蠕蟲病毒與黑客防范課件

蠕蟲病毒及黑客防范

伊犁師范學(xué)院信息中心劉新茂

蠕蟲病毒的危害及預(yù)防什么是蠕蟲病毒？蠕蟲病毒的特征蠕蟲病毒的一般傳播過(guò)程蠕蟲病毒的危害蠕蟲病毒與一般病毒的比較沖擊波震蕩波蠕蟲病毒的特征熊貓燒香病毒個(gè)人用戶防范蠕蟲病毒的措施QQ尾巴病毒什么是蠕蟲病毒？

蠕蟲是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等！在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！蠕蟲病毒與一般病毒的比較

普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制寄存在主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)

網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的特點(diǎn)

在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)：①感染速度快。

②擴(kuò)散面廣。

③傳播的形式復(fù)雜多樣。

④難于徹底清除。

⑤破壞性大。

蠕蟲病毒的一般傳播過(guò)程傳播過(guò)程1.掃描：由蠕蟲的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。2.攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象，取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)，獲得一個(gè)shell。3.復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)。蠕蟲病毒造成的危害愛(ài)蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過(guò)100億美元以上求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過(guò)26億美元沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金損失MyDoom2004年1月起大量的垃圾郵件，攻擊了微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失震蕩波

2005年4月30日（Sasser）病毒被首次發(fā)現(xiàn)，短短一個(gè)星期時(shí)間之內(nèi)就感染了全球1800萬(wàn)臺(tái)電腦，成為今年當(dāng)之無(wú)愧的“毒王”。?！罢鹗幉ā辈《驹谌驇?lái)的損失已達(dá)5億美元。震蕩波病毒（Worm.Sasser

）病毒通過(guò)在已被感染的機(jī)器上開啟TCP端口

5554建立FTP服務(wù)器，并通過(guò)TCP445端口掃描隨機(jī)的IP，病毒開辟128個(gè)掃描線程，向連接成功的機(jī)器發(fā)動(dòng)攻擊，進(jìn)一步感染其它機(jī)器。受感染的系統(tǒng)可能會(huì)出現(xiàn)倒計(jì)時(shí)對(duì)話框，頻繁重新啟動(dòng)，系統(tǒng)運(yùn)行速度明顯減慢或死機(jī)，上網(wǎng)只能持續(xù)很短時(shí)間就無(wú)法瀏覽甚至斷網(wǎng)等現(xiàn)象。并造成整個(gè)網(wǎng)絡(luò)癱瘓。

