病毒蠕虫和木马的清除与预防

1、第2章 病毒、蠕虫和木马的清除与预防 本章学习目标计算机病毒的分类.计算机病毒的主要特点部署企业网络防病毒系统蠕虫病毒的主要特征及通用清除和预防方法木马的伪装、运行方式、通用清除和预防方法流氓软件的主要特征、分类与预防方法12.1 计算机病毒 对计算机网络系统的最大威胁之一，就是计算机病毒。 计算机病毒程序可以通过修改某些程序以达到感染该程序的目的。 22.1 计算机病毒2.1.1 计算机病毒的主要特点 1未经授权执行 2隐蔽性 3传染性 4潜伏性 5破坏性 6不可预见性 7病毒的生命周期 32.1 计算机病毒2.1.2 广义计算机病毒的分类 1一般分类方法 （1）传统病毒 （2）宏病毒（Ma

2、cro） （3）恶意脚本（Script） （4）蠕虫（Worm）程序 （5）木马（Trojan）程序 （6）黑客（Hack）程序 （7）破坏性程序（Harm） 42.1 计算机病毒 2按照病毒存在的载体分类（1）文件型病毒以文件形式存在，是目前流行的主要形式。 （2）引导区病毒存放在软盘引导区、硬盘主引导区和引导区。 （3）网络蠕虫病毒 以网络为载体，如一度流行的SQL杀手。 （4）混合类的病毒 病毒分类没有完全清晰的划分，很多病毒为了达到广泛传播的目的，通常采用更多的方式 。 52.1 计算机病毒病毒类型特征危害文件型感染DOS下的COM， EXE文件随着DOS的消失已逐步消失，危害越来越小

3、引导性启动DOS系统时，病毒被触发随着DOS的消失已逐步消失，危害越来越小宏病毒针对Office的一种病毒，由 Office的宏语言编写只感染Office文档，其中以 Word文档为主脚本病毒通过IE浏览器激活用户浏览网页时会感染，清除较容易蠕虫有些采用电子邮件附件的方式发出，有些利用操作系统漏洞进行攻击破坏文件、造成数据丢失，使系统无法正常运行，是目前危害性最大的病毒木马通常是病毒携带的一个附属程序夺取计算机控制权黑客程序一个利用系统漏洞进行入侵的工具通常会被计算机病毒所携带，用以进行破坏计算机病毒分类62.1 计算机病毒 3按照病毒传染的方法分类 （1）入侵型病毒（2）嵌入式病毒（3）外壳

4、类病毒（4）病毒生产机 4按照病毒自身特征分类 （1）伴随型病毒 （2）变型病毒 72.1 计算机病毒 5本书对计算机病毒的分类 需要驻留在一个宿主程序内，不是独立的程序 。可以独立存在的 。图2-1 广义计算机病毒的分类 82.1 计算机病毒2.1.3 计算机病毒的发展趋势 （1）病毒与黑客技术相结合 （2）蠕虫病毒更加泛滥 （3）病毒破坏性更大 （4）制作病毒的方法更简单 （5）病毒传播速度更快，传播渠道更多 （6）病毒的检测与查杀更困难 92.2 计算机病毒防护软件 1个人版病毒防护软件 （1）卡巴斯基因特网安全套装8.0个人版 （2） ESET NOD32 AntiVirus 4.0

5、（3） 360安全卫士 （4） AVG Anti-Virus System 8.0 （5）趋势科技PC-cillin Internet Security 2008 （6）小红伞AntiVir Personal Edition 8.2 102.2 计算机病毒防护软件 2网络版杀毒软件 （1）金山毒霸网络版5.0 （2）江民杀毒软件KV网络版2008 （3）瑞星杀毒软件网络版2008 112.3 部署企业网络防病毒系统 2.3.1 Symantec NAV 10.1企业版概述 Symantec NAV 10.1企业版是Symantec最新推出的防病毒软件，用于企业内部网内的电脑防病毒，与单机版相比

