TCSE04病毒问题处理方法.pptVIP

* * * * * * * * * * * * * * * * * 至截稿时，已经发现32只WORM_DOWNAD家族的变种。 至2009年4月1日，WORM_DOWNAD.A、WORM_DOWNAD.AD、WORM_DOWNAD.KK三只变种是最受关注的。每只后来出现的变种与前一只变种都具有相同的行为，但每只后来出现的变种都得到了改进，以使自身更加难以检测和清除。 这个幻灯片总结了DOWNAD/Conficker的特性。 这只蠕虫利用了一个已知的微软操作系统的名为“Server”服务的漏洞(MS08-067)，该漏洞可以允许执行远程代码。关于这个漏洞的更多细节，可以参考如下链接： /technet/security/Bulletin/MS08-067.mspx 该蠕虫会使用弱口令攻击域内的其他系统，一旦攻击成功，该蠕虫会在admin$\System32目录下释放一个自身拷贝，同时在系统中创建计划任务，用于激活自身拷贝。 该蠕虫会在移动硬盘和网络硬盘上释放自身拷贝和AUTORUN.INF，这两个文件可以借助系统的自动播放功能激活运行。 受影响的系统包括：Windows 2000, XP, Server 2003, Vista 32-bit, Vista 64-bit。 病毒百科链接： WORM_DOWNAD.A: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAVSect=T WORM_DOWNAD.AD: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EADVSect=T WORM_DOWNAD.KK: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EKKVSect=T WORM_DOWNAD.E: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EEVSect=T ? * 这页幻灯片显示受DOWNAD感染的系统会对网络产生很大的负面影响。这个图用于展现一个网络的流量大小。图中的数据来自从网络中抓取的数据包中的IP地址（包括源地址和目的地址）。图中的四条垂线分别表示IP地址的4个段（1个IP地址分为4个段，例如），根据IP地址4个段的数字，在垂线上找到对应的点，然后用直线从左到右分别连接四条垂线上的4个点，连成的4条直线就表示1个IP地址。图中连接的直线越多，表示在网络中传输数据包的IP地址越多，也就表示网络中流量越大。 * 被DOWNAD变种禁用的系统服务包括: Background Intelligent Transfer Service (BITS)Windows Error Reporting ServiceWindows Security Center ServiceWindows Automatic Update Service * Intrusion Defense Firewall（IDF，入侵检测防火墙）是一个OfficeScan的插件，安装了该插件即可使用IDF。 对于没有使用IDF的用户，需要执行本页幻灯片中的步骤实现保护。 管理员可以使用Vulnerability Assessment Pattern 94扫描网络中存在MS08-067漏洞的机器。 ? * * 可以应用口令策略来阻止来自网络的弱口令攻击： -定期刷新组策略，请参考如下网页： /kb/203607/EN-US/ -?立即刷新组策略，请参考如下网页： /kb/227302? * * * * 常用工具介绍-InstallRite InstallRite功能: 跟踪文件系统的变化 跟踪注册表的变换 注:若恶意程序带有RootKit功能, 请重启后进入安全模式再分析系统变化(如灰鸽子某些变种) 局限性: 解决方法 无法跟踪进程树的变化 … Process Explorer 无法跟踪网络连接和端口情况 … TCP Viewer 中小企业包软件包 网络安全扫描 网络安全防御 实现网络安全组件 网络安全扫描 病毒全天候查杀 自定义扫描 专业病毒处理 网络安全防御 抵御突如其来的病毒 未雨绸缪，防重于守 实现网络安全工具 实现全面安全防护 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 Wrom_Downad 传播手段 网络共享(MS08-067) 漏洞 移动存储 P2P传播（较