第九章 计算机病毒防范

1主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院第九 章 计算机病毒防范2主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院本讲的目标 了解计算机病毒的发展史、传播途径及特征 正确选择和使用常见计算机病毒防范软件； 掌握常见病毒的防范和清除方法3主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院授课建议 简单介绍解计算机病毒的发展史、传播途径及特征 通过演示介绍常见计算机病毒防范软件； 掌握常见病毒的防范和清除方法4主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院病毒分类（ 传染方式） 文件型病毒（ 1575/1591病毒， CIH病毒， WM/Concept病毒 ）通过在执行过程中插入指令，把自己依附在可执行文件上。当文件执行时，病毒就会调出自己的代码执行，接着返回正常的指令。整个过程很快，难以察觉。 引导扇区病毒（小球病毒，大麻病毒， Anti-CMOS病毒）病毒程序助理在磁盘的第一个扇区，能传染给软盘的引导扇区。通常，触发机制是系统日期和时间。 混合型病毒（ FLIP病毒，新世纪病毒）具有上述两种病毒的特点。 宏病毒（ word宏病毒）宏病毒不只是感染可执行文件，也可以感染一般文件，主要是影响系统的性能以及用户工作的效率，能传播到任何可运行编写宏病毒的应用程序的机器中。5主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院病毒的传播媒介 存储介质 软盘、光盘、 (移动 )硬盘 网络 邮件 (SoBig) 网页 (RedLof) 局域网 (Funlove) 远程攻击 (Blaster) 网络下载 即时消息6主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院计算机病毒的命名规则 格式为：病毒前缀 .病毒名 .病毒后缀。 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。比如，我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如振荡波蠕虫病毒的家族名是“ Sasser ” 。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的 26 个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种 B。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。7主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院常见病毒前缀1. 系统病毒 系统病毒的前缀为： Win32、 PE、 Win95等。这些病毒的一般共有的特性是可以感染 windows 操作系统的 *.exe 和 .dll 文件，并通过这些文件进行传播。2. 蠕虫病毒 蠕虫病毒的前缀是： Worm3. 木马病毒、黑客病毒 木马病毒其前缀是： Trojan，黑客病毒前缀名一般为 Hack4. 脚本病毒 脚本病毒的前缀是： Script。5. 宏病毒 宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是： Macro，6. 后门病毒 后门病毒的前缀是： Backdoor7. 病毒种植程序病毒 运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。前缀是： Dropper8. 破坏性程序病毒 破坏性程序病毒的前缀是： Harm。9. 玩笑病毒 玩笑病毒的前缀是： Joke。10. 捆绑机病毒 捆绑机病毒的前缀是： Binder11. 其他 前缀为 DoS：会针对某台主机或者服务器进行 DoS 攻击； 前缀为 Exploit：缓冲区溢出 前缀为 HackTool：黑客工具8主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院瑞星杀毒软件 基本设置 监控中心包括文件监控、邮件监控、网页监控 在文件监控和邮件监控的基本设置中，有三个安全级别 高安全级别：最全面的检查、对所有文件进行最彻底全面的监控。推荐对个人电脑安全性要求较高以及计算机性能较好的用户选择该级别。 推荐级别：这种级别是杀毒软件引擎配置的最佳平衡点，绝大多数用户都能适用。 低安全级别：这种级别占用的计算机系统资源较小，能最大限度的减少系统负担，供对计算机性能较低的用户选择。9主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院瑞星杀毒软件 杀毒设置10主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院卡巴斯基保护 保护部分主要目的是给您的计算机基本实时保护组件提供一个入口 保护功能有：文件反病毒、邮件反病毒、 web 反病毒、主动防御、防火墙、隐私控制、反垃圾邮件控制和家长控制。11主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院卡巴斯基扫描12主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院卡巴斯基更新13主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院卡巴斯基报告和数据文件14主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院卡巴斯基激活15主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院常见病毒的分析 熊猫烧香 “ 熊猫烧香 ” 病毒（ Worm.Nimaya）是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。