這是使用天網(wǎng)防火墻檢測(cè)到帶有震蕩波病毒的計(jì)算機(jī)IP地址“熊貓燒香”病毒是繼ＣＩＨ之后危害中國(guó)最嚴(yán)重的病毒，國(guó)內(nèi)數(shù)家權(quán)威病毒監(jiān)測(cè)機(jī)構(gòu)將其列為十大病毒之首。據(jù)有關(guān)專家介紹，它是一種用ＤＥＬＰＨＩ工具編寫的蠕蟲病毒，這一病毒能中止大量的反病毒軟件和防火墻軟件進(jìn)程，并可以通過(guò)網(wǎng)頁(yè)瀏覽、局域網(wǎng)共享及Ｕ盤等多種途徑快速傳播，受感染的計(jì)算機(jī)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞乃至被刪除等現(xiàn)象?！靶茇垷恪辈《咀裕玻埃埃赌辏保苍鲁蹰_始暴發(fā)，到2007年１月中旬，據(jù)初步統(tǒng)計(jì)，目前“熊貓燒香”病毒變種數(shù)已達(dá)９０多個(gè)，國(guó)內(nèi)多家門戶網(wǎng)站被種植這一病毒，個(gè)人用戶感染者已經(jīng)高達(dá)幾百萬(wàn)。這一病毒在互聯(lián)網(wǎng)上引起恐慌，網(wǎng)民在各論壇上跟帖發(fā)表評(píng)論５４５萬(wàn)余條。一些損失慘重的企業(yè)和網(wǎng)民還發(fā)出重金懸賞追查“熊貓燒香”制作者的“通緝令”?；银澴硬《竞?jiǎn)潔描述：Backdoor/Huigezi.cm“灰鴿子”變種cm是一個(gè)未經(jīng)授權(quán)遠(yuǎn)程訪問(wèn)用戶計(jì)算機(jī)的后門。“灰鴿子”變種cm運(yùn)行后，自我復(fù)制到系統(tǒng)目錄下。修改注冊(cè)表，實(shí)現(xiàn)開機(jī)自啟。偵聽黑客指令，記錄鍵擊，盜取用戶機(jī)密信息，例如用戶撥號(hào)上網(wǎng)口令，URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外，“灰鴿子”變種cm可下載并執(zhí)行特定文件，發(fā)送用戶機(jī)密信息給黑客等。arp病毒arp病毒并不是某一種病毒的名稱，而是對(duì)利用arp協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議，用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。對(duì)電腦用戶私密信息的威脅很大。方法是在能上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp–a查看網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址，將其記錄，如果已不能上網(wǎng)，則先運(yùn)行一次命令arp–d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉，禁用網(wǎng)卡或拔掉網(wǎng)線，再運(yùn)行arp–a。僵尸網(wǎng)絡(luò)也許你的電腦現(xiàn)在正被別人窺視，也許你使用計(jì)算機(jī)的每個(gè)動(dòng)作正在被別人記錄，也許你的聲音正被別人竊聽，也許你的賬戶密碼正被秘密盜取，也許你的計(jì)算機(jī)正在被當(dāng)作從事違法犯罪活動(dòng)的工具，而當(dāng)這些悄悄發(fā)生的時(shí)候，你卻一無(wú)所知，因?yàn)槟愕碾娔X已經(jīng)成為被別人控制的“僵尸電腦”。僵尸網(wǎng)絡(luò)黑客通過(guò)某種手段，在互聯(lián)網(wǎng)用戶不知曉的情況下，悄悄地把一個(gè)“僵尸程序”放在其計(jì)算機(jī)中。這些計(jì)算機(jī)每次一開機(jī)，都會(huì)去和互聯(lián)網(wǎng)上的一些服務(wù)器聯(lián)系，而黑客則可以通過(guò)這些服務(wù)器對(duì)所有這些被安裝了“僵尸程序”的計(jì)算機(jī)實(shí)施控制。這樣，互聯(lián)網(wǎng)用戶的計(jì)算機(jī)就像“僵尸”一樣被黑客所操縱，而借助很多這樣的計(jì)算機(jī)，黑客就可以掌握一個(gè)網(wǎng)絡(luò)上可以用于進(jìn)行各種破壞活動(dòng)的“僵尸軍隊(duì)”。而“僵尸網(wǎng)絡(luò)”就是由你的電腦和其他成千上萬(wàn)臺(tái)電腦一起組成的。QQ尾巴病毒1、怎樣知道自己中了QQ尾巴其實(shí)很簡(jiǎn)單，查看自己與好友的聊天記錄。如果有諸如“這是我的照片”“很好看的之類的話”，并且這些話后面跟著一些不熟悉的網(wǎng)址，或在聊天的過(guò)程中，聊天窗口總是莫名其妙的自動(dòng)關(guān)閉或出現(xiàn)閃動(dòng)現(xiàn)象，則證明了你的機(jī)器已經(jīng)中了QQ尾巴病毒。預(yù)防中毒

要想不中QQ尾巴病毒，那么好友發(fā)送給你陌生網(wǎng)址一定要問(wèn)清楚，確認(rèn)后再點(diǎn)擊打開，這樣就可以將QQ尾巴類病毒拒之門外了。常見(jiàn)的網(wǎng)絡(luò)黑客攻擊技術(shù)特洛伊木馬特洛伊木馬的攻擊手段，就是將一些“后門”、“特殊通道”程序隱藏在某個(gè)軟件里，使使用該軟件的人無(wú)意識(shí)的中招，成為被攻擊，被控制的對(duì)象。由于木馬是客戶端服務(wù)器程序，所以黑客一般是利用別的途徑如郵件、共享將木馬安放到被攻擊的計(jì)算機(jī)中。木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中，因?yàn)閣indows的一些系統(tǒng)文件在這兩個(gè)位置，誤刪了文件系統(tǒng)可能崩潰。典型的木馬程序有BO、NetXray、流光等。常見(jiàn)的網(wǎng)絡(luò)黑客攻擊技術(shù)網(wǎng)頁(yè)攻擊

