计算机病毒、蠕虫和特洛伊木马介绍(网络安全基础课讲义.docxVIP

在2025年春季学期的网络安全基础课上，我主要负责讲解恶意软件的三大类型。上周三（3月12日）下午2点，在计算机楼302教室，面对信息安全专业大二学生的提问时，我发现很多同学对计算机病毒、蠕虫和特洛伊木马的区别仍然模糊不清。这让我想起去年处理过的校园网勒索病毒事件，当时有37台教学电脑感染了WannaCry变种病毒，导致整个教学楼的网络瘫痪了整整48小时。今天，我想结合这个真实案例，给大家详细剖析这三种恶意软件的特征、传播方式和防御策略。

对于蠕虫类恶意软件，我以2019年我们实验室遭遇的Conficker蠕虫为例进行说明。这个蠕虫不需要用户任何操作，就能通过U盘自动传播。当时，研究生小李将个人U盘插入实验室电脑后，蠕虫立即复制到系统中，并在后台创建了三个恶意进程：svchost.exe（占用CPU约45%）、explorer.exe（占用内存约800MB）和一个随机命名的.exe文件。通过Wireshark抓包分析，我们发现该蠕虫每分钟会尝试连接200个随机IP地址的445端口，试图寻找新的感染目标。在隔离网络环境下，我们测试发现单台感染主机能在8小时内感染整个实验室的46台电脑。

至于特洛伊木马，最典型的案例就是2023年我们协助处理的校园一卡通充值系统事件。攻击者制作了一个名为校园卡充值_v2.3.exe的程序，声称可以提供7折充值优惠。当学生运行后，程序界面确实显示充值成功，但实际上它在后台偷偷记录了学生的学号、密码和支付信息。我们通过逆向分析发现，该木马使用了多层加壳保护，运行后会先解密核心模块，然后创建一个名为system_update.exe的进程，该进程会每5分钟将收集到的数据加密后发送到位于俄罗斯的服务器（IP：91.134.123.87）。在整个事件中，共有217名学生的信息被盗取，造成直接经济损失约4.3万元。

总的来看，下一阶段的重点是让大家在实际环境中识别和防御这些恶意软件。下周的实验课上，我会准备三台隔离的虚拟机，分别感染了不同类型的恶意软件样本，请大家分组进行实战分析。具体要求是：每组4人，在90分钟内完成病毒行为分析报告，包括进程监控、网络流量分析和注册表修改记录三部分内容。评分标准如下：行为分析准确性占40%（能正确识别出至少3个恶意行为），防御方案可行性占30%（提出的解决方案能在实际环境中部署），报告完整性占20%（包含所有要求的分析项目），团队协作占10%（组内分工明确）。实验报告请于下周五（3月28日）晚上11点前提交到课程平台的作业系统，逾期提交将扣除10%的分数。

请同学们认真检查实验环境中的每一步操作，特别是使用Wireshark和ProcessMonitor这两个工具时，要注意保存完整的日志文件。如果在实验过程中遇到任何问题，可以随时通过企业联系我，我会在24小时内回复。记住，网络安全不仅是理论知识，更是实践技能，希望大家通过这次实验真正掌握这些关键技能。

网络安全基础课程组

2025年3月19日