计算机病毒木马和间谍软件与防治专家讲座

第6章计算机病毒、木马

和间谍软件与防治计算机病毒木马和间谍软件与防治专家讲座第1页网络安全6.1计算机病毒概述6.1.1计算机病毒概念

计算机病毒（virus）传统定义是指人为编制或在计算机程序中插入破坏计算机功效或者毁坏数据、影响计算机使用、并能自我复制一组计算机指令或者程序代码。计算机病毒木马和间谍软件与防治专家讲座第2页网络安全6.1.2计算机病毒特征1．非授权可执行性

2．隐蔽性3．传染性4．潜伏性5．破坏性6．可触发性计算机病毒木马和间谍软件与防治专家讲座第3页网络安全6.1.3计算机病毒分类1．文件传染源病毒2．引导扇区病毒3．主引导统计病毒4．复合型病毒5．宏病毒计算机病毒木马和间谍软件与防治专家讲座第4页网络安全6.1.4病毒、蠕虫和木马1．病毒特点

计算机病毒是编写一段程序，它能够在未经用户许可，甚至在用户不知情情况下改变计算机运行方式。病毒必须满足两个条件：必须能自行执行。必须能自我复制。与蠕虫相比，病毒可破坏计算机硬件、软件和数据。计算机病毒木马和间谍软件与防治专家讲座第5页网络安全2．蠕虫特点

蠕虫属于计算机病毒子类，所以也称为“蠕虫病毒”。通常，蠕虫传输无需人为干预，并可经过网络进行自我复制，在复制过程中可能有改动。与病毒相比，蠕虫可消耗内存或网络带宽，并造成计算机停顿响应。与病毒类似，蠕虫也在计算机与计算机之间自我复制，但蠕虫可自动完成复制过程，因为它接管了计算机中传输文件或信息功效。计算机病毒木马和间谍软件与防治专家讲座第6页网络安全3．木马特点

木马与病毒重大区分是木马并不像病毒那样复制本身。木马包含能够在触发时造成数据丢失甚至被窃恶意代码。要使木马传输，必须在计算机上有效地启用这些程序，比如打开电子邮件附件等。当前，木马主要经过两种路径进行传输：电子邮件和文件下载。

计算机病毒木马和间谍软件与防治专家讲座第7页网络安全6.1.5计算机病毒演变过程

1986年，媒体报道了攻击MicrosoftMS-DOS个人计算机第一批病毒，人们普遍认为Brain病毒是这些计算机病毒中第一个病毒。

1988年出现了第一个经过Internet传输蠕虫病毒MorrisWorm，它曾造成Internet通信速度大大地降低。计算机病毒木马和间谍软件与防治专家讲座第8页网络安全

从1990年开始，Internet应用为计算机病毒编写者提供了一个可实现快速交流平台，一些经典计算机病毒使是大量病毒编写者“集体智慧结晶”。同年，开发出了第一个多态病毒（通常称为Chameleon或Casper）。接着在1992年，出现了第一个多态病毒引擎和病毒编写工具包。从此开始，病毒就变得越来越复杂。计算机病毒木马和间谍软件与防治专家讲座第9页网络安全6.2蠕虫去除和防治方法6.2.1蠕虫特征

蠕虫（Worm）是经过分布式网络来扩散特定信息，进而造成正常网络服务遭到拒绝并发生死锁程序。在计算机网络环境中，蠕虫含有一些新特征：1．传输速度快2．去除难度大3．破坏性强计算机病毒木马和间谍软件与防治专家讲座第10页网络安全6.2.2蠕虫分类和主要感染对象

