计算机病毒原理及防范解决技术课件.ppt

1、网络安全防病毒知识培训1.病毒的定义病毒的定义 1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计影响计算机使用，并能自我复制的一组计算机指令或者程序代码。算机指令或者程序代码。”一、计算机病毒知识2.计算机病毒传播计算机病毒传播3个必要条件个必要条件与医学上的“病毒”一样，计算机病毒传播也有3个必要条件： 传染源（带毒的计算机、文件、邮件、网页等） 传

2、播途径： 介质（软盘、光盘）和网络（电子邮件、网络文件拷贝或下载、访问网页、系统漏洞） 易感对象（所有的计算机都时感染对象，这里指易感对象。如完全共享文件夹、简单密码、有漏洞的系统） 切断上面切断上面3个必要条件中的任何一个都可防止病毒的传播，个必要条件中的任何一个都可防止病毒的传播，我们防范病毒就是从这我们防范病毒就是从这3方面入手方面入手一、计算机病毒知识一、计算机病毒知识3.计算机病毒有哪些特征 可执行性 传染性与传播性 破坏性 欺骗性 隐蔽性和潜伏性 可触发性一、计算机病毒知识一、计算机病毒知识4.病毒的发展趋势 依赖网络进行传播 攻击方式多样（邮件，网页，局域网等） 利用系统漏洞成为

3、病毒有力的传播方式 病毒与黑客技术相融合 传染方式多 传播速度快 清除难度大 破坏性强一、计算机病毒知识一、计算机病毒知识5.网络病毒传播方式图示一、计算机病毒知识一、计算机病毒知识6.企业防病毒误区 重“杀”不重“防” 只反“毒”不防“黑” 杀毒软件不升级 认为不用软盘、光驱,没有共享文件夹，密码很复杂，就就不会感染病毒，因而无需选择杀毒软件 忽视对Unix和Linux系统的病毒防范一、计算机病毒知识一、计算机病毒知识7.企业局域网如何有效地防止网络病毒 对局域网用户进行安全防病毒知识培训，提供防范意识。对局域网用户进行安全防病毒知识培训，提供防范意识。 建立局域网内部的升级系统，包括各种操

4、作系统的补丁建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级的升级 及时给系统打补丁及时给系统打补丁 去掉服务器中不必要的共享和服务去掉服务器中不必要的共享和服务 安装优秀的网络版杀毒软件安装优秀的网络版杀毒软件 在因特网接入口处安装防火墙式防杀计算机病毒产品，在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。将病毒隔离在局域网之外。 对邮件服务器进行监控，防止带毒邮件进行传播！对邮件服务器进行监控，防止带毒邮件进行传播！一、计算机病毒知识一、计算机病毒知识二、计算机病毒

5、处理技术二、计算机病毒处理技术1.查看系统中所有共享文件夹查看系统中所有共享文件夹net share 二、计算机病毒处理技术二、计算机病毒处理技术2.查看系统当前建立的所有连接查看系统当前建立的所有连接netstat n 二、计算机病毒处理技术二、计算机病毒处理技术3.手工清除病毒的步骤a.找到主要病毒文件找到主要病毒文件b.从注册表相关启动项中与病毒相关注册表项并删除从注册表相关启动项中与病毒相关注册表项并删除c.重新启动计算机重新启动计算机d.删除病毒文件删除病毒文件e.找到感染病毒的原因，杜绝再次感染找到感染病毒的原因，杜绝再次感染二、计算机病毒处理技术二、计算机病毒处理技术4.如何查找

6、病毒启动项和病毒文件一、启动项在哪？一、启动项在哪？ Win2k HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceServices HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices AUTOEXEC.BAT文件中文件中S

7、YSTEM.INI中中BOOT启动项目启动项目添加程序添加程序启动的快捷方式启动的快捷方式二、病毒文件在哪？二、病毒文件在哪？ 1病毒文件寄生在病毒文件寄生在Windows的安装目录下的安装目录下 %windir% 2病毒文件寄生在病毒文件寄生在Windows的系统目录下的系统目录下%windir%system或者或者%windir%system32 3病毒文件一般是一下类型的可执行文件病毒文件一般是一下类型的可执行文件:*.exe、*.dll、*.bat等等 4根据杀毒软件报警提示的病毒文件名称进行查找根据杀毒软件报警提示的病毒文件名称进行查找二、计算机病毒处理技术二、计算机病毒处理技术5.

