《网络安全技术资料》第8章 计算机病毒防范

第第 8章章 计算机病毒防范计算机病毒防范上海教育高地建设项目上海教育高地建设项目高等院校规划教材高等院校规划教材（第（第 2版）版）上海市精品课程上海市精品课程网络安全技术网络安全技术目目 录录8.2 计算机病毒的构成与传播28.3 计算机病毒的检测清除与防范38.4 恶意软件的危害与清除 48.1 计算机病毒概述18.5 360安全卫士及杀毒软件应用实验 58.6 本章小结6目 录教学目标 了解计算机病毒发展的历史和趋势 理解 病毒的定 义 、分 类 、特征、 结 构、 传播方式和病毒 产 生 掌握 病毒 检测 、清除、防 护 、病毒和防病毒的 发 展 趋势 掌握 恶 意 软 件概念、分 类 、防 护 和清除 掌握 360安全 卫 士及 杀 毒 软 件 应 用 实验重点重点重点重点8.1 计算机病毒概述n 8.1.1 计算机病毒的概念及发展 n 1. 计算机病毒的概念计 算机病毒 （ Computer Virus）在 中华人民共和国计算机信息系统安全保护条例 中被明确 定义为 ：是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 海湾战争中用网络病毒攻击取得重大战果 。据报道， 1991年的海湾战争是美军主导参加的一场大规模局部战争。美国在伊拉克从第三方国家购买的打印机里植入可远程控制的网络病毒，在开战前，使伊拉克整个计算机网络管理的雷达预警系统全部瘫痪，并首次将大量 高科技武器 投入实战，取得了压倒性的制空、制电磁优势，也是世界首次公开在实战中用网络病毒攻击取得的重大战果，强化了美军在该地区的军事存在，同时为 2003年的伊拉克战争奠定基础。 案例 8-1n 2. 计算机病毒的发展n 计算机病毒发展 主要经历了 五个重要的阶段 。计算机病毒的概念起源 。在第一部商用计算机推出前，计算机先驱冯 诺依曼（ John Von Neumann）在一篇论文中，曾初步概述了病毒程序的概念。美国著名的 AT 二、通过移动存储设备传播，其中 U盘和移动硬盘是使用最广泛、移 动最频繁的存储介质，也成了病毒寄生的 “ 温床 ” ； 三、通过网络进行传播，现在已成为病毒的第一传播途径； 四、通过点对点通信系统和无线通道传播。8.2 计算机病毒的构成与传播n 2计算机病毒的传播过程n 病毒 被动传播 的 过程 是随着复制磁盘或文件工作进行的；n 病毒 主动传播 的 过程 是在系统运行时，病毒通过病毒载体，由系统外存进入内存，并监视系统运行，在病毒引导模块将其传播模块驻留内存过程中，还将修改系统中数据向量入口地址。n 3系统型病毒传播机理n 系统型病毒 利用在启动引导时窃取 int 13H控制权，在整个计算机运行过程中实时监视磁盘操作，当读写磁盘的时读出磁盘引导区，判断磁盘是否中毒，如未中毒就按病毒的寄生方式将原引导区改写到磁盘的另一位置，而将病毒写入第一个扇区，完成对磁盘的传播。int13H或 int21H,可使 数据向量指向病毒程序的传播模块。当系统执行磁盘读写操作或功能调用时，该模块被激活，判断传播条件满足后，利用系统 int 13H读写磁盘中断将病毒传播给被读写的磁盘或被加载的程序，再转移到原数据服务程序执行原有操作。案例 8-58.2 计算机病毒的构成与传播n 4文件型病毒传播机理病毒执行被传播的可执行文件后进驻内存，并检测系统的运行，当发现被传播目标时，先判断是否中毒；当条件满足，将病毒链接到可执行文件的首部或尾部，并存入磁盘；传播后继续监视系统运行，并试图寻找新目标。主要传播途径 有以下 3种。1）加载执行文件 2）列目录过程 3）新建文件过程n 8.2.3 计算病毒的触发与生存n 1计算机病机毒的触发机制病毒的 基本特性 是感染、潜伏、可触发、破坏。感染使病毒传播，破坏性体现其杀伤力。触发性兼顾杀伤力和潜伏性，并可控制病毒感染和破坏的频度。 病毒的 触发条件 主要有 7种 : 时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、 CPU型号 /主板型号触发。n 2. 计算机病毒的生存周期计算机 病毒的 产生过程 分为程序设计 传播 潜伏 触发 运行 实行攻击。从产生到彻底根除， 病毒 拥有一个完整的 生存周期 。