1．蠕虫分类

依据蠕虫对系统进行破坏过程，能够将蠕虫分为2类：利用系统漏洞进行攻击通过电子邮件及恶意网页形式进行2．蠕虫感染对象

蠕虫普通不依赖于某一个文件，而是经过IP网络进行本身复制。

计算机病毒木马和间谍软件与防治专家讲座第11页网络安全6.2.3系统感染蠕虫后表现

当蠕虫感染计算机系统后，表现为：系统运行速度和上网速度均变慢，假如网络中有防火墙，防火墙会产生报警，等等。1．利用系统漏洞进行破坏蠕虫这类蠕虫主要有红色代码、尼姆达、求职信等，它们利用Windows操作系统中IE浏览器漏洞（IframeExeccomand），当经过Web方式接收邮件时，使得感染了“尼姆达”病毒邮件，即使用户不打开它附件，该类病毒也能够被激活，进而对系统进行破坏。计算机病毒木马和间谍软件与防治专家讲座第12页网络安全

如年8月11日开始出现冲击波病毒（如图6-1所表示）和年5月1日出现“震荡波（Worm.Sasser）”病毒（如图6-2所表示）都属于蠕虫。

图6-1Windows操作系统感染冲击波后显示关机界面图6-2Windows操作系统感染震荡波后显示关机界面计算机病毒木马和间谍软件与防治专家讲座第13页网络安全2．经过网页进行触发蠕虫

蠕虫编写技术与传统病毒有所不一样，许多蠕虫是利用当前最新编程语言与编程技术来编写，而且同一蠕虫程序易于修改，从而产生新变种，以逃避反病毒软件搜索。现在大量蠕虫用Java、ActiveX、VBScript等技术，多潜伏在HTML页面文件里，当打开对应网页时则自动触发。3．蠕虫与黑客技术相结合

现在许多蠕虫不但仅是单独对系统破坏，而是与黑客技术相结合，为黑客入侵提供必要条件。计算机病毒木马和间谍软件与防治专家讲座第14页网络安全6.2.4试验操作--蠕虫防治方法

1．更新系统补丁

WindowsUpdate分为在线更新和自动更新两种方法。在线更新方式如图6-3所表示。图6-3WindowsUpdate更新列表计算机病毒木马和间谍软件与防治专家讲座第15页网络安全

除自动更新之外，系统还提供了“下载更新”和“下载通知”两个功效。如图6-4所表示，假如选择了“下载更新，不过由我来决定什么时间来安装”一项，系统会随时到WindowsUpdate网站下载被丁程序，之后会提醒用户是否要安装该补丁程序；当选择了“有可用下载时通知我，不过不要自动下载或安装更新”一项时，假如WindowsUpdate网站有新补丁公布，系统会提醒用户来下载并安装该补丁程序，如图6-5所表示。用户能够选择“快速安装”来安装全部补丁程序，也能够选择“自定义安装”来选择安装部分补丁程序。计算机病毒木马和间谍软件与防治专家讲座第16页网络安全

图6-4windowsupdate自动更新配置对话框图6-5“下载通知”操作对话框计算机病毒木马和间谍软件与防治专家讲座第17页网络安全2．加强对系统账户名称及密码管理

现在一些蠕虫已经具备了黑客程序一些功效，有些蠕虫会经过暴力破解方法来取得系统管理员账户名称和密码，从而以系统管理员人身份来入侵系统，并对其进行破坏。为此，我们必须加强对系统管理员账户及密码管理。

3．取消共享连接

文件和文件夹共享及IPC（InternetProcessConnection）连接是蠕虫常使用入侵路径。所以，为了预防蠕虫入侵，提议关闭不需要共享文件或文件夹以及IPC。计算机病毒木马和间谍软件与防治专家讲座第18页网络安全6.3脚本病毒去除和防治方法

脚本（Script）是使用一个特定描述性语言，依据一定格式编写可执行文件，又称作宏或批处理文件。脚本通常能够由应用程序暂时调用并执行。因为脚本不但能够减小网页规模和提升网页浏览速度，而且能够丰富网页表现（如动画、声音等），所以各类脚本当前被广泛地应用于网页设计中。也正因为脚本这些特点，所以往往被一些别有专心人所利用。计算机病毒木马和间谍软件与防治专家讲座第19页网络安全6.3.1脚本特征