網(wǎng)頁(yè)攻擊指一些惡意網(wǎng)頁(yè)利用軟件或系統(tǒng)操作平臺(tái)等的安全漏洞，通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)HTML超文本標(biāo)記語(yǔ)言內(nèi)的JavaApplet小應(yīng)用程序、javascript腳本語(yǔ)言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表及系統(tǒng)實(shí)用配置程序，從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。

常見(jiàn)的網(wǎng)絡(luò)黑客攻擊技術(shù)網(wǎng)頁(yè)攻擊

防范網(wǎng)頁(yè)攻擊可使用設(shè)定安全級(jí)別、過(guò)濾指定網(wǎng)頁(yè)、卸載或升級(jí)WSH、禁用遠(yuǎn)程注冊(cè)表服務(wù)等方法。最好的方法還是安裝防火墻和殺毒軟件，并啟動(dòng)實(shí)時(shí)監(jiān)控功能。有些殺毒軟件可以對(duì)網(wǎng)頁(yè)瀏覽時(shí)注冊(cè)表發(fā)生的改變提出警告。

如何做好本機(jī)安全為本機(jī)用戶設(shè)置密碼并禁用guest用戶刪除本機(jī)上的默認(rèn)共享關(guān)閉TCP/UDP端口135-139和445關(guān)閉不用的服務(wù)安裝系統(tǒng)補(bǔ)丁安裝個(gè)人防火墻設(shè)置密碼給計(jì)算機(jī)設(shè)置密碼的必要性Guest用戶（供來(lái)賓訪問(wèn)計(jì)算機(jī)或訪問(wèn)域的內(nèi)置帳戶）設(shè)置密碼技巧刪除本機(jī)默認(rèn)共享打開記事本編寫如下代碼

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete編寫完成以后此文本可任意命名，但文件擴(kuò)展名一定改為.bat，并將此文件添加到開始—啟動(dòng)中下次開機(jī)默認(rèn)共享自動(dòng)被刪除關(guān)閉TCP/UDP端口如果開放了135-139和445，那么惡意用戶會(huì)通過(guò)這些端口獲得命令行控制，這些會(huì)帶來(lái)安全風(fēng)險(xiǎn)，故禁止對(duì)TCP/IP上的Netbios端口（TCP139）或TCP上的SMB端口（TCP445）的訪問(wèn)可以防止此類入侵。具體方法如下

在wins選項(xiàng)卡上選擇禁用tcp/ip上的Netbios(s)

這樣只是禁用了139端口我們換要禁用445端口

我們可在本地連接屬性對(duì)話框中取消Microsoft網(wǎng)絡(luò)的文件和打印共享

有一點(diǎn)需要知道的是：如果禁用了WINS，由此將會(huì)禁止基于域的網(wǎng)絡(luò)登錄，以及文件和打印機(jī)共享。我們還可以采用注冊(cè)表的方法。關(guān)閉不用的服務(wù)

在安裝windows操作系統(tǒng)時(shí)，大家往往使用的是默認(rèn)安裝，然而有很多服務(wù)在默認(rèn)情況下是打開，我們應(yīng)該關(guān)閉一些從來(lái)不用的服務(wù)。我們打開控制面板—管理工具—服務(wù)也可以在我的電腦—右鍵—管理—服務(wù)和應(yīng)用程序—服務(wù)

一般情況下我們可關(guān)閉telnet服務(wù)SNMPServiceComputerBrowserDHCPClient1、關(guān)掉25端口：關(guān)閉SimpleMailTransportProtocol(SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。2、關(guān)掉21端口：關(guān)閉FTPPublishingService,它提供的服務(wù)是通過(guò)Internet信息服務(wù)的管理單元提供FTP連接和管理。3、關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命