典型病毒分析2.ppt

手动清除方法： 1、在进程列表中查找“msnus.exe” “winhost.exe”进程并将其结束。 2、清除病毒后门程序，删除掉操作系统目录下的msnus.exe、winhost.exe（或者是winis.exe、dnsserv.exe）文件。winhost.exe一般为隐藏文件 3、清理注册表。点击“开始”菜单，选择“运行”选项，输入regedit打开注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除win32键值。 4、删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，找到win32一项 7、删除C盘根目录下“C:\sexy.jpg”文件。 8、重新启动计算机 MSN骗子（Worm.MSN.funny） 传播速度极快的蠕虫病毒，它可以通过QQ和MSN传播，向线上好友发送“FUNNY.EXE”文件，用户点击后就会中毒。 病毒的破坏 在Windows 2000/XP系统下，病毒会修改系统文件HOSTS，屏蔽937个网站，使用户登陆这些网站时会转向www.**78，造成用户无法正常上网浏览。 在Windows 98系统下，病毒会替换系统文件Rundll32.exe，可能造成系统不能关机，进而崩溃。 利用MSN、QQ疯狂发送广告信息，诱骗用户登陆www.**78网站。 向MSN、QQ好友发送“FUNNY.EXE”文件，传播自身。 技术分析 该病毒使用Visual Basic语言编写，用ASPack2.12加过壳。 运行后，病毒会把自己复制到WINDOWS目录下，病毒文件名为“Rundll32.exe”，再将自己拷贝几份到系统目录下，文件名分别为IEXPLORER.EXE，explorer.exe。 修改注册表实现随机自启动。 病毒运行之后，几个进程会同时运行，形成双进程保护，在任务管理器里很难结束。 向QQ、MSN好友发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.**78,记得给我电话”，“朋友，多注意休息啊，可以到这里放松放松”等等。 向MSN、QQ好友发送名为FUNNY.EXE的文件，这就是病毒。 如果用户使用WIN 2000/XP系统，病毒会修改HOSTS文件，屏蔽937个主流网站，使用户登陆这些网站时会自动转向http://www.**78。 如果用户使用WIN 98系统，病毒会覆盖系统文件Rundll32.exe，可能导致系统异常。如果正在运行则不能正常关机，如果重启的话不能进入桌面，所有操作都不能进行。 防范即时通讯病毒防范建议 尽量不要在公共场合使用IM软件，例如，不正规的网吧等场所。一些管理不规范的网吧防护措施不严密，临时软件不能定时清理，留有很多安全隐患，用户上网时的一些个人信息、密码等很容易泄露。 随时注意微软公司官方的安全公告，及时下载更新系统漏洞补丁。 养成良好的上网习惯，时刻提高警惕，不要轻易打开受到的陌生文件。 制定适合公司环境的内部信息交换规范，严格管理并实时监测内部员工IM软件的使用情况。 关闭或删除系统中不需要的服务。如FTP客户端、Telnet及Web服务等。 建议使用6位以上的复杂密码。前几节讲到的“MSN烤鸡”病毒可以迅速破解系统弱口令，如123，ABC等。 当用户的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其他计算机。 使用最新版本的主流信息安全产品，提高系统安全级别。 第九章 “网络钓鱼”概述 网络钓鱼背景介绍 网络钓鱼（Phishing）根本上来讲是一种欺诈行为，或者说是利用互联网实施的网络诈骗。“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的个人数据，如信用卡号、账户、密码、社保编号等内容。 “网络钓鱼”名称的由来 网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。 网络钓鱼的手段和危害 1、利用电子邮件“钓鱼”。 ⑴.在邮件发送者及邮件主题上做文章 。 为了引起人们的注意，诈骗者往往以网络管理员的名义，以“服务器更新”、“系统升级”等敏感标题为邮件主题，引起别人的注意。 ⑵.为用户量身定制欺诈信息。 利用从数个不同网站收集的信息，深入了解潜在受害人的详细背景，从而针对特定的收件人量身制作欺诈电邮，让网络使用者更难分辨这些信件的真假。 “钓鱼”原理 其它网站 2、利用木马程序“钓鱼”。 文件捆绑 后台运行 记录用户操作或截屏