开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期8.2 计算机病毒的构成与传播n 8.2.4 特种及新型病毒实例n 1特洛伊木马n （ 1）特洛伊木马的特性特洛伊木马 （ Trojan）病毒是一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的后门程序，其 特性 也已变异更新。木马病毒使网络安全形势异常严峻 。 一款名为 “ 母马下载器 ”的恶性木马病毒，集成了其他木马和病毒，执行后将生成数以千计的“ 子木马 ” ，凭借其超强的 “ 穿透还原 ” 、 “ 超快更新变异 ” 和 “ 反杀 ” 能力，广泛流行且使众多查毒软件难以处理。同一台电脑，中毒后也会随机出现不同的症状。案例 8-68.2 计算机病毒的构成与传播n （ 2）特洛伊木马的 类型破坏型、密码发送型、远程访问型、键盘记录木马、 DoS攻击木马、代理木马、 FTP木马、程序杀手木马、反弹端口型木马。2013年 发现 手机木马 Android.Hehe，可以阻止安卓设备上的来电和短信，并从受感染的设备上窃取信息。 n 2. 蠕虫病毒及新变种蠕虫病毒 Nimda是一种破坏力很强的恶意代码，在网络上传播蔓延快。中毒用户邮件的正文为空，看似无附件，实际上邮件中嵌入了病毒的执行代码，用户浏览时病毒被激活，复制到临时目录，并运行其副本。谨防新型盗号木马。 国家计算机病毒应急处理中心,2013年 12月通过对互联网的监测发现，近期出现恶意木马程序新变种 Trojan Generic.OJX。运行后获取系统路径，判断自身是否在系统目录下，如果不是则将自身拷贝到指定目录下并重命名，其文件名随机生成。该变种会打开受感染操作系统中服务控制管理器，创建服务进程，启动类型为自动。 案例 8-78.2 计算机病毒的构成与传播目前，全球感染量最大的 “ 飞客 ” （ Conficker）蠕虫， 2009年下半年我国境内每月约有 1800余万个主机 IP受感染，占全球感染总量的 30，占各国感染比例的第一位。n 3. 多重新型病毒 CodeRedII是一种蠕虫与木马 双型的病毒 。此新病毒极具危险，不仅可修改主页，而且可通过 IIS 漏洞可对木马上载和运行。先给自身建立一个环境并取得本地 IP，用于分析为传播的子网掩码，判断当前操作系统，之后根据判断增加线程。2009年出现一种蠕虫新变种 Worm_Pijoyd.B可感染操作系统中可执行文件、网页文件和脚本文件等，变种运行后生成一个动态链接库文件，使受感染操作系统中的文件保护功能失效，无法对变种自我复制的链接库文件修改，躲避被查杀进行自保护。然后，修改加载动态链接库文件的时间，并启动服务进程。案例 8-88.2 计算机病毒的构成与传播n 4. CIH 病毒CIH病毒 属 文件型恶性病毒 ，其别名为 Win95.CIH、 Win32.CIH、 PE_CIH，主要感染 Windows可执行文件。 CIH经历了多个版本的发展变化，发作日期为每年的 4月 26日或 6月 26日，而版本 CIH V1.4的发作日期则被修改为每月的26日，改变后缩短了发作期限，增加了破坏性。当发作条件成熟时，将破坏硬盘数据，并可破坏 BIOS程序。n 5.“ U盘杀手 ” 新变种2009年发现新的 “ U盘杀手 ” 新变种（ Worm_ Autorun.LSK），运行后在受感染操作系统的系统目录下释放恶意驱动程序，并将自身图标伪装成Windows默认文件夹。变种可将其自身复制、隐藏、自我命名、诱骗点击运行变种文件 。瑞星 “ 云安全 ” 系统截 2014年初截获了多种新型感染病毒，其特点为：病毒感染能力强、可释放多个木马程序、变异快、可逃脱很多杀毒软件的查杀与监控。当用户从网上下载游戏、 MP3、 exe、 flash等时，很可能带有病毒，用户运行后即可感染电脑中的其他文件。 Win32.virut、 Win32. BMW和 Worm.Win32.viking是其中三个威力最强的感染型病毒 案例 8-98.2 计算机病毒的构成与传播新型 U盘病毒瞄准 WIN7。 金山云安全中心发布预警称，新操作系统 Windows上市后，已发现针对 WIN7的病毒新变种。目前，感染量最高的 U盘病毒 “文件夹模仿者 ”系列，除了进行免杀处理外，还将所伪装的文件夹图标采用了 WIN7的图标风格。其新变种实质上是广告木马。