8、可能感染病毒的现象你的机器近期启动是不是非常慢？你的机器近期启动是不是非常慢？你的应用程序是不是经常报告有故障，并自动关闭？你的应用程序是不是经常报告有故障，并自动关闭？你的机器访问网络是不是非常慢？你的机器访问网络是不是非常慢？你的机器部分功能是不是无故丧失？你的机器部分功能是不是无故丧失？你的机器是不是经常出现蓝屏？你的机器是不是经常出现蓝屏？你的机器是不是出现很多不知道干什么用的服务？你的机器是不是出现很多不知道干什么用的服务？你的机器用户账号都是你分配的吗？有没有你不知道干什么用的账号？你的机器用户账号都是你分配的吗？有没有你不知道干什么用的账号？你的机器在访问某些系统时是不是经常提示

9、你输入某些个人信息？你的机器在访问某些系统时是不是经常提示你输入某些个人信息？今天我的硬盘空间无故缺少了很多？今天我的硬盘空间无故缺少了很多？二、计算机病毒处理技术二、计算机病毒处理技术6.感染病毒的过程举例 场景一场景一:有一天，我接到一封邮件，邮件标题非常诱人，正是我想要的内容，我有一天，我接到一封邮件，邮件标题非常诱人，正是我想要的内容，我 欣喜万分，打开邮件，只是黑屏闪了一下，就没了。从此我的机器就开欣喜万分，打开邮件，只是黑屏闪了一下，就没了。从此我的机器就开 始与我闹别扭，不是这有问题，就是那有问题。我的噩梦开始了。始与我闹别扭，不是这有问题，就是那有问题。我的噩梦开始了。 场景二

10、场景二:小李是个游戏迷，有一天他到市场上买了张盗版的游戏牒片，赶紧安装到小李是个游戏迷，有一天他到市场上买了张盗版的游戏牒片，赶紧安装到 机器，准备痛快的玩一下机器，准备痛快的玩一下 ，安装后，要求重新启动机器，谁知启动后系统，安装后，要求重新启动机器，谁知启动后系统 速度异常的慢，而且越来越慢，最后干脆死机。速度异常的慢，而且越来越慢，最后干脆死机。 场景三场景三:小王最新购以太小王最新购以太PC机机,厂家给他预装了厂家给他预装了win2K的系统。为了方便查阅的系统。为了方便查阅internet 的信息，申请了能够上的信息，申请了能够上internet。小王在浏览网页时打开了对。小王在浏览网

11、页时打开了对ActiveX,java组组 件访问的限制，将浏览器的安全设置配置为最低安全，并且没有安病毒防火件访问的限制，将浏览器的安全设置配置为最低安全，并且没有安病毒防火 墙。过了没有几天，他的机器开始死机，并且经常提示内存不足。应用软件墙。过了没有几天，他的机器开始死机，并且经常提示内存不足。应用软件 无缘无故关闭。无缘无故关闭。 场景四场景四:小张喜欢小张喜欢Qicq网上聊天。有一天登陆，提示输入网上聊天。有一天登陆，提示输入Qicq号及其他一些信息。号及其他一些信息。 录入完毕后开始聊天。但自从那天后，他的机器开始无缘无故出现故障。录入完毕后开始聊天。但自从那天后，他的机器开始无缘无

12、故出现故障。 场景五场景五:小张出差了好今天，回来后打开电脑，准备看一下公司有什么新的动态，小张出差了好今天，回来后打开电脑，准备看一下公司有什么新的动态， 联上网络后，开始很顺利的登陆了公司的系统。过了不一会，系统提示联上网络后，开始很顺利的登陆了公司的系统。过了不一会，系统提示 需要重新启动机器。而且反复重新启动。需要重新启动机器。而且反复重新启动。二、计算机病毒处理技术二、计算机病毒处理技术7.病毒剖析(墨菲病毒)(一一)、病毒类型：蠕虫病毒、病毒类型：蠕虫病毒(二二)、技术特征、技术特征 该病毒采用穷举密码的方法破解远端系统的密码，并以此进行传播。在受感染计算机上该病毒采用穷举密码的方