6、，企业版系统增加了网络管理功能，这些网络管理功能大大减轻网络管理员的无谓的工作量。 122.3 部署企业网络防病毒系统2.3.2 Symantec NAV 10.1部署过程 132.3 部署企业网络防病毒系统2.3.2 Symantec NAV 10.1部署过程 1安装Symantec系统中心 2部署Symantec服务器 3安装LiveUpdate管理实用工具 4安装中央隔离区服务器 5安装中央隔离区控制台 6部署Symantec客户端程序 142.3 部署企业网络防病毒系统2.3.3 设置Symantec控制台 1部署LiveUpdate更新 2定义病毒库更新策略 3设置服务器和客户端定时

7、扫描的策略 4设置隔离区选项 152.3 部署企业网络防病毒系统2.3.4 Symantec网络防病毒系统应用 Symantec网络防病毒系统部署完成后，可以在Symantec服务器（例如Aten-01）对整个网络进行病毒库更新、查毒和杀毒。 162.4 蠕虫病毒 蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。 172.4 蠕虫病毒2.4.1 蠕虫病毒的定义和危害性 1蠕虫的定义计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上 182.4 蠕虫病毒比较项目蠕虫病毒计算机病毒（传统

8、）存在形式独立个体寄生复制机制自身的拷贝插入到宿主文件传染机制系统漏洞宿主程序运行（需要运行病毒文件或含病毒文件）攻击目标网络上的其他计算机本地文件触发机制程度自身计算机使用者影响重点网络性能和系统性能文件系统计算机使用者的角色无关传播中的关键环节防治措施为系统打补丁从宿主文件中清除对抗主体系统软件、服务软件提供商和网络管理人员计算机使用者和反病毒的厂商 2蠕虫与一般病毒的区别 192.4 蠕虫病毒 3蠕虫病毒的危害 根据使用者情况可将蠕虫病毒分为两种。一种是对企业用户和局域网而言。这种蠕虫病毒利用系统漏洞，主动进行攻击，可以对整个Internet可造成瘫痪性的后果。它以红色代码、尼姆达蠕虫，

9、以及SQL蠕虫王为代表。另外一种是针对个人用户的。它通过网络（主要是电子邮件、恶意网页形式）迅速传播蠕虫，以爱虫蠕虫、求职信蠕虫为代表。蠕虫病毒是目前危害最大的恶意程序，几乎每次蠕虫发作都会造成巨大的经济损失。 202.4 蠕虫病毒2.5.2 蠕虫病毒的工作模式 蠕虫病毒由两部分组成：一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用系统的缺陷在这些远程机器上建立其引导程序。 212.4 蠕虫病毒2.4.3 蠕虫病毒的基本特征 1主动攻击 2行踪隐蔽 3利

10、用系统、网络应用服务漏洞 4造成网络拥塞 5降低系统性能 6产生安全隐患 7反复性 8蠕虫病毒编写简单 9传播方式多样 222.4 蠕虫病毒2.4.4 蠕虫病毒的预防措施 （1）对用户进行安全培训 （2）及时更新系统安全补丁 （3）部署网络防病毒系统 （4）建立应急响应系统 （5）建立灾难备份系统 （6）把本地的带有破坏性的程序更名 （7）更名或删除脚本程序的系统支持文件 （8）把邮件存放在其他分区 232.5 狙击波蠕虫病毒防护 2.5.1 狙击波蠕虫病毒概述 狙击波蠕虫病毒（Worm.Zotob）是2005年以来最早利用微软漏洞攻击计算机的蠕虫病毒，该病毒最初可能源自欧洲芬兰，之后再欧洲迅

11、速流传。到2005年8月18日美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击，并造成网络瘫痪。但该蠕虫病毒在中国内地的疫情比较缓和，并未出现大规模泛滥。 242.5 狙击波蠕虫病毒防护病毒在系统中成功执行后将进行如下操作。（1）病毒启动后，会将自己复制到系统目录中，病毒文件名为botzor.exe。 （2）在注册表中添加启动项。（3）病毒利用IP扫描的方式在网络中寻找具有漏洞的系统，发现后就会对系统进行攻击。 （4）如果攻击失败，则造成类似冲击波、震荡波引起的重启。（5）修改系统的host文件，添加造成用户不能访问杀毒软件网站的内容，使相关杀毒软件不能升级。 252.5 狙击波蠕虫病毒防护2

