计算机网络安全讲义4.pptVIP

计算机网络安全讲义 第四讲：常见病毒及防范 病毒的定义 一段程序 不宜察觉的 可以传播的 通常具有破坏性的 病毒的基本特征 自我复制特征（这是最本质的特征） 潜伏特征（现在常见的病毒通常都没有耐心潜伏了） 破坏特征（现在最主要的表现是机器性能的大幅下降和部分资源无法正常使用） 隐蔽性（这是病毒最讨厌的特征，找不到） 当前病毒的主要目标 种植木马以获取利益（盗号，如QQ号，网游帐号，抓肉鸡等），以磁碟机，木马群为代表的木马下载器就是典型例子 恶意的商业推广行为，如网站的恶意推广，恶意获取广告点击流量等 有少数的纯熟实验性的开玩笑，比如女鬼病毒，只是显示一个吓人的图片 病毒的传播途径 目前主要有四条： 系统漏洞：如木马群利用Flash漏洞传播，只要你看了他的Flash就会中着 邮件附件 局域网共享资源 移动存储介质 木马通常也被做为病毒处理 木马技术有一部分和病毒技术是重叠的，如隐藏自己，因此木马和病毒常常是相互结合的。现在的杀毒软件通常将木马做为一类病毒处理，也没有必要清晰地区分木马和病毒 常见的病毒分类 系统病毒 ：感染系统文件，通常在杀毒软件的报警中体现为Win32.*.*、PE.*.*, 如pe.cih.a 这一类病毒编写技术要求比较高，通常具有比较高的危险性，但种类比较少，现在不多见 常见的病毒分类 蠕虫病毒：利用网络，如邮件或系统漏洞进行大面积传播，典型危害是网络大面积堵塞，通常在杀毒软件的前缀是worm。比较典型的如震荡波，冲击波等。一般以单一文件形式存在。 常见的病毒分类 脚本病毒：以脚本编写而成，通过网页浏传播。这一类病毒的前缀一般是vbs,js等，典型的如红色代码，欢乐时光。通常这一类病毒比较喜欢劫持浏览器，有时候很讨厌。特别是可以通过邮件内容传播，不需打开附件，只要预览内容就能中毒 常见的病毒分类 木马病毒：这个不用说了，这一类包括木马及黑客工具，一般具有远程控制能力，也有些只是窃取信息进行隐蔽传送，如著名的网银大盗，前缀是trojan或hack 常见的病毒分类 宏病毒 这一类病毒现在已经很少见,它是利用OFFICE软件的自动执行宏的功能编写的，危害通常是破坏OFFICE文档，著名的如美丽莎，一般前缀为macro 常见的病毒分类 后门病毒 该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患，后门病毒的前缀是：Backdoor，著名的有Backdoor.IRCBot 常见的病毒分类 病毒种植程序病毒，这是最讨厌的一类病毒，其功能是在你的机器上安装各种各样的病毒，如磁碟机，机器狗，木马群等等，前缀一般是Dropper或torjandownload 常见的病毒分类 破坏性程序病毒 :这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏,如杀手命令,c盘格式化等,前缀一般是harm 常见的病毒分类 恶作剧病毒：这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，但一般不产生恶性结果，前缀一般是joker,比较著名的如Girlghost女鬼 常见的病毒分类 捆绑机病毒：这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如QQ捆绑机 常见的病毒介绍 Auto “U盘寄生虫” 采用Delphi编写，由某个木马程序释放出来的DLL木马组件文件，一般被注入EXPLORER.EXE”进程中加载运行，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。修改hosts文件，屏蔽某些安全站点，阻止用户对某些安全站点的访问。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，在计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“auto.exe”，会在后台秘密收集被感染计算机上的系统信息，并发送到骇客指定的远程服务器站点上。在被感染计算机上下载恶意程序并自动调用运行。 常见病毒介绍 磁碟机病毒又名dummycom病毒，变种繁多，超过了100个，典型特征是关闭系统的安全软件，屏蔽安全站点，疯狂下载木马，感染系统中文件并改变图标，在每个盘下面建立autorun.inf等。采用进程注入和进程守护技术，百杀不死，杀毒的办法主要是利用专杀工具，现在也有免疫工具 常见病毒介绍 器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\C