病毒，间谍软件最新趋势-Microsoft.pptVIP

病毒，间谍软件最新趋势 提纲 趋势总结 业界新闻 安全漏洞 病毒 Rootkit 间谍软件 网络钓鱼 监测和防护 趋势总结 从以前大规模的，无特定目的的网络攻击转为小规模的，特定用户和目的的攻击 钱，钱，钱！ 窃取个人和公司银行账户 窃取信用卡号码 实施DDoS攻击 创建代理服务器 Zombie网络 散布广告软件 自动拨号 等等 最新统计数据 数据来源 Symantec 2006年3月发布的互联网安全报告 1896新的安全漏洞被发现，增幅40% 80%有害软件试图窃取用户机密信息 IE安全漏洞 24；Firefox安全漏洞 13 平均时间从安全漏洞发现到 补丁提供：49天 出现代码利用安全漏洞：6.8天 最容易被感染的系统：无补丁Win2K 业界新闻 无论你喜欢与否，微软发布了一系列产品或服务… 安全漏洞 最严重的安全漏洞 WMF安全漏洞 Office最新安全漏洞 MS06-048 Powerpoint MS06-039 Onenote, Project MS06-038 … 病毒 传播方式 利用操作系统的安全漏洞 社会工程？Social Engineering 分类 后门 -- Backdoor 木马 -- Trojan 蠕虫 -- Worm 文件感染器 -- File infector (virus) 系统安全漏洞 缓存溢出（ Buffer Overrun ） Code Red: IIS缓存溢出 Blaster: DCOM RPC缓存溢出 Zotob: PnP缓存溢出 典型攻击模式 社会工程 攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的 用户参与 典型攻击模式 邮件蠕虫 最流行的病毒 Sober 反病毒软件 文件扫描 基于特征代码（signature） 实时防护 反病毒驱动程序截获应用程序的文件调用 监控I/O操作，以便反病毒软件扫描文件 局限性 反病毒软件工作基于病毒样本的特征代码 对于小规模传播的病毒，可能没有特征代码 病毒爆发和反病毒软件公司提供特征代码之间有时间间隔 仅依靠反病毒软件保护系统安全是不完善的 间谍软件 间谍软件 未经用户允许，有以下行为的软件： 广告，收集用户个人信息，修改系统配置等等。 传播途径 通过弹出对话框或其它手段诱使用户 安装电子邮件邀请访问特定的网站 附加在其它软件中一起安装 感染间谍软件的症状 广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除 计算机性能下降 操作系统频繁崩溃 热门间谍软件 WebSearch 反间谍软件 和反病毒软件类似，主要是基于对文件的扫描。 扫描基于间谍软件特征代码的数据库 /athome/security/spyware/default.mspx 防护措施 安装反间谍软件 尽量从正式网站下载软件 注意IE中Internet secure zone的配置 Rootkit 历史 术语来自于Unix系统。最早的一个版本是出现在SunOS 4 用于修改操作系统，以改变操作系统的表现行为的工具软件 。而这种改变，往往不是操作系统设计时所期望的 隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程 服务 TCP/IP端口 文件 注册信息Registry 用户帐号 新的威胁 越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定 Win32 API 调用 类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改 检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具 Strider/Ghostbuster，MS Research RootkitRevealer，Sysinternals 删除Rootkit 官方提供的工具 重新安装系统 Rootkit实例 为什么Sony的用来保护CD版权的程序被反病毒公司检测为Rootkit? Phishing 复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。 实例1 实例2 Phishing的最新统计数据 数据来源 Symantec 2005年3月发布的互联网安全报告 Symantec Brightmail AntiSpam? 每周截获的phishing攻击从9百万次增长到3千3百万次 防护 /athome/security/email/phishing.mspx 对特定的邮件信息要当心 综合保护措施 第一重要：用户培训 第二重要：系统备份 综合保护措施（续） 防火墙 及时安装操作系统的补丁 尽量避免运行在系统管理员模式 反病毒软件，反间谍软