脚本语言能够嵌入到HTML文件中，同时含有解释执行功效。依据脚本语言工作原理，能够将其分为两大类：服务器端脚本和客户端脚本。其中：服务器端脚本。是指由Web服务器负责解释执行脚本，客户端浏览器只需要显示服务器端执行结果。ASP、PHP和JSP是惯用服务器端脚本语言。客户端脚本。是指由浏览器负责解释执行脚本。常见客户端脚本语言有VisualBasicScript（简称为VBS）语言和JavaScript（简称为JS）语言。计算机病毒木马和间谍软件与防治专家讲座第20页网络安全6.3.2脚本病毒特征

总来说，脚本病毒含有以下特点编写简单。破坏力大。

感染力强。病毒源代码轻易被获取，且变种较多。坑骗性强。计算机病毒木马和间谍软件与防治专家讲座第21页网络安全6.3.3试验操作--脚本病毒防治方法计算机病毒木马和间谍软件与防治专家讲座第22页网络安全6.4木马去除和防治方法

特洛伊木马（简称为“木马”，英文为trojan）因为不感染其它文件，也不破坏计算机系统，同时也不进行自我复制，所以木马不含有传统计算机病毒特征。因为当前市面上杀病毒软件普通都直接支持对木马查杀，所以大家习惯于将木马称为“木马病毒”。木马主要用来作为远程控制、窃取密码工具，它是一个含有内外连接功效后门程序。计算机病毒木马和间谍软件与防治专家讲座第23页网络安全6.4.1木马特征

普通木马程序包含客户端和服务器端两个程序，其中客户端用于攻击者远程控制植入木马计算机（即服务器端），而服务器端即是植入木马程序远程计算机。当木马程序或带有木马其它程序执行后，木马首先会在系统中潜伏下来，并修改系统配置参数，每次开启系统时都能够实现木马程序自动加载。计算机病毒木马和间谍软件与防治专家讲座第24页网络安全

如图6-22所表示，运行木马客户端和服务器端在工作方式上属于客户机/服务器模式（Client/Server，C/S），其中，客户端在当地主机执行，用来控制服务器端。而服务器端则在远程主机上执行，一旦执行成功该主机就中了木马，就能够成为一台服务器，能够被控制者进行远程管理。

图6-22木马系统组成计算机病毒木马和间谍软件与防治专家讲座第25页网络安全

木马通常采取如图6-23所表示方式实施攻击：配置木马（伪装木马）→传输木马（经过文件下载或电子邮件等方式）→运行木马（自动安装并运行）→信息泄露→建立连接→远程控制。计算机病毒木马和间谍软件与防治专家讲座第26页网络安全图6-23木马运行过程计算机病毒木马和间谍软件与防治专家讲座第27页网络安全6.4.2木马隐藏方式1．在“任务栏”里隐藏

这是木马最常采取隐藏方式。为此，假如用户在Windows“任务栏”里发觉莫名其妙图标，应怀疑可能是木马程序在运行。但现在许多木马程序已实现了在任务栏中隐藏，当木马运行时已不会在任务栏中显示其程序图标。2．在“任务管理器”里隐藏

在任务栏空白位置单击鼠标右键，在出现快捷菜单中选择“任务管理器”，打开其“进程”列表，就能够查看正在运行进程。计算机病毒木马和间谍软件与防治专家讲座第28页网络安全3．隐藏通信方式

隐藏通信也是木马经常采取伎俩之一。这种连接普通有直接连接和间接连接两种方式，其中“直接连接”是指攻击者经过客户端直接接人植有木马主机（服务器端）；而“间接连接”即是如经过电子邮件、文件下载等方式，木马把侵入主机敏感信息送给攻击者。

4．隐藏加载方式

木马在植入主机后假如不采取一定方式运行也就等于在用户计算机上拷入了一个无用文件，为此在木马值入主机后需要司机运行。计算机病毒木马和间谍软件与防治专家讲座第29页网络安全5．经过修改系统配置文件来隐藏

