认识与防范病毒课件研究报告.ppt

認識與防範病毒 講員：雷濟華 電算中心網路教學組 edmund@.tw 課程內容 認識病毒的種類 基本電腦病毒的防治 新任的病毒王-疾風病毒 郵件攻擊者-老大病毒 Windows OS Update 清除疾風及老大病毒步驟 Q A 認識病毒的種類(一) 何謂惡意軟體(Malware)? 凡是一般使用者不期待或有惡意行為的程式碼或軟體皆稱為惡意軟體. 惡意軟體的種類: 電腦病毒, 木馬程式或後門程式, 蠕蟲, 玩笑程式. 認識病毒的種類(二) 何謂電腦病毒? 它是一組可執行的程式碼, 會自我複製並且擴散到其他的檔案上. 它在運作過程分為三個時期: 感染期, 潛伏期, 發作期. 電腦病毒的種類: Windows virus, macro virus, script virus, Java virus, Boot virus, DOS virus. 基本電腦病毒的防治 安裝防毒軟體, 例如: 賽門鐵克-Norton, 趨勢-Pccillin, etc. 修補各類平台的漏洞, 例如: Windows, Linux, Solaris, etc. 修補各類套裝軟體的漏洞, 例如: MS SQL, Unix_base Sendmail. 不開啟來路不明的信件或附檔. 不下載來路不明的軟體或檔案. 新任的病毒王-疾風病毒 (一) 疾風病毒的英文名稱: Blaster: WORM_MSBLAST.D [Trend] Welchia: W32.Welchia.Worm [Symantec], W32/Welchia.worm10240 [AhnLab], Worm.Win32.Welchia [KAV] Nachi: W32/Nachi.worm [McAfee], W32/Nachi-A [Sophos], Win32.Nachi.A [CA] Lovsan: Lovsan.D [F-Secure] 新任的病毒王-疾風病毒(二) 攻擊類型: 系統感染網路攻擊型 感染途徑: 使用 TCP 埠號 135 來探測 DCOM RPC 弱點: 主要針對Windows NT/2000/XP系統為主. 使用 TCP 埠號 80 來探測 WebDav 弱點: 主要針對IIS 5.0 Web Server為主. 攻擊方式: 傳送 ICMP 回應或 PING 來檢查啟動中的機器以進行感染, 導致 ICMP 流量增加 . 移除 W32.Blaster.Worm. (利用Windows Update) 新任的病毒王-疾風病毒(三) 對系統的影響: 刪除檔案: 例如: msblast.exe. 造成系統不穩定: 因為RPC服務當機造成系統不正常. 病毒程式: Dllhost.exe 或Svchost.exe . 外掛不必要的程式: 例如: TFTP. 開啟不必要的服務埠: TCP 666~765 郵件攻擊者-老大病毒(一) 老大病毒的英文名稱: Sobig: W32.Sobig.F@mm [Symantec], WORM SOBIG.F [Trend], Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV] 郵件攻擊者-老大病毒(二) 攻擊類型: 網路感染網路攻擊型 感染途徑: 主要針對Windows 95/98/ME/NT/2000/XP. 將病毒本體以附件方式附加於信件上. 利用電子郵件軟體散佈出去. 攻擊方式: 利用原寄件者的信箱目錄表的位址隨機取樣當寄件者, 再將所有剩下的信箱位址當收件者寄出. 利用原寄件者的設定找到SMTP伺服寄出信件. 郵件攻擊者-老大病毒(三) 對系統的影響: 病毒程式: 例如: winppr32.exe, winsst32.dat. Sobig.F 下載後門程式並在受感染電腦上建立廣告郵件轉寄伺服器. 開啟不必要的服務埠: UDP 123, 995~999, 8898 更新並掃毒前置作業 請將該要更新並掃毒的電腦相關資訊記錄於“實踐大學IP對照表”上. 更新並掃毒前置作業 如何獲得IP網址及MAC網址: 先到“開始”-“執行”下開啟DOS介面: Windows 98/ME指令: command Windows 2000/XP指令: cmd 於DOS介面下, 下指令: ipconfig /all Physical Address即是MAC網址 IP Address即是IP網址 Windows OS Update (一) 微軟平台是攻擊者的樂園: Windows OS的安全機制不穩. Windows OS的程式漏洞百出. 隨時注意微軟發佈產品警告消息. 定時上網更新漏洞修補