计算机技术- 3章计算机病毒

今天打开U盘项目提出打开文件的扩展名安全问题1提出安全问题2提出有一天，小李在QQ聊天时，收到一位网友发来的信息，如图4-1所示，出于好奇和对网友的信任，小李打开了网友提供的超链接，此时突然弹出一个无法关闭的窗口，提示系统即将在一分钟以后关机，并进入一分钟倒计时状态，如图4-2所示。小李惊呼上当受骗，那么小李的计算机究竟怎么了？我在网上下载一软件，下载完成后出现如下图提示，这是什么类型描述一的病毒？网络安全技术安全问题3提出安全问题1分析：文件夹图标类病毒是一类恶意病毒，它会将所有根目录下和桌面上的文件夹全部隐藏，并将自己的副本命名为文件夹的名字。由于病毒的图标就是文件夹图标，如果没有显示扩展名的话很容易反复感染病毒。并且由于病毒的机理，会在硬盘上产生大量的病毒副本，即使副本被清理掉了，恢复隐藏的文件夹也是一件不容易的事情。1.开始--运行--gpedit.msc--用户配置--管理模板--系统--关闭自动播放--启用--关闭所有驱动器--确定2.重新启动电脑,关闭自动播放的功能将奏效!安全问题2分析：冲击波(Worm.Blaster)病毒小李的计算机中了冲击波(Worm.Blaster)病毒。2002年8月12日，冲击波病毒导致全球范围内数以亿计的计算机中毒，所带来的直接经济损失达数十亿美金。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows2000或XP的计算机，找到后就利用RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重新启动、甚至导致系统崩溃。另外，该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。安全问题3分析：木马病毒木马全称“特洛伊木马”，英文名称为TrojanHorse，据说这个名称来源于希腊神话《木马屠城记》。与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。能力CAPACITY要求了解什么是计算机病毒及其发展历程。理解计算机病毒的特征。了解计算机病毒的分类。掌握典型计算机病毒的基本原理和查杀方法。病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势一、计算机病毒的定义1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒：Virus病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势二、计算机病毒的发展史01OPTION02OPTION03OPTION04OPTION计算机病毒的产生的思想基础和病毒发展简介实验室中产生——病毒的祖先（磁芯大战）计算机病毒的出现（1983年）我国计算机病毒的出现（1989年）二、计算机病毒的发展史病毒的产生原因（4）出于政治、战争的需要（3）出于某种报复目的或恶作剧而编写病毒（1）编制人员出于一种炫耀和显示自己能力的目的（2）某些软件作者出于版权保护的目的而编制二、计算机病毒的发展史计算机病毒的发展历程1.DOS引导阶段3.伴随阶段5.生成器、变体机阶段7.视窗阶段9.邮件病毒阶段8.宏病毒阶段6.网络、蠕虫阶段4.多形阶段2.DOS可执行阶段10.手持移动设备病毒阶段时

间名

称事

件1983.11.10

弗里德·科恩以测试计算机安全为目的编写首个计算机病毒1986Brain巴基斯坦的两兄弟为了防止自己辛苦编写的DOS软件被盗版制作的软盘引导病毒1987.10黑色星期五病毒第一次大规模爆发1988.11蠕虫病毒罗伯特·莫里斯写的第一个蠕虫病毒

1990.14096发现首例隐蔽型病毒，破坏数据1991.4米开朗基罗第一个格式化硬盘的开机型病毒1991GPI首例网络病毒，突破了NOVELL公司的Netware网络安全机制1995VCL（VirusCreationLaboratory）病毒生产工具在美国传播1996宏病毒传播方式增加（邮件等）1998CIH第一个破坏硬件的病毒，面向Windows的VxD技术编制的1999Mellisa、happy99邮件病毒2000红色代码黑客型病毒2000.6VBS.Timofonica世界上第一个手机病毒2001Nimda集中了当时所有蠕虫传播途径，成为当时破坏性非常大的病毒2002SQLSPIDA.B第一个攻击SQL服务器的病毒二、计算机病毒的发展史典型的计算机病毒事件二、计算机病毒的发展史典型的计算机病毒事件时

