病毒类型及防范技术.pptVIP

计算机病毒的定义 新型病毒的工作原理与传播方式 新型病毒是一种独立的程序，它将自己从一个计算机拷贝到另一个计算机 不同与病毒，新型病毒不是寄生的，不需要一个宿主去感染 新型病毒可以通过网络和Internet传播 新型病毒可以快速传播到许多计算机 蠕虫传播的几种主要途径 通过电子邮件或mIRC(Internet Chat)将蠕虫传播给Microsoft Outlook地址薄里的每一个人 所有的朋友, 所有的公司同事，所有的用户 其它可利用的SMTP引擎 用如下文件扩展名加VBS扩展名的蠕虫代码覆盖本地和网络文件 vbs, vbe, js, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com, mp3 and mp2 (如： hello.gif - hello.gif.vbs) 特定的附件文件名 例如 W32.Klez.gen @ mm 会随机使用.bat .exe .pif .scr 作为扩展名 通过某些端口传播。主要是一些系统上服务的应用端口 例如：W32.SQLExp.Worm 使用UDP 1434 通过可用的网络资源传播 新型病毒造成的危害 改变Microsoft Internet浏览器的启动主页，下载一个特洛伊口令盗取程序 RAS, ISP帐号和口令信息会被传给hacker 修改注册表 由于注册表的巨大改变引起系统不稳定 邮件服务器过载。 网络中大量的邮件转发 DoS结果。 直接影响系统运行的服务，如WEB,SQL，SMTP 等,造成网络瘫痪。 留下后门。 传统病毒和新型病毒 本地的威胁 感染单个计算机的文件 病毒本身不会主动传播 通过人为因素（共享文件）传播 扩散速度相对慢 全球的威胁 尽可能感染更多的计算机 通过人为或本身传播 同时进行多种破坏 一个被感染的文件会感染上千台计算机（甚至更多） 策略 #1：行为阻截 思想： 阻截系统上每个应用程序的行为，并实时阻截恶意操作。设想抗病毒药物如何阻截真正的病毒…… 策略 #2：协议异常防护 思想： 在网关和主机上截获数据流，只转发符合公认的互联网标准的数据。 策略 #2：协议异常防护 思想： 在网关和主机上截获数据流，只转发符合公认的互联网标准的数据。 策略 #3：病毒扼杀（HP 实验室） 思想： 限制 PC 每秒钟与其他计算机新建的首次连接数。 策略 #4： 一般漏洞利用阻截 思想： 正如只有形状正确的钥匙才能打开锁一样，只有“形状”正确的蠕虫才能利用漏洞进行攻击。 步骤 1：总结新漏洞的“形状”特征 步骤 2：以该形状作为特征，扫描网络流量并阻截与其匹配的任何数据 立即阻截所有的新蠕虫，无需特定的特征。 * 病毒类型和防范技术 目 录 病毒的定义、类型和分类 病毒威胁级别的评估依据 病毒的现状和趋势 新型病毒的工作原理与危害 防范技术和措施 一、病毒的定义和分类 计算机病毒是一种可执行可自我复制的计算机程序 和生物界的病毒类似，会寻找寄主将自身附着到寄 主身上生存和传播 寄主通常是应用程序、磁盘、文件或电子表格 程序型病毒 通常以文件扩展名为.COM/.EXE/.SYS/.DLL/.OVL或.SCR的程序文件作为其感染目标，将自身附着在这些文件上 引导型病毒 以硬盘和软盘的非文件区域（系统区域）为感染对象 感染和传播的成功率很高 连接型病毒 感染目录表 宏病毒 以具有宏功能的数据文件为感染对象。Microsoft Word或Excel文档和模板文件极容易遭受攻击 特洛伊木马型的程序 不会自我复制 窃取用户的合法帐户名和口令 有危害的移动编码 浏览Internet网页是动态下载的程序代码。此类代码不归类为病毒，但和病毒一样对数据和系统造成危害。 计算机病毒类型 邮件蠕虫 名称通常包含 @m或@mm,一种是自身不带邮件引擎,另外一种自身带有邮件引擎,有时会留下后门程序.同时造成网络拥塞. 新型病毒 利用软件漏洞进行感染, 传播.扩散速度非常快. 造成网络拥塞.留下后门. 无须人工干预,自动传播和扩散 Warhol威胁 利用软件漏洞进行感染, 传播.扩散速度非常惊人. Flash威胁 利用软件漏洞进行感染, 传播.扩散速度极其惊人. 二、病毒威胁级别的评估依据 病毒的威胁级别评估依据 1.病毒程序传播的范围 2.病毒爆发后所造成的损失及危害 3.病毒传播的速度 每一项的评估分为高、中、低三档，根据这三项的综合评定后，一个病毒的危害级别就被确定。一共分为五级， 其中以五级最为严重