电脑病毒分析一.ppt

电脑兴趣小组研讨课题专题一计算机病毒的初识 主讲老师:黄荣悦 什么是计算机病毒 ? 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 各类计算机病毒的命名规则 一般格式为： . . 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，前些年出现的振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是 指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强），可以采用数字与字母混合表示变种标识。 常见的病毒前缀（针对我们用得最多的Windows操作系统） : 1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波、震荡波（阻塞网络），熊猫烧香（破坏性极强）小邮差（发带毒邮件）等。 3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。如QQ木马病毒如QQ消息尾巴木马Trojan.QQ3344，网络游戏的木马病毒如Trojan.LMir.PSW.60。一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 4、后门病毒 后门病毒的前缀是：Backdoor.该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如Backdoor.IRCBot。 5、HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。 CIH病毒简介 : 4月26日,是CIH病毒的发作日,CIH病毒是历史上第一个可以破坏电脑硬件的病毒，中毒电脑的主板和硬盘被破坏，致使电脑无法启动，硬盘上的数据丢失。 “CIH（Win.CIH）”病毒：文件病毒，通过感染文件传播，依赖系统：Win95/Win98/WinME。 该病毒运行后感染所有的Windows可执行文件。它会在每年4月26日发作，发作时病毒将企图用一些随机数据覆盖系统硬盘，并且使数据恢复相当困难;它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。一旦它重新格式化硬盘后，将显示一个文本消息框。 熊猫烧香病毒简介: 熊猫烧香 ，金山称为，武汉男生 worm.whBoy. worm.nimaya.瑞星称为,尼姆亚。蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。 影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W Worm.Nimaya.w ，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。 用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能---感染系统中exe，com，pif，src，html，asp等文件，它还能----中止大量的反病毒软件进程并且能-----删除扩展名为gho的文件，使用户的系统备份文件丢失。 冲击波病毒介绍 : 病毒类型：（Worm.Blaster）蠕虫病毒,依赖WINDOWS 2000/XP系统，未受影响的系统：98/win ME/win NT 4.0 。 病毒介绍：病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或