不断闪烁,进行游戏算法,Windows,桌面图标发生变化,计算机突然死机或重启,自动发送电子邮件,鼠标自己在动,计算机病毒发作后的表现现象,部分文档自动加密码,修改,Autoexec.bat,文件，,增加,Format C,：,使部分可软件升级主板的,BIOS,程序混乱，,主板被破坏,网络瘫痪，无法提供正常的服务,硬盘无法启动，数据丢失,系统文件丢失或被破坏,文件目录发生混乱,部分文档丢失或被破坏,常见的病毒防治技术,病毒码扫描法,加总比对法(,Check-sum),人工智能陷阱(,Rule-based),软件仿真扫描法,VICE(Virus Instruction Code Emulation),先知扫描法,实时的,I/O,扫描(,Realtime I/O Scan),宏病毒陷阱(,MacroTrapTM),空中抓毒(,On the flyTM),是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如,DEBUG,的,D,命令输出格式）进行比较，或用程序来进行比较（如,DOS,的,DISKCOMP,、,FC,或,PCTOOLS,等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规,DOS,软件和,PCTOOLS,等工具软件就可以进行,比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称,比较法,根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒,这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到,加总比对法,搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描,搜索法,分析的步骤分为静态分析和动态分析两种,静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令后程序清单后进行分析,动态分析则是指利用,DEBUG,等调试工具在内存带毒的情况下，对计算机病毒做动态跟踪，观察计算机病毒的具体工作过程，以进一步在静态分析的基础上理解计算机病毒工作的原理,分析法,人工智能陷阱技术和宏病毒陷阱技术,人工智能陷阱是一种监测计算机行为的常驻式扫描技术,人工智能陷阱技术和宏病毒陷阱技术,软件仿真扫描法,该技术专门用来对付多态变形计算机病毒（,Polymorphic,/,MutationVirus,）,先知扫描法,先知扫描技术（,VICE,，,Virus Instruction Code Emulation,）是继软件仿真后的一大技术上突破。既然软件仿真可以建立一个保护模式下的,DOS,虚拟机，仿真,CPU,动作并伪执行程序以解开多态变形计算机病毒，那么应用类似的技术也可以用来分析一般程序，检查可疑的计算机病毒代码,扫描法,计算机病毒防护体系的建设,计算机病毒防御体系,计算机病毒预防机制,计算机病毒快速响应机制,计算机病毒防御技术体系,a,制定计划：了解在你所管理的网络上存放的是什么类型的数据和信息。,b,调查：选择一种能满足你的要求并且具备尽量多的前面所提到的各种功能的防病毒软件。,c,测试：在小范围内安装和测试所选择的防病毒软件，确保其工作正常并且与现有的网络系统和应用软件相兼容。,d,维护：管理和更新系统确保其能发挥预计的功能，并且可以利用现有的设备和人员进行管理；下载病毒特征码数据库更新文件，在测试范围内进行升级，彻底理解这种防病毒系统的重要方面。,e,系统安装：在测试得到满意结果后，就可以将此种防病毒软件安装在整个网络范围内。,防病毒软件的布署和管理,