木马能够经过修改VXD（虚拟设备驱动程序）或DLL（动态链接库）文件来加载木马。6．含有多重备份功能

现在许多木马程序已实现了模块化，其中一些功效模块已不再由单一文件组成，而是含有多重备份，能够相互恢复。当用户删除了其中一个模块文件时，其它备份文件就会马上运行。这类木马极难防治。计算机病毒木马和间谍软件与防治专家讲座第30页网络安全6.4.3木马种类1．远程控制型木马

远程控制型木马普通集成了其它木马和远程控制软件功效，实现对远程主机入侵和控制，包含访问系统文件，截取主机用户私人信息（包含系统帐号、银行账号等）。

2．密码发送型木马

密码发送型木马是专门为了窃取他人计算机上密码而编写，木马一旦被执行，就会自动搜索内存、Cache、暂时文件夹以及其它各种包含有密码文件。计算机病毒木马和间谍软件与防治专家讲座第31页网络安全3．键盘统计型木马

键盘统计型木马设计目标主要是用于统计用户键盘敲击，而且在日志文件（log文件）中查找密码。该类木马分别统计用户在线和离线状态下敲击键盘时按键信息。4．破坏型木马

破坏型木马功效比较单一，即破坏已植入木马计算机上文件系统，轻则使主要数据被删除，重则使系统瓦解。计算机病毒木马和间谍软件与防治专家讲座第32页网络安全5．DoS攻击型木马

伴随DoS（DenialofService，拒绝服务）和DDoS（DistributedDenialofService，分布式拒绝服务）攻击越来越广泛应用，与之相伴DoS攻击型木马也越来越流行。当黑客入侵了一台主机并植入了DoS攻击型木马，那么这台主机就成为黑客进行DoS攻击最得力助手。黑客控制主机越多，发起DoS攻击也就越含有破坏性。6．代理型木马

代理型木马被植入主机后，像DoS攻击型木马一样，该主机本身不会遭到破坏。计算机病毒木马和间谍软件与防治专家讲座第33页网络安全7．FTP木马

FTP木马使用了网上广泛使用FTP功效，经过FTP使用TCP21端口来实现主机之间连接。现在新型FTP木马还加上了密码功效，这么只有攻击者本人才知道正确密码，从而进入对方计算机。8．程序杀手木马

程序杀手木马功效就是关闭对方计算机上运行一些程序（多为专门防病毒或防木马程序），让其它木马安全进入，实现对主机攻击。计算机病毒木马和间谍软件与防治专家讲座第34页网络安全9．反弹端口型木马反弹端口型木马主要是针对防火墙而设计。反弹端口型木马服务端使用主动端口，客户端使用被动端口。木马定时监测控制端存在，发觉控制端能够连接后便马上弹出端口来主动连接控制端打开主动端口。多数反弹端口型木马被动端口设置为80端口以避开用户使用端口扫描软件发觉木马存在。计算机病毒木马和间谍软件与防治专家讲座第35页网络安全6.4.4系统中值入木马后症状1．随意弹出窗口即使用户计算机已经连接在网上，但即没有打开任何浏览器。这时，假如系统突然会弹出一个上网窗口，并打开某一个网站，这时有可能运行了木马。

2．系统配置参数发生改变有时候，用户使用Windows操作系统配置参数（如屏幕保护、时间和日期显示、声音控制、鼠标形状及灵敏度、CD-ROM自动运行程序等）莫名其妙地被自动更改。计算机病毒木马和间谍软件与防治专家讲座第36页网络安全3．频繁地读写硬盘在计算机上并未进行任何操作时，假如系统频繁地读写硬盘（硬盘指示灯会不停地闪烁），有时软盘驱动器也会经常自己读盘，这时可能有木马在运行。计算机病毒木马和间谍软件与防治专家讲座第37页网络安全6.4.5木马自运行方式1．在win.ini中开启