它通过隐藏盘中的真实文件、并替换其中文件夹图标为自己图标的方式，诱使用户在每次查看文件时点击木马图标激活运行，弹出指向某些网站的 IE窗口，才允许用户进入文件夹内。案例 8-10讨论思考：讨论思考：（ 1）计算机病毒如何构成？计算机病毒传播方式有哪些？）计算机病毒如何构成？计算机病毒传播方式有哪些？（ 2）计算机病毒的生存周期具体有哪些过程？）计算机病毒的生存周期具体有哪些过程？（ 3）特洛伊木马的特性和类型有哪些？）特洛伊木马的特性和类型有哪些？8.2 计算机病毒的构成与传播6. 磁碟机病毒主要危害主要症状主要防范方法8.3 计算机病毒检测清除与防范n 8.3.1 计算机病毒的检测n 1特征代码法特征代码法 是检测已知病毒的最简单、开销较小的方法。其检测步骤为：采集中毒样本，并抽取特征代码，打开被检测文件，然后搜索检查是否含病毒特征码。n 2校验和法校验和法 指在使用文件前或定期地检查文件内容前后的校验和变化的方法。既可发现已知病毒又可发现未知病毒，却无法识别病毒类和病毒名。n 3行为监测法行为监测法 是利用病毒的行为特征监测病毒的一种方法。病毒的一些行为特征比较特殊且具有其共性，监视程序运行，可发现病毒并及时报警。n 4软件模拟法多态性病毒代码密码化，且每次激活的密钥各异，对比染毒代码也无法找出共性特征的稳定代码。目前，很多 杀毒软件 已具有实时监测功能，在预防病毒方面效果也很好。n 8.3.2 常见病毒的清除方法n 计算机系统意外中毒，需要及时采取措施，常用的处理方法是 清除病毒 ： 先对系统被破坏的程度 调查评估 ，并采取有效的清除对策和方法。n 杀毒后重启计算机，再用防杀病毒软件检查系统，并确认完全恢复正常。8.3 计算机病毒检测清除与防范8.3 计算机病毒检测清除与防范n 8.3.3 计算机病毒的防范n 计算机病毒的 防范重于检测和清除，这项系统工程，需要全社会的共同努力。 国家依法打击病毒的制造者和蓄意传播者，并建立计算机病毒防治机构及处理中心，从政策与技术上组织、协调和指导全国的计算机病毒防治。通过建立计算机病毒防范体系和制度，实时检测及时发现计算机病毒的侵入，有效遏制病毒的传播和破坏，尽快恢复。n 企事业单位 应树立 “ 预防为主 ” 思想，制定出切实可行的管理措施，以防止病毒传播，定期专项培训，提高计算机使用人员防毒意识。 对于重要部门，专机专用；对于具体用户， 一定遵守有关规则和习惯 ：配备杀毒软件并及时升级；留意安全信息，及时打好补丁；经常备份文件并杀毒一次；对外来文件和存储介质都应先查毒后使用；一旦遭到大规模的病毒攻击，应立即采取隔离措施，并向有关部门报告，再采取措施清除；不点击不明网站及链接；不使用盗版光盘；不下载不明文件和游戏等。 个人用户 也要遵守病毒防治的法纪和制度，不断学习、积累防毒知识和经验，养成良好的防毒习惯，不造毒不传毒。n 8.3.4 木马的检测清除与防范木马可在 Win.ini和 System.ini”run=”“load=” “shell=”后面加载 ,若在这些选项后的加载程序很陌生 ,可能就是木马 .通常将 “Explorer”变为自身程序名 ,只需将其中的字母 ”l”改为数字 “1”,或将字母 “o”改为数字 “0”,不易被发现。8.3 计算机病毒检测清除与防范上海市经济和信息化委员会 2013年 8月 23发布计算机病毒预报。 案例 8-12案例 8-11n 8.3.5 病毒和反病毒技术的发展趋势n 1. 计算机病毒的发展趋势计算机病毒技术发展变化很快，而且造成的影响更为广泛，从最早的单片机到现在的联网手机，并朝着网络化、智能对抗反病毒手段和有目的方向发展。 一些新病毒更加隐蔽，针对查毒软件而设计的多形态病毒使查毒更难。 8.3 计算机病毒检测清除与防范据瑞星网站报道 2013年 1至 6月 ，瑞星 “云安全 ”系统共截获新增病毒样本 1,633万余个，病毒总体数量比去年下半年增长 93.01%，呈现出一个爆发式的增长态势。其中木马病毒 1,172万个，占总体病毒的 71.8%，和去年一样是第一大种类病毒。新增病毒样本包括蠕虫病毒（ Worm） 198万个，占总体数量的 12.16%，成为第二大种类病毒。感染型（ Win32）病毒 97万个，占总体数量的 5.99%，后门病毒（ Backdoor） 66万个，占总体数量的 4.05%，位列第三和第四。恶意广告（ A