被病毒感染的文件图标均变为 “ 熊猫烧香 ” 。该病毒变种还能终止大部分的反病毒软件和防火墙软件进程。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中 exe、 com、 pif、 src、 html、 asp 等文件，它还会删除扩展名为 gho的文件（该文件是一系统备份工具 GHOST 的备份文件），使用户的系统备份文件丢失。16主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院熊猫烧香的特点 它会在硬盘各个分区创建 “ .inf” 自动播放文件 会感染大部分目录中的 EXE/SCR/PIF/COM 文件。 自动关闭防火墙以及防病毒软件。 尝试使用简单用户名、口令访问局域网内其它计算机，尝试以 GameSetup.exe 为文件名 复制自身副本。17主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院清除熊猫烧香病毒 在正式清除病毒之前，我们先在网络连接中禁用各网卡，切断病毒与外部网络的连接。 用 IceSword 结束熊猫烧香 Spo0lsv.exe 和Iexplore.exe 的进程 将各磁盘目录中的 AutoRun.inf 以及其指向内容 Setup.exe 删除。（设置显示隐藏文件） 打开注册表，在 “ 编辑 ” 中点击 “ 查找 ” ，输入病毒程序名 “ spo0lsv.exe、 Setup.exe” 删除注册表键值以及对应路径文18主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院常见病毒的分析Auto 病毒 Auto 病毒又被称作 U 盘病毒，一种名为 “ U 盘寄生虫 ” 的蠕虫病毒出现在网络中，这是一种利用 Windows 自动播放功能，优先执行加载项的病毒程序，使用户的计算机感染该病毒。 AutoRun.inf 不光能让光盘自动运行程序，也能让硬盘自动运行程序19主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院Auto病毒的特点 在系统中占用大量 cpu 资源。 在每个分区下建立 autorun.exe、 autorun.inf 文件，双击该盘符时显示自动运行，但无法打开该分区。 大部分通过 U 盘、移动硬盘等存储设备传播。 可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。 当插入 u 盘时自动播放对话框中的第一选项就不再是播放而是运行这个盘中的程序20主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院清除 Auto病毒 系统重启进入安全模式，并让系统显示隐藏文件 删除各磁盘根目录中的 Autorun.inf 以及病毒文件 “Regedit.exe” 打开注册表。打开注册表后， 单击编辑 = 查找， 输入 AutoRun.inf 文件中记录的内容（ 如 Autorun.exe），删除对应的注册表键值项以及对应路径的文件21主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院Auto 病毒的防范 改变双击习惯，养成使用鼠标右键打开的习惯 在使用 U 盘时，按住 “ Shift” 键的同时，插入USB 接口，并直到 “ 我的电脑 ” 中显示 U 盘盘符为止，此方法可阻止 U 盘上的病毒传播到系统中 用上述中的方法插入 U 盘，然后打开“ winrar” 软件（压缩软件），并用其打开 U 盘，可查看其中的隐藏文件，删除所有隐藏文件 下载 U 盘专杀工具22主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院ARP欺骗病毒 该病毒通常都属于木马 (Trojan)类型病毒，它不具备主动传播的特性，更不会自我复制。但是由于其发作的时候会向全网发送伪造的 ARP 数据包，干扰整个网络的运行，因此它的危害比一般的蠕虫病毒还要严重。23主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院ARP工作原理 ARP 协议是 “ Address Resolution Protocol”（地址解析协议） 常用命令 arp a 基本原理：假定在某广播形网络上，主机 A欲解析 B(地址为 IPB）的 MAC地址。 A首先广播一个ARP请求报文，请求 IPB的主机回答其物理地址MACB。网上所有主机都能收到该请求，只有IPB作出应答24主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院解析本地 IP地址ARP Cache 08005. . .IP Address = 8Hardware Address = 08004. . .1ARPBroadcastIP=92ping 9Hardware Address = 08007. . .4 IP Address = 9Hardware Address = 08007. . .ARP Cache 08005. . .8 08004. . .325主讲人 :于长青 邮件地址 ： 西安工业大学北方信息工程 学院ARP 欺骗的原理 假设这样一个网络，一个交换机连接了 3 台机器，依次是计算机 A， B， C A 的地址为： IP： MAC: AA-AA-AA-AA-AA-AA B 的地址为： IP： MAC: BB-BB-BB-BB-BB-BB C 的地址为： IP： MAC: CC-CC-CC-CC-CC-CC 在计算机 B 上运行 ARP 欺骗程序，来发送 ARP 欺骗包 B 向 A 发送一个自己伪造的 ARP 应答，而这个应答中的数据为发送方 IP 地址是 （ C 的 IP 地址）， MAC 地址是 DD-DD-DD-DD-DD-DD（ C 的 MAC 地址本来应该是 C