间名

称事

件2003SQL_slammer利用SQLServer数据库的漏洞2003.8冲击波通过微软的RPC缓冲区溢出漏洞进行传播的蠕虫病毒2004.5震荡波类似于“冲击波”病毒2005QQMyRun通过QQ传播的蠕虫病毒2006熊猫烧香破坏多种文件的蠕虫病毒2007AV终结者专门破坏杀毒软件的病毒2008.3磁碟机病毒近几年来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”2009机器狗该病毒变种繁多，多表现为杀毒软件无法正常运行2010广告木马2010年通过篡改网页的广告木马最流行2011鬼影病毒特点基本为改写硬盘主引导记录（MBR）释放驱动程序替换系统文件，干扰或阻止杀毒软件运行，恶意修改主页，下载多种盗号木马2012鬼影病毒变种出现数个变种，包括鬼影5、鬼影6、鬼影6变种等2014苹果大盗病毒该病毒爆发在“越狱”的apple手机上，目的盗取AppleID和密码2015Xcodeghost病毒感染Apple手机，主要通过非官方下载的Xcode传播，使编译出的App被注入第三方的代码，向指定网站上传用户数据二、计算机病毒的发展史计算机病毒的危害1、计算机病毒造成巨大的社会经济损失2、影响政府职能部门正常工作的开展3、计算机病毒被赋予越来越多的政治意义4、利用计算机病毒犯罪现象越来越严重病毒发展史计算机病毒的定义计算机病毒命名与特点病毒分类病毒的防护计算机病毒的发展趋势病毒的命名方式Worm.Sasser.c<病毒前缀>.<病毒名>.<病毒后缀>病毒前缀:表示病毒的类型木马(Trojan) 蠕虫病毒(Worm，net-worm)宏病毒(Macro:excel,word,powerpoint)后门病毒(Backdoor)脚本病毒(script:JV,VB)系统病毒(win32,PE,WIN95,W32)

