计算机病毒及其防治 信息安全概论课件与相关复习提纲.pptVIP

U盘病毒 病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。 混合型、自动的攻击 Workstation Via Email File Server Workstation Mail Server Internet 混合型攻击:蠕虫 Web Server Via Web Page Workstation Web Server Mail Gateway 防病毒 防火墙 入侵检测 风险管理 攻击的发展趋势 3 震荡波 一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。 时间：2004年4月29日 地点： 德国北部 罗滕堡镇 沃芬森小村(Waffensen),人口仅920。 （1） 时间,地点 （2）人 物 斯万-贾斯查因(Sven Jaschan)，4月29日这一天是他18岁的生日 。 母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部 。 几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。 （3） 传 播 从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢 。 （4） 危 害 这就是全球著名的“震荡波”(Worm.Sasser )蠕虫病毒。 自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。 5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。 微软悬赏25万美元找原凶! “五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。 五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个 （5） 游戏结束 开始时，报道有俄罗斯人编写了这种病毒! 5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。 为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。 （6） 病毒产生原因漏洞 病毒是通过微软的最新高危漏洞-LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。 （7） 病毒表现的特征 出现系统错误对话框 被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。 （7） 病毒表现的特征 系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒. 系统资源被大量占用 病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。 （7） 病毒表现的特征 内存中出现名为avserve的进程 病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。 （7） 病毒表现的特征 系统目录中出现名为avserve.exe的病毒文件 　　病毒如果攻击成功，会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件。  其它文件名：Explorer.exe Exp1orer.exe Expl0rer.exe （7） 病毒表现的特征 （8） 病毒的运行