认识与防范病毒

1、認識與防範病毒認識與防範病毒講員：雷濟華講員：雷濟華電算中心網路教學組電算中心網路教學組.tw課程內容課程內容認識病毒的種類基本電腦病毒的防治新任的病毒王-疾風病毒郵件攻擊者-老大病毒Windows OS Update清除疾風及老大病毒步驟Q & A認識病毒的種類認識病毒的種類(一一)何謂惡意軟體(Malware)? 凡是一般使用者不期待或有惡意行為的程式碼或軟體皆稱為惡意軟體.惡意軟體的種類: 電腦病毒, 木馬程式或後門程式, 蠕蟲, 玩笑程式.認識病毒的種類認識病毒的種類(二二) 何謂電腦病毒? 它是一組

2、可執行的程式碼, 會自我複製並且擴散到其他的檔案上. 它在運作過程分為三個時期: 感染期, 潛伏期, 發作期. 電腦病毒的種類: Windows virus, macro virus, script virus, Java virus, Boot virus, DOS virus.認識病毒的種類認識病毒的種類(三三) 電腦病毒如何擴散? 磁碟片的傳染, 程式的傳染, 文件的傳染, 電子信件的傳染, 網路的傳染. 電腦病毒不再像以往只是單一的型態發生. 現在的病毒多為混合型的種類, 像這次的老大病毒包含了病毒, 後門, 蠕蟲這三項種類. 因此很難斷定它是屬於惡意軟體中的哪一類.基本電腦病毒的防治

3、基本電腦病毒的防治 安裝防毒軟體, 例如: 賽門鐵克-Norton, 趨勢-Pccillin, etc. 修補各類平台的漏洞, 例如: Windows, Linux, Solaris, etc. 修補各類套裝軟體的漏洞, 例如: MS SQL, Unix_base Sendmail. 不開啟來路不明的信件或附檔. 不下載來路不明的軟體或檔案.新任的病毒王新任的病毒王-疾風病毒疾風病毒 (一一)疾風病毒的英文名稱:Blaster:Blaster: WORM_MSBLAST.D TrendWelchia:Welchia: W32.Welchia.Worm Symantec, W32/Welchia

4、.worm10240 AhnLab, Worm.Win32.Welchia KAVNachi:Nachi: W32/Nachi.worm McAfee, W32/Nachi-A Sophos, Win32.Nachi.A CALovsan:Lovsan: Lovsan.D F-Secure新任的病毒王新任的病毒王-疾風病毒疾風病毒(二二)攻擊類型: 系統感染網路攻擊型感染途徑:使用 TCP 埠號 135 來探測 DCOM RPC 弱點: 主要針對Windows NT/2000/XP系統為主.使用 TCP 埠號 80 來探測 WebDav 弱點: 主要針對IIS 5.0 Web Server為主

5、.攻擊方式:傳送 ICMP 回應或 PING 來檢查啟動中的機器以進行感染, 導致 ICMP 流量增加 .移除 W32.Blaster.Worm. (利用Windows Update)新任的病毒王新任的病毒王-疾風病毒疾風病毒(三三) 對系統的影響: 刪除檔案: 例如: msblast.exe. 造成系統不穩定: 因為RPC服務當機造成系統不正常. 病毒程式: Dllhost.exe 或Svchost.exe . 外掛不必要的程式: 例如: TFTP. 開啟不必要的服務埠: TCP 666765郵件攻擊者郵件攻擊者-老大病毒老大病毒(一一)老大病毒的英文名稱:Sobig: W32.Sobig.

6、Fmm Symantec, WORM SOBIG.F Trend, Sobig.F F-Secure, W32/Sobig.fMM McAfee, W32/Sobig-F Sophos, Win32.Sobig.F CA, I-Worm.Sobig.f KAV郵件攻擊者郵件攻擊者-老大病毒老大病毒(二二)攻擊類型: 網路感染網路攻擊型感染途徑:主要針對Windows 95/98/ME/NT/2000/XP.將病毒本體以附件方式附加於信件上.利用電子郵件軟體散佈出去.攻擊方式:利用原寄件者的信箱目錄表的位址隨機取樣當寄件者, 再將所有剩下的信箱位址當收件者寄出.利用原寄件者的設定找到SMTP伺服

7、寄出信件.郵件攻擊者郵件攻擊者-老大病毒老大病毒(三三) 對系統的影響: 病毒程式: 例如: winppr32.exe, winsst32.dat. Sobig.F 下載後門程式並在受感染電腦上建立廣告郵件轉寄伺服器. 開啟不必要的服務埠: UDP 123, 995999, 8898更新並掃毒前置作業更新並掃毒前置作業 請將該要更新並掃毒的電腦相關資訊記錄於“實踐大學IP對照表”上.更新並掃毒前置作業更新並掃毒前置作業 如何獲得IP網址及MAC網址: 先到“開始”-“執行”下開啟DOS介面: Windows 98/ME指令: command Windows 2000/XP指令: cmd 於DO

8、S介面下, 下指令: ipconfig /all Physical Address即是MAC網址 IP Address即是IP網址Windows OS Update (一一)微軟平台是攻擊者的樂園:Windows OS的安全機制不穩.Windows OS的程式漏洞百出.隨時注意微軟發佈產品警告消息.定時上網更新漏洞修補檔案.將不必要的伺服器上的服務關閉.Windows OS Update (二二)Windows OS更新步驟:確認OS及SP版本按“開始”看圖示OS版本.“我的電腦”按右健, 選“內容”後, 在“一般”的頁面的“系統”查看SP版本.Windows OS Update (三三)更新

9、Service Pack版本Windows 98/ME: 不需要上SPWindows 2000: 若不是SP4, 請直接上SP4Windows XP: 若沒有SP1a, 請上SP1a註: 如果使用者的Windows XP不是正版的話, 將無法更新SP.Windows OS Update (四四)安裝修補程式(針對此次疾風病毒)Windows 2000:Windows2000-KB823980-x86-CHT.exeWindows2000-KB824146-x86-CHT.exeWindows XP:WindowsXP-KB823980-x86-CHT.exeWindowsXP-KB823980

10、-x86-CHT.exe設定Windows Update自動更新裝置註: 公告所提供的程式皆為中文版. 如為其他語系之OS, 請自行上網下載.http:/ 98:請將Symantec目錄下的FixSbigF.exe及TrendMicro目錄複製到桌面上.首先執行Symantec的FixSbigF.exe掃毒接著執行TrendMicro的掃毒Windows ME:請將TrendMicro目錄複製到桌面上.執行掃毒清除疾風及老大病毒步驟清除疾風及老大病毒步驟(二二)Windows 2000/XP:請將Symantec目錄及TrendMicro目錄複製於桌面.首先執行Symantec的FixBlast.exe, FixWelch.exe, FixSbigF.exe掃毒接著執行TrendMicro的掃毒清除疾風及老大病毒步驟清除疾風及老大病毒步驟(三三)注意事項:如果以上任四支掃毒程