13、法破解远端系统的密码，并以此进行传播。在受感染计算机上 留下一个后门。病毒使用留下一个后门。病毒使用UPX进行压缩。进行压缩。(三三)、技术细节、技术细节 1、病毒激活后会在系统目录下生成以下文件、病毒激活后会在系统目录下生成以下文件:scardsvr32.exe, scardsvr32.dll,MoFei.DAT MoFei.MIS,MoFei.VER, MoFei.ID ; 2、病毒使用的程序和动态链接库都采用了、病毒使用的程序和动态链接库都采用了UPX进行压缩；进行压缩； 3、病毒会在注册表里添加启动项、病毒会在注册表里添加启动项 Win2000/Winxp HKEY_LOCAL_MAC

14、HINESYSTEMCurrentControlSetServices SCardDrvImagePath = %SystemRoot%system32ScardSvr.exe win9x HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices SCardSvr = %Windows%System32SCardSvr.Exe; 4、病毒自带扫描工具，搜索、病毒自带扫描工具，搜索tcp/135、tcp/139、tcp/445端口端口; 5、病毒自带攻击密码库、病毒自带攻击密码库; 6、病毒自带远程控制命令、病毒自带

15、远程控制命令; 7、病毒自动安装后门、病毒自动安装后门; 8、病毒具有升级能力、病毒具有升级能力; 9、病毒利用系统默认共享、病毒利用系统默认共享admin$进行攻击进行攻击;二、计算机病毒处理技术二、计算机病毒处理技术8.病毒剖析(墨菲病毒)( 四四)、病毒分析、病毒分析: 该病毒几乎具有了病毒所有特征该病毒几乎具有了病毒所有特征,并且具备了黑客攻击行为。病毒首先扫描网络上并且具备了黑客攻击行为。病毒首先扫描网络上 的主机的主机(随机生成随机生成,类似类似Dos攻击攻击),会对网络出口造成大量会对网络出口造成大量sync连接连接,杜塞网络的正常连接杜塞网络的正常连接. 病毒一但确认主机存在，

16、利用系统默认共享病毒一但确认主机存在，利用系统默认共享admin$,利用自带的密码特征库，暴力破解利用自带的密码特征库，暴力破解 ，一旦破解成功，病毒将病毒文件复制到对方的系统目录下，并采用远程执行工具启动，一旦破解成功，病毒将病毒文件复制到对方的系统目录下，并采用远程执行工具启动 病毒文件，注册启动项、注册账号、开启系统后门，完成感染。病毒文件，注册启动项、注册账号、开启系统后门，完成感染。 该病毒利用了系统共享、以及弱口令等漏洞进行传染。该病毒利用了系统共享、以及弱口令等漏洞进行传染。 类似的网络蠕虫病毒传播有大致的传染过程，都是首先发现漏洞，利用漏洞类似的网络蠕虫病毒传播有大致的传染过程

17、，都是首先发现漏洞，利用漏洞 种植病毒，运行病毒程序，然后感染其他机器。种植病毒，运行病毒程序，然后感染其他机器。二、计算机病毒处理技术二、计算机病毒处理技术9.在系统安装维护时的注意事项a.因为现在网络上还存在冲击波病毒，在新安装系统时最好不要联网，待安装完成并打了ms03-026补丁后再联入网络。b.打补丁只能预防病毒，不能杀死病毒，如计算机已感染病毒，应用杀毒软件彻底杀干净。c. 特别注意服务器要打最新的安全补丁。因为服务器如果感染病毒后的破坏力大大超过普通微机。d. 关闭或删除服务器中不需要的服务。默认情况下，w2k server 会安装一些辅助服务，如 IIS 服务等。这些服务为攻击者或病毒传播提供了方便，在安装完系统后一定要检查一下这些服务，如不用一定要删除这些服务。 二、计算机病毒处理技术二、计算机病毒处理技术10.近期比较活跃的病毒介绍病毒名病毒名中文中文英文英文赛文赛文SwenSwen巨无霸巨无霸SobigSobig冲击波及其变种冲击波及其变种BlastBlast冲击波杀手冲击波杀手KillBlastKillBlast劳拉劳拉XoralaXorala恶邮差恶邮差SupnotSupnot费滋费滋FizzerFizzer姆玛姆玛mumamuma妖怪妖怪TanatosTanatos墨菲墨菲MofeirMofeir爱情后门爱情后门lovgatelovgate