信息系统安全——qq病毒.ppt

QQ病毒与恶意程序介绍及其防护 什么是QQ病毒及恶意程序 QQ病毒是即时通讯(IM)类病毒的一种。即时通讯(IM)类病毒主要是指通过即时通讯软件（如MSN、QQ等）向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。 国内最大的反病毒厂商江民科技发布了即时通讯病毒最新排行榜，QQ及MSN病毒几乎包揽了排行榜“十强”。 QQ恶意程序是指用于干扰用户的正常使用的一种程序。比如篡改用户密码，盗取用户QQ等，与QQ病毒的差别不大。 几种常见的QQ病毒 QQ群共享中的火星文压缩包文件（蠕虫） QQ火星文压缩包文件实际上是一种蠕虫病毒。将文件名更改为火星文躲避了QQ群共享的关键词过滤。诱导QQ用户进行下载。这个火星文压缩包文件一旦运行后，会静默安装真人视频播放软件或者网络视频播放工具，并设置为开机自启动，占用大量网络带宽和系统资源，造成网友电脑卡和网页打不开等现象。 几种常见的QQ病毒 QQ尾巴病毒 用户由于通过IE访问了某些带有病毒的网站，病毒会自动下载到用户的电脑上。该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，给在线上的QQ好友发送诸如“快去这看看，里面有蛮好的东西--”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。 几种常见的QQ病毒 “QQ大盗”变种dek Trojan/PSW.QQPass.dek“QQ大盗”变种dek是“QQ大盗”木马家族的最新成员之一，采用VC++编写，由其它木马释放出来的DLL木马组件，一般被注册为浏览器辅助对象（BHO），实现木马随系统浏览器的启动而自动加载运行。“QQ大盗”变种dek运行后，将病毒代码注入到所有用户的进程中运行，以此来隐藏自我，躲避安全软件的查杀。修改hosts文件，屏蔽某些安全站点，阻止用户对某些常见安全站点的访问。查找并强行关闭某些安全软件，大大地降低了被感染计算机上的安全性。在后台秘密监视用户打开的窗口标题，一旦发现用户打开QQ登陆窗口便记录键击，窃取用户的QQ用户名和密码，并发送到骇客指定的远程服务器上，给用户带来一定程度的损失。另外，“QQ大盗”变种dek还会下载恶意程序。 几种常见的QQ病毒 “紫萝卜”变种kyy TrojanDownloader.Zlob.kyy“紫萝卜”变种kyy是“紫萝卜”木马下载器家族的最新成员之一，采用VC++编写。“紫萝卜”变种kyy运行后，收集被感染计算机上的信息，并以表单的形式提交到骇客指定站点。在被感染计算机后台连接多个骇客指定的站点，下载大量恶意程序在被感染计算机上自动调用运行，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。其中，所下载的恶意程序保存到临时文件夹下，可能的名字有“lowpower.exe”、“lprn32.exe”、“bindsrv2.exe”等。另外，“紫萝卜”变种kyy还可能强行篡改IE浏览器设置，大大降低被感染计算机的安全性。 QQ病毒 根据江民公司发布的2005年上半年十大病毒排行榜，即时通讯相关病毒已占据了一半席位，“QQ龟”病毒更是名列十大病毒之首。江民反病毒专家何公道认为，现在的即时通讯已经成为病毒传播的主渠道，一方面是因为即时用户群规模庞大并且持续快速增长，另一方面即时通讯用户对好友发送消息容易放松警惕，病毒成功的机率较高。何公道也进一步表示，今后两年即时通讯类病毒还会越来越多，甚至一些重大病毒也很可能集中利用即时通讯来扩大传播面。据悉，日前疯狂流窜互联网的“极速波”病毒也已出现开始通过即时通讯传播的变种。 QQ病毒工作原理 IM类病毒通常有两种工作模式： 一种是自动发送恶意文本消息，这些消息一般都包含一个或多个网址，指向恶意网页，收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。 这种病毒是由于某个IE网页附带的病毒被种植在用户电脑上，一旦用户开启QQ。病毒便会自动寻找窗口发送网页链接。 另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去，这也是时下流行的主模式。 QQ病毒的防范方法 设置本地口令 首先按下鼠标右键，从QQ图标上选择“系统参数”，在“系统参数”视窗选择“安全设置”标签。接着选择“启用本地消息加密”，再依次输入口令并确认口令即可。同时为了保险一定要勾选“启用本地消息加密口令提示”，设定提示问题和问题答案，按下“确定”使设定生效。在启动OICQ输入账号和密码后，软件还会要求输入本地消息口令，否则不能进入。 QQ病毒的防范方法 避开木马软件的攻击： 当前网络上可以找到很多的盗取QQ密码的木马软件，但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码，我们可以针对这个特点，采用“瞒天过海”