第4章计算机病毒概论.ppt

* * 僵尸网络的检测和防御 检测和分析僵尸网络主要采用以下方法 : 利用蜜罐( Honeypot)发现 网络流量研究 IRC Server 识别技术的研究 * * 流氓软件 流氓软件是介于病毒和正规软件之间的软件。“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害。 其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向社会公众公开发布的软件，并且一般是免费的，不属于正规的商业软件；同时也具有恶意软件的种种特征，给用户带来一定危害。 * * 流氓软件 流氓软件具有以下特征 强制安装。流氓软件一般通过与其它常用软件捆绑在一起，强行安装到用户计算机中。 难以删除，或者无法彻底删除。未提供通用的卸载方式，或卸载后仍然有活动程序的行为 广告弹出。在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上弹出广告的行为。 恶意收集用户信息。指未明确提示用户或未经用户许可，恶意收集用户信息的行为。 其它侵犯用户知情权、选择权的恶意行为。 scr格式文件是屏幕保护程序文件，你将它放在系统盘的windows\system32文件夹下，这样在你桌面属性的屏幕保护程序列表中就会出现了， * 　1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 　　2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 　　3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 　　4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 　　5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 　　6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 　　7．发送信息：以四种常用图标向被控端发送简短信息； 　　8．点对点通讯：以聊天室形式同被控端进行在线交谈。 * 欺骗别人给出口令或其它敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接主机系统和用户量飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。网络钓鱼目的主要有以下三个：1、通过欺骗的手段牟取一定的经济利益，给用户造成经济损失，这是绝大部分网络钓鱼的目的；2、窃取密码和电子邮件地址，进而进行其它犯罪；3、传播恶意软件，通过钓鱼网站下载恶意软件进而控制被攻击者。网络钓鱼的直接后果就是造成网络的诚信危机，如果网络钓鱼泛滥蔓延，用户对电子商务的信任感就会严重降低。 * 2007年出现了假冒中国银行、农业银行、工商银行的网站，这些钓鱼网站的共同特点是网址及页面均与真网站相似。如假冒中国银行的域名是，与中国银行网站多一个英文字母f；假冒中国工商银行域名是，与中国工商银行网站，也只是“1”和“i”一字之差；而假冒中国农业银行域名是，与中国农业银行网站也极为相近。 * 假冒知名网站虽然访问率比较高，但是很容易被发现并被查封，风险比较大。因此攻击者经常假冒那些知名度不是很高用户的网站，或者攻击者直接制作一些欺骗性的网站，引诱受骗者发送用户名、密码、身份证号、信用卡号等信息，但是这时网站的访问率可能不是很高，不能达到欺骗的目的。这时攻击者会冒充知名权威机构发送大量的垃圾邮件。发送内容为引诱性事件 (如色情、中奖等)等，欺骗用户访问。邮件中潜入一些指向真实的目标网站的链接，并把自己制作的假冒网站链接在这些真实的网站中，使得用户以为邮件内容连接都是真实的目标网站。当用户点击这些邮件的链接时，就提高了假冒网站的访问率，从而达到欺骗的目的。 * 如一个借助国内奥运会门票预定来进行钓鱼的网站，该网站利用人们对于奥运的热衷和期待来进行非法诈骗，如图5-14所示。 钓鱼者制作了一个冒充奥运会官方票务网站的假网站/，通过冒充奥组委的名义广泛发布奥运会门票兜售信息，以骗取钱款。该网站页面中还有人文奥运的图标和福娃的标志。进入奥运首页一栏后，在北京2008年奥运会票务信息中称，这是第29届奥林匹克运动会的官方票务网站。而按照上面的订票服务热线电话打过去，对方自称该网站出售的是正规的奥运会门票，只要把钱汇入指定的账户就可以拿到门票了。 利用人们求票心切心理来骗取钱财，该网站运行数天后被有关部门查封。