Windows操作系统win.ini文件，其中[windows]字段中有“load=”和“run=”两个开启命令，系统默认情况下这两条后面是空白。2．在system.ini中开启

在Windows安装目录下有一个系统配置文件system.ini，在[386Enh]字段下“driver=路径\程序名”普通是木马经常加载地方。再有，在system.ini中[mic]、[drivers]、[drivers32]这3个字段主要是Windows操作系统来加载驱动程序，这也为添加木马程序提供了良好场所。计算机病毒木马和间谍软件与防治专家讲座第38页网络安全3．在autoexec.bat和config.sys中开启

在硬盘第一个引导分区（普通为C：分区）下存放着autoexec.bat和config.sys两个系统批处理和配置文件，这两个文件也是木马经常实现自运行地方。4．在Windows开启组中开启

假如用户要在Windows操作系统开启时自动开启某一个程序，就能够将其添加到“开始→程序→开启”组中，所以Windows开启组也成为木马经常选择驻留之地。

计算机病毒木马和间谍软件与防治专家讲座第39页网络安全5．修改文件关联木马本身无法方便地实现自开启，就需要借助其它正当程序来完成，将这一过程称为文件关联。6．捆绑文件当控制端和服务端已经过木马建立了连接后，控制端经过工具软件将木马文件和某一应用程序捆绑在一起后上传到服务端，并覆盖服务端同名文件，这么当已运行木马被发觉并删除后，只要运行了捆绑有木马应用程序，木马就会再次运行。计算机病毒木马和间谍软件与防治专家讲座第40页网络安全6.4.6试验操作--木马防治方法1．预防以电子邮件方式植入木马

木马在电子邮件中位置普通有两种：附件和正文。早期电子邮件正文多使用文本，很显然在文本中是无法隐藏木马程序，所以木马只能藏匿在电子邮件附件中，而且还采取双后缀名方式。为预防这类木马，提议用户不要随意打开来路不名电子邮件附件。假如确实要打开不确定来历电子邮件附件时，提议先将其下载到指定文件夹中，用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再打开。计算机病毒木马和间谍软件与防治专家讲座第41页网络安全

2．预防在下载文件时植入木马为了预防经过在网上下载文件时植入木马，提议服务器上安装全部软件不要使用从网上下载，对于客户机上使用软件假如确实需要从网上下载软件时，建立先将软件下载后某一个指定文件夹中，用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再安装使用。计算机病毒木马和间谍软件与防治专家讲座第42页网络安全3．预防在浏览网页时植入木马

因为IE浏览器本身存在缺点，许多程序能够在用户不知情情况下安装在系统中，这也为木马值入提供了一条路径。加强IE安全性，首先是使用最新版本IE软件，因为新版本IE修改了老版本许多不足，尤其在安全性方面得到了提升。同时，在使用任何一个IE时，都要及时升级ServicesPack补丁程序，以修补IE存在漏洞；另首先是设置IE设置属性

计算机病毒木马和间谍软件与防治专家讲座第43页网络安全6.5间谍软件及防治方法6.5.1间谍软件概念

间谍软件（Spyware）是一个能够在计算机用户不知情或没有感觉存在安全隐患情况下，在用户计算机上安装“后门程序”软件。间谍软件普通含有以下三大特征：·能够在用户不知情情况下，将用户个人计算机识别信息发送到互连网某处，这些信息中也可能包含一些敏感个人隐私信息。·没有病毒传染性，同时不像病毒隐藏那么深，更不会感染文件。·能监视用户在网络上进行一些操作、活动等，甚至访问了哪些网站都能监视到。计算机病毒木马和间谍软件与防治专家讲座第44页网络安全6.5.2间谍软件入侵方式

间谍软件经过以下几个方式入侵用户计算机系统。·捆绑。间谍软件或广告软件与另一个程序捆绑在一起，用于从表面上看到是熟悉系统或应用程