信息系统安全——qq病毒.ppt

QQ病毒与恶意程序介绍及其防护,什么是QQ病毒及恶意程序,QQ病毒是即时通讯(IM)类病毒的一种。即时通讯(IM)类病毒主要是指通过即时通讯软件（如MSN、QQ等）向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。 国内最大的反病毒厂商江民科技发布了即时通讯病毒最新排行榜，QQ及MSN病毒几乎包揽了排行榜“十强”。 QQ恶意程序是指用于干扰用户的正常使用的一种程序。比如篡改用户密码，盗取用户QQ等，与QQ病毒的差别不大。,QQ群共享中的火星文压缩包文件（蠕虫） QQ火星文压缩包文件实际上是一种蠕虫病毒。将文件名更改为火星文躲避了QQ群共享的关键词过滤。诱导QQ用户进行下载。这个火星文压缩包文件一旦运行后，会静默安装真人视频播放软件或者网络视频播放工具，并设置为开机自启动，占用大量网络带宽和系统资源，造成网友电脑卡和网页打不开等现象。,几种常见的QQ病毒,QQ尾巴病毒 用户由于通过IE访问了某些带有病毒的网站，病毒会自动下载到用户的电脑上。该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，给在线上的QQ好友发送诸如“快去这看看，里面有蛮好的东西-”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。,几种常见的QQ病毒,“QQ大盗”变种dek Trojan/PSW.QQPass.dek“QQ大盗”变种dek是“QQ大盗”木马家族的最新成员之一，采用VC+编写，由其它木马释放出来的DLL木马组件，一般被注册为浏览器辅助对象（BHO），实现木马随系统浏览器的启动而自动加载运行。“QQ大盗”变种dek运行后，将病毒代码注入到所有用户的进程中运行，以此来隐藏自我，躲避安全软件的查杀。修改hosts文件，屏蔽某些安全站点，阻止用户对某些常见安全站点的访问。查找并强行关闭某些安全软件，大大地降低了被感染计算机上的安全性。在后台秘密监视用户打开的窗口标题，一旦发现用户打开QQ登陆窗口便记录键击，窃取用户的QQ用户名和密码，并发送到骇客指定的远程服务器上，给用户带来一定程度的损失。另外，“QQ大盗”变种dek还会下载恶意程序。,几种常见的QQ病毒,“紫萝卜”变种kyy TrojanDownloader.Zlob.kyy“紫萝卜”变种kyy是“紫萝卜”木马下载器家族的最新成员之一，采用VC+编写。“紫萝卜”变种kyy运行后，收集被感染计算机上的信息，并以表单的形式提交到骇客指定站点。在被感染计算机后台连接多个骇客指定的站点，下载大量恶意程序在被感染计算机上自动调用运行，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。其中，所下载的恶意程序保存到临时文件夹下，可能的名字有“lowpower.exe”、“lprn32.exe”、“bindsrv2.exe”等。另外，“紫萝卜”变种kyy还可能强行篡改IE浏览器设置，大大降低被感染计算机的安全性。,QQ病毒,根据江民公司发布的2005年上半年十大病毒排行榜，即时通讯相关病毒已占据了一半席位，“QQ龟”病毒更是名列十大病毒之首。江民反病毒专家何公道认为，现在的即时通讯已经成为病毒传播的主渠道，一方面是因为即时用户群规模庞大并且持续快速增长，另一方面即时通讯用户对好友发送消息容易放松警惕，病毒成功的机率较高。何公道也进一步表示，今后两年即时通讯类病毒还会越来越多，甚至一些重大病毒也很可能集中利用即时通讯来扩大传播面。据悉，日前疯狂流窜互联网的“极速波”病毒也已出现开始通过即时通讯传播的变种。,QQ病毒工作原理,IM类病毒通常有两种工作模式： 一种是自动发送恶意文本消息，这些消息一般都包含一个或多个网址，指向恶意网页，收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。 这种病毒是由于某个IE网页附带的病毒被种植在用户电脑上，一旦用户开启QQ。病毒便会自动寻找窗口发送网页链接。 另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去，这也是时下流行的主模式。,QQ病毒的防范方法,设置本地口令 首先按下鼠标右键，从QQ图标上选择“系统参数”，在“系统参数”视窗选择“安全设置”标签。接着选择“启用本地消息加密”，再依次输入口令并确认口令即可。同时为了保险一定要勾选“启用本地消息加密口令提示”，设定提示问题和问题答案，按下“确定”使设定生效。在启动OICQ输入账号和密码后，软件还会要求输入本地消息口令，否则不能进入。,QQ病毒的防范方法,避开木马软件的攻击： 当前网络上可以找到很多的盗取QQ密码的木马软件，但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码，我们可以针对这个特点，采用“瞒天过海”的手法把QQ号码设置为超过9位数字。我们可以这样做；在登录QQ的时候选择“注册向导”，在“使用已有的QQ号码”中输入的QQ号码前加入一长串0,其位数与原有的QQ号位数相加超过9位数就可以，这样的结果是既不影响正常的QQ登录，又可以避开木马软件对QQ密码的秘密监视了。同时适当选择反木马软件也可防患未然，如：Anti trojan,TheCleaner,Iparmor这些软件都有强大的木马清除能力。,QQ病毒的防范方法,可以采取隐身登录的办法： 首先找到以前成功登录过的QQ,在“QQ用户登录”框中找到自己的号码，选中下面“隐身登录”前面的方框，你就可以隐身登录了。假如你是第一次在这台电脑上登录QQ,登录成功后别人很容易获取你的地址，最好马上选择“离线”，过一会儿你再选择“隐身登录”。这样别人就找不到你的地址了。,QQ病毒的防范方法,你可以在“系统参数”设置里选中“拒绝陌生人消息” 可以使用“选择代理服务器”的办法 不要轻信陌生人发送的文件，和网站链接 如果一定要打开陌生人发送的文件，可以先查杀然后打开，现在的大部分杀毒软件都支持嵌入式杀毒。,QQ病毒的防范方法,知己知彼，减少风险： 黑客要入侵要经过一套入侵的流程，包括查找IP，扫描通讯录，作业系统分析，弱点分析，密码破解等，总要花费一些时间，所以，如果你滞留在网上的时间越长，黑客就越有机会来完成入侵程序。所以没有事情的时候不要挂网，以减少被黑的风险。,QQ病毒的查杀,软件查杀： QQ病毒木马专杀工具 QQKav就是一款比较常用的qq病毒查杀及防护软件。 QQ病毒木马专杀工具 提供了系统的病毒查杀模块，内置手动查毒、注入查杀、闪电杀毒和开机杀毒四个服务，可以帮助用户轻松查杀各类QQ盗号木马以及病毒。这款软件可以使用户比较轻松查杀掉电脑上的病毒和木马，保护用户的qq。使用方法都可以在网上找到，这里就不在阐述了。,QQ病毒的查杀,软件查杀： 另外，其他的电脑保护软件也都推出过qq病毒的查杀工具，包括瑞星，腾讯，金山等都有此类的服务。,QQ病毒查杀,手动查杀：（蠕虫病毒的查杀） 该病毒用Delphi语言编写，运行后把自己复制到系统system32目录下，伪装成系统文件，修改注册表实现开机自启动。 安全模式下删除%windows%/smss.exe文件（此文件在C:WindowsSystem32文件目录下） 搜索注册表，所有smss相