12、.5.2 狙击波蠕虫病毒防护步骤狙击波是通过TCP的445端口实施攻击的 ,通过本地安全策略封闭TCP 445端口即可预防狙击波。 步骤：（1）（16）262.6 木马 木马也是目前最主要的网络安全威胁之一，而且因为它是近几年发展起来的，所以目前许多杀病毒软件对木马的查杀能力比较有限，清除木马软件的难度更大。 272.6 木马2.6.1 木马概述 “木马” 是一种基于客户机和服务器（C/S )模式的远程控制程序。 木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染木马，也很难找到并清除它。 一些危害大的木马还有一定的反侦探能力，能够采取各种方式隐藏自身，加密通信，甚至

13、提供了专业级的API供其他攻击者开发附加功能。 282.6 木马2.6.2 木马的组成 1硬件部分 建立木马连接所必需的硬件实体，包括服务器端、控制端和连接服务器端与控制端的网络。 2软件部分 软件部分实现远程控制所必需的程序。 3网络连接 木马系统通过网络连接可在服务器端和控制端之间建立一条木马通信通道 。292.6 木马2.6.3 木马的攻击原理 （从过程上看大致可分为6步 ） 1配置木马 一个设计成熟的木马都有木马配置程序 ，以实现下面两方面内容：（1）木马伪装 （2）信息反馈 2传播木马 （1）传播方式 ：电子邮件 、软件下载 。（2）伪装与隐藏方式 ：8种302.6 木马 3运行木马

14、 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。安装后就可以运行木马了。 4盗取信息 设计成熟的木马都有一个信息反馈机制，即收集一些服务端的软硬件信息，并通过E-mail、IRC、QQ或ICQ的方式告知控制端用户。 5建立连接 一个木马连接的建立必须满足两个条件：服务端已安装了木马程序；控制端、服务端都在线。 6远程控制木马连接建立后，控制端端口和木马端口之间将会出现一条通道，可进行远程控制。 312.6 木马2.6.4 木马的危害 （1）窃取密码 一切以明文的形式或缓存在Cache中的密码都能被木马侦测到 。（2）文件操作 控制端可依靠远程控制对服务端的文件进行删除、新建、修改

15、、上传、下载、运行、更改属性等一系列操作 。（3）修改注册表 控制端可任意修改服务端注册表 。（4）系统操作 这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标、键盘、监视服务端桌面操作、查看服务端进程等，控制端甚至可以随时给服务端发送信息。 322.6 木马2.6.5 木马的识别和清除 1检查木马 （1）端口扫描 （2）查看连接 （3）检查注册表（4）查找文件 2预防和清除木马 （1）木马的预防（2）木马的清除332.7 木马的安装及使用 2.7.1 BO2K概述 在国际上，木马程序中最著名的当属BO2K（Back Orifice），以多功能、代码简洁而著称。BO2K

16、程序主要分成以下三个部分。 bo2k.exe bo2kgui.exe bo2kcfg.exe 342.7 木马的安装及使用2.7.2 BO2K安装与使用步骤 1 BO2K的安装 2服务器端程序的配置 3客户端程序的使用 352.8 木马防范工具的使用 2.8.1 木马克星2009简介 木马克星（Iparmor）是一款合适网络用户的安全软件，既有面对新手的扫描内存和扫描硬盘功能，也有面对网络高手的众多调试查看系统功能。 362.8 木马防范工具的使用木马克星2009主要分两大部分的内容： 1 “功能”部分 （1）扫描内存 （2）扫描硬盘（3）设置（4）更新病毒库 （5）刷新 2 “查看”部分 （

17、1）系统进程 （2）网络状态（3）查看共享（4）启动项目 372.8 木马防范工具的使用2.8.2 木马克星2009应用 1木马克星2009下载与安装 2对木马克星2009工具进行配置 （1）启动木马克星2009主程序（2）设置木马拦截选项（3）设置扫描选项 3扫描木马病毒 382.9 流氓软件 流氓软件是介于病毒和正规软件之间的软件。流氓软件同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。 392.9 流氓软件2.9.1 流氓软件的主要特征 （1）强制安装 （2）难以卸载 （3）浏览器劫持 （4）广告弹出 （5）恶意收集用户信息 （6）恶意卸载 （7）恶意捆绑 （8）其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。 402.9 流氓软件2.9.2 流氓软件的分类 （1）广告软件（Adware） （2）浏览器劫持（Brower Hijack） （3）行为记录软件(Tr