病毒后缀:一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示举个例卡巴斯基中国地区每周病毒报告三、计算机病毒的特点计算机病毒的特点传染性破坏性潜伏性和可触发性非授权性隐藏性不可预见性4.3.4宏病毒和蠕虫病毒1.宏病毒宏(Macro)是Microsoft公司为其Office软件包设计的一项特殊功能，Microsoft公司设计它的目的是让人们在使用Office软件进行工作时避免一再地重复相同的动作。利用简单的语法，把常用的动作写成宏，在工作时，可以直接利用事先编写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作，让用户文档中的一些任务自动化。使用Word软件时，通用模板(Normal.dot)里面就包含了基本的宏，因此当使用该模板时，Word为用户设定了很多基本的格式。宏病毒是用VisualBasic语言编写的，这些宏病毒不是为了方便人们的工作而设计的，而是用来对系统进行破坏的。当含有这些宏病毒的文档被打开时，里面的宏病毒就会被激活，并能通过DOC文档及DOT模板进行自我复制及传播。以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了“数据文件不会传播病毒”的错误认识。宏病毒会感染Office的文档及其模板文件。Word可以识别的自动宏宏名运行条件AutoExec启动Word时AutoNew每次新建文档时AutoOpen每次打开已有文档时AutoClose每次关闭文档时AutoExit退出word时以上宏能获得文档（模板）操作控制权。有些宏病毒还通过FileNew，FileOpen，FileSave，FileSaveAs，FileExit等宏控制文件的操作。宏病毒演示---学生实训在虚拟机中实现(物理）在WORD中建一个AUTOOPEN宏病毒:工具----宏-----录制新宏-----宏名(AUTOOPEN)-----加到NORMAL模板中-----开始建制宏----做些破坏性的操作------打开宏进行编辑----写个死循环的程序(1000次).i=100whilei>=1----WendAPI制作一个简单的宏病毒(学生课后项目）①步骤1：在Word文档中，选择“插入”→“对象”命令，打开“对象”对话框，如图4-24所示。步骤2：在“新建”选项卡中，选择“包”选项后，单击“确定”按钮，打开“对象包装程序”窗口，如图4-25所示，选择该窗口中的“编辑”→“命令行”命令，在打开的“命令行”对话框中输入“C:\windows\system32\formatD:/q”(快速格式化D盘），单击“确定”按钮。命令行：C:\windows\system32\cmd.exe(修改为一个木马程序）步骤3：然后在“对象包装程序”窗口中单击“插入图标”按钮，打开“更改图标”对话框，如图4-26所示，为该命令行选择一个有诱惑力的图标，然后关闭“对象包装程序”窗口。步骤4：此时会在文档的相关位置出现一个和相关命令关联的图标，还可以在图标旁边加注一些鼓动性的文字，如图4-27所示，尽量使浏览者看到后想用鼠标单击，这样一个简单的宏病毒就制作成功了。②宏病毒的防范步骤1：使用杀毒软件查杀Office软件的安装目录和相关Office文档。步骤2：在Word2003软件中，选择“工具”→“宏”→“安全性”命令，打开“安全性”对话框，在“安全级”选项卡中，选中“高”单选按钮，如图4-29所示，表示只允许运行可靠来源签署的宏，未经签署的宏会自动取消。宏病毒防范措施①提高宏的安全级别。目前，高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别。②删除不知来路的宏定义。③将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。如果怀疑外来文件含有宏病毒，可以使用写字板软件打开该文件，然后将文本粘贴到Word文档中，转换后的文档是不会含有宏病毒的。用专杀工具病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势四、病毒分类依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：根据病毒的传染途径03根据病毒依附的操作系统01根据病毒的传播媒介02四、病毒分类病毒依附的操作系统DOS01MicrosoftWindows02嵌入式系统（工业系统、手机操作系统）04Unix/Linux03四、病毒分类病毒的传播媒介存储介质网络1、网络下载2、网页挂马3、局域网(Funlove)4、远程攻击(Blaster)5、邮件(SoBig)四、病毒分类病毒的传播媒介上网计算机光盘、软盘网络U盘、移动硬盘等移动存储设备其他途径Web浏览器下载软件即时通信软件其他网络软件IE火狐傲游Opera迅雷快车BT下载电驴QQMSN淘宝旺旺新浪UC电子邮件网上银行网络游戏其他四、病毒分类病毒的传播和感染对象感染引导区感染文件可执行文件OFFICE宏网页脚本（Java小程序和ActiveX控件）其他恶意程序破坏程序网络木马网络蠕虫病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势CIH病毒五、计算机病毒的发展趋势病毒演示CIH将硬盘

FORMAT!CIH将BIOS给毁了

!五、计算机病毒的发展趋势病毒演示—彩带病毒五、计算机病毒的发展趋势病毒演示—女鬼病毒五、计算机病毒的发展趋势病毒演示—千年老妖病毒演示—圣诞节病毒五、计算机病毒的发展趋势病毒演示—白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！五、计算机病毒的发展趋势病毒演示—红色代码198.137.240.91()五、计算机病毒的发展趋势病毒发作现象AIDS幻彩救护车Happy99KetapangKmpsd五、计算机病毒的发展趋势通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。蠕虫病毒蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机五、计算机病毒的发展趋势蠕虫病毒的特点传染方式多一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。传播速度快清除难度大破坏性强五、计算机病毒的发展趋势实例：2003蠕虫王“熊猫烧香”病毒实例2006年底，“熊猫烧香”病毒在我国Internet上大规模爆发，由于该病毒传播手段极为全面，并且变种频繁更新，让用户和杀毒厂商防不胜防，被列为2006年10大病毒之首。“熊猫烧香”病毒是一种蠕虫病毒(尼姆达)的变种，而且是经过多次变种而来的。由于中毒计算机的可执行文件会出现“熊猫烧香”图案，所以被称为“熊猫烧香”病毒。“熊猫烧香”病毒是用Delphi语言编写的，这是一个有黑客性质感染型的蠕虫病毒(即：蠕虫＋木马)。2007年2月，“熊猫烧香”病毒设计者李俊归案，交出杀病毒软件。2007年9月，湖北省仙桃市法院一审以破坏计算机信息系统罪判处李俊有期徒刑4年。2013年6月13日晚间消息，“熊猫烧香”病毒的2名制造者在丽水“出山”，设立网络赌场，敛财数百万元。张顺、李俊被法院以开设赌场罪分别判处有期徒刑五年和三年，并分别处罚金20万元和8万元。①感染“熊猫烧香”病毒的症状关闭众多杀毒软件和安全工具。感染所有EXE、SCR、PIF、COM文件，并更改图标为烧香熊猫，如图4-4所示。循环遍历磁盘，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE等程序。在硬盘各个分区中生成文件autorun.inf和setup.exe。感染所有.htm、.html、.asp、.php、.jsp、.aspx文件，添加木马恶意代码，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。自动删除*.gho文件，使用户的系统备份文件丢失。计算机会出现蓝屏、频繁重新启动。②“熊猫烧香”病毒的传播途径。通过U盘和移动硬盘进行传播。通过局域网共享文件夹、系统弱口令等传播，当病毒发现能成功连接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行连接。(猜测被攻击端的密码)当成功的连接上以后，将自己复制过去并利用计划任务启动激活病毒。通过网页传播。③“熊猫烧香”病毒所造成的破坏。关闭众多杀毒软件。每隔1秒寻找桌面窗口，并关闭窗口标题中含有以下字符的程序：QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、超级兔子、优化大师、木马克星、注册表编辑器、卡巴斯基反病毒、SymantecAntiVirus、Duba……修改注册表。修改注册表，使得病毒能自启动、删除安全软件在注册表中的键值、不显示隐藏文件、删除相关安全服务等。下载病毒文件。每隔10秒，下载病毒制作者指定的文件，并用命令行检查系统中是否存在共享，如果共享存在就运行netshare命令关闭admin$共享。572008年新病毒的实例—“磁碟机”病毒58“磁碟机”病毒现象进入安全模式时对局域网发起ARP攻击，链接到病毒网站飞客蠕虫(HackExploitWin32MS08-067)是一个利用微软MS08-067漏洞发起攻击的蠕虫病毒。该病毒会对随机生成的IP地址发起攻击，攻击成功后会下载一个木马病毒，通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件，使用户无法正常访问安全厂商网站及服务器。

五、计算机病毒的发展趋势计算机病毒程序一般构成计算机病毒程序通常由三个单元和一个标志构成：引导模块、感染模块、破坏表现模块和感染标志。感染模块感染标志破坏模块引导模块五、计算机病毒的发展趋势计算机病毒引起的异常情况123456异常情况计算机系统运行速度明显降低系统容易死机文件改变、破坏磁盘空间迅速减少内存不足系统异常频繁重启动7频繁产生错误信息五、计算机病毒的发展趋势网络化病毒的特点123456网络化：传播速度快、爆发速度快、面广隐蔽化：具有欺骗性（加密）多平台、多种语言新方式：与黑客、特洛伊木马相结合多途径攻击反病毒软件7变化快（变种）8清除难度大9破坏性强病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势六、病毒的防护反病毒技术简述计算机病毒诊断技术

｝启发式扫描特征代码法校验和法行为监测法软件模拟法01OPTION02OPTION03OPTION04OPTION六、病毒的防护1、采集已知病毒样本2、打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码（唯一性）。特征代码法优点：

检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做杀毒处理。缺点：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。

文件特征代码内存特征代码六、病毒的防护将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。针对多态病毒特点：能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类型和名称。误报率高校验和法六、病毒的防护利用病毒的特有行为特征性来监测病毒的方法行为特征如下：

A、占有内存特殊位置

B、改DOS系统为数据区的内存总量

C、对COM、EXE文件做写入动作

D、