ch5 网的络病毒与防治.ppt

* * * * * * * * * * * * * * * * * * * * 上级向下级传达命令 * * * * * Copyright?电子科技大学计算机学院 * “红色代码”病毒工作原理 这种蠕虫病毒修改Windows注册表并放置特洛伊木马程序（将cmd.exe改名为boot.exe），并将cmd.exe文件复制到别的目录，这些目录包括， c:\inetpub\scripts\root.exe; d:\inetpub\scripts\root.exe; c:\program files\common files\system\msadc\root.exe; d:\program files\common files\system\msadc\root.exe. 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\W3 SVC\PARAMETERS\VIRTUALROOTS 通过该项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，受感染的机器可由黑客们通过HTTP GET的请求运行scripts/root.exe来获得对受感染机器的完全的控制权。 * Copyright?电子科技大学计算机学院 * “红色代码”病毒的激活 该网络蠕虫的主线程检查2个不同的标记：第一个标记是29A（29A是国外最著名的病毒编写组织的代号），该标记控制该网络蠕虫程序的安装；第二个标记是检查是否有“CodeRed II”，如果存在的话，该网络蠕虫程序进入无限的休眠状态。 如果受感染的机器是中文系统，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。同时该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是的话，受感染的服务器也会重新启动。 * Copyright?电子科技大学计算机学院 * “红色代码”病毒的传播机制 病毒激活时，网络蠕虫程序会检查当前的系统的语言，如果默认的语言是汉字系统，不管是简体的还是繁体的汉字系统，它会建立600个新的线程；如果不是这两种系统语言的话，该网络蠕虫程序建立300个线程。每一个线程产生一组随机的IP地址，并寻找其中可以感染的目标机器。 * Copyright?电子科技大学计算机学院 * “红色代码”病毒的防治 下载系统补丁 / 利用专业杀毒软件查杀 * Copyright?电子科技大学计算机学院 * “尼姆达”病毒 2001年9月18日发现之后，迅速传播开来 受影响的操作系统Windows 9x/Me/Nt/2000 感染途径：文件感染、电子邮件附件、Web服务器攻击，以及局域网上的共享文件功能 服务器：没打补丁的IIS Web Server 客户：没打补丁的IE 5.01/5.5，以及使用到IE功能的邮件客户软件，包括Outlook, Outlook Express等 危害性 受到感染的一台机器会影响到其他的机器 系统文件和文档文件会受损 网络资源会被拥塞住 解决方案 为所用的软件及时地打上补丁 * Copyright?电子科技大学计算机学院 * “尼姆达”病毒的传播 * Copyright?电子科技大学计算机学院 * “尼姆达”病毒的感染过程 文件感染 感染EXE文件，不是把自己插入到EXE文件的头或者尾部，而是把原来的EXE文件插进来，再改名为EXE的文件名； 运行的时候，先运行病毒，再提取出EXE并运行。 Email感染 病毒从你的地址簿、收件箱以及Web cache页面中抽取出email地址，然后构造一封邮件，内含一个附件readme.exe，送出去。 一旦收到邮件的人打开附件，则马上被感染。有些邮件客户会自动浏览附件，则自动被感染。 Web Server攻击 扫描并攻击Web Server，一旦成功，则把病毒代码附到Web页面的最后，未打补丁的IE浏览到这样的页面的时候，也会自动被感染； LAN共享攻击 打开一个共享系统，在administrators加入一帐户，并打开C盘共享； 把一个受感染的email和一个受感染的riched20.dll写到每一个共享可写目录中，如果共享目录的系统打开这个email或者目录中的Word、Wordpad或Outlook文档，则此系统也会被感染。 * Copyright?电子科技大学计算机学院 * 本讲小结 重点描述了计算机病毒的定义、工作原理、分类、发展最后通过病毒实例分析介绍了病毒的清除办法和防范措施。 * Windows环境下的病毒检测 * 普通进程检测 进程名（注意进程名仿冒） 进程路径（使用加强的任务管理器。注意异常路径） 进程的所有者（即账户名。注意当前用户加载的可疑进程！） 进程厂商信息 进程认证信息 进程的资