病毒防范及处理方法解析.pptVIP

病毒防范及处理方法解析 沈 赟 2009.1 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 互联网威胁 病毒——通过各种方式复制感染其它文件 蠕虫——自动传播自身的副本到其它计算机 木马——在主机上未经授权自动执行 后门——在主机上开放端口允许远程计算机访问 间谍软件——检测用户的使用习惯和个人信息，在未经用户认知和许可下发送给第三方 以上统称：恶意代码 威胁分类 趋势科技对恶意程序的定义 病毒流行趋势 病毒传播或感染途径 电子邮件：WORM_MYTOB，WORM_STRATION 网络共享：WORM_SDBOT P2P 共享：WORM_PEERCOPY.A 系统漏洞：WORM_MYTOB 、WORM_SDBOT 其它（目前大多数木马、间谍软件的感染方式） 移动磁盘传播 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 病毒感染的一般过程 通过某种途径传播，进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能 打开后门等待连接 发起DDOS攻击 进行键盘记录 ... 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。 病毒自启动方式 修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件 自动加载 服务和进程－病毒程序直接运行 嵌入系统正常进程－DLL文件和OCX文件等 驱动－SYS文件 常见的病毒行为 自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程 ... 病毒的隐性行为（一） 下载特性 自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控 信息收集特性 收集私人信息，特别是帐号密码等信息，自动发送 自身隐藏特性 使用Rootkit技术隐藏自身的文件和进程 病毒的隐性行为（二） 文件感染特性 感染系统中部分/所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。 典型 PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 趋势产品杀毒机制（一） 扫毒模块 扫描并检测含有恶意代码的文件，对其进行识别 对于被文件型病毒感染的可执行文件进行修复 组件 扫描引擎-VSAPI TMFilter 病毒码-LPT$VPN.xxx 间谍软件病毒码-TMAPTN.xxx 网络病毒码-TMFxxxxx.PTN 趋势产品杀毒机制（二） 杀毒模块 损害清除服务(DCS) 对于正在运行/已经加载的病毒进行清除 终止进程 脱钩DLL文件 删除文件 恢复被病毒修改过的注册表内容，起到修复系统的作用 可视为趋势通用专杀工具 组件 损害清除引擎(DCE)-TSC.EXE 损害清除模板(DCT)-TSC.PTN 间谍软件清除病毒码-TMADCE.PTN 中国区病毒码（China Pattern） 本地化，主动性 通过“主动”收集中国地区大量病毒样本(Sourcing)，快速分析，由China Regional Trend Labs发布针对中国地区的病毒码。 包含全球病毒码特性 中国区病毒码完全包含全球病毒码，并极大增加了对本地病毒的查杀数目和能力。 是根据中国病毒的特点，发布的病毒码版本。 技术领先特性，增强查杀率 中国区病毒码整合了多项智能扫描病毒技术，Intellitrap技术，最新杀病毒DCE5技术等多项查杀毒功能，大大增强了病毒查杀率。 为什么会出现无法清除的病毒？ 有病毒本身的特性决定 为什么会出现无法隔离/删除的病毒？ 当病毒感染系统后 病毒进程已经被系统加载 病毒DLL文件已经嵌入到正在运行的系统进程中 Windows自身的特性：对于已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测到的文件无法操作。 已经加载的病毒不包含在损害清除模板(DCT)中 病毒问题处理的标准流程 发现系统异常，怀疑有产品无法查到或处理的病毒 在征得用户同意的情况下，拔除网线 收集病毒日志 客户机端pccnt35.log 收集系统日志和样本 运行