流行蠕虫病毒的防治和快速反应机制.pptxVIP

流行蠕虫病毒的防治和快速反应机制 第1页/共11页 流行蠕虫病毒的防治和快速反应机制 “震荡波”(W32.Sasser)病毒 流行病毒的常见特征 流行病毒的防治 建立快速反应机制 第2页/共11页 “震荡波”的基本特征、感染判断和清除 基本特征 感染判断 病毒清除 第3页/共11页 “震荡波”的基本特征、感染判断和清除 基本特征 病毒感染系统：Windows NT/2000/XP/2003 变种类型：Worm.Sasser.b/c/d/e 传播方式：利用微软系统漏洞远程执行代码，打开FTP的 5554端口上传病毒文件 第4页/共11页 “震荡波”的基本特征、感染判断和清除 感染判断 出现系统错误对话框，莫名其妙地死机或重新启动计算机； 任务管理器里有一个叫avserve.exe、avserve2.exe或者skynetave.exe的进程在运行； 在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件； 注册表H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中存在avserve.exe=%Windir%\avserve.exe值； 系统速度极慢，CPU占用100%。 第5页/共11页 “震荡波”的基本特征、感染判断和清除 病毒清除 使用专杀工具（先杀毒再打补丁－－下载） 手工消除（详细请看） 断网打补丁 清除内存中的病毒进程 删除病毒文件 删除注册表键值 第6页/共11页 流行病毒的常见特征 利用微软系统的漏洞 通过网络采用扫描方式寻找有漏洞的机器 修改系统注册表，增加自启动项或服务 系统进程中出现不正常的进程 CPU使用率很高，导致机器慢甚至死机 第7页/共11页 流行病毒的防治 定期系统自动升级（厦大升级服务器） 网络防火墙（Norton防火墙，瑞星防火墙等） 病毒防火墙（Norton，瑞星，金山毒霸，KV等） 注册表和进程监控（Hacker Eliminator v1.2） 第8页/共11页 常用的病毒信息网站 诺顿（Norton）-/region/cn/ 瑞星-/ 金山毒霸-/ KV-/ 中国教育和科研计算机网紧急响应组 国家计算机病毒应急处理中心 第9页/共11页 建立快速反应机制 通告最新病毒（通过WWW、FTP） 提供补丁和最新专杀工具 建立相对固定的服务点 第10页/共11页 感谢您的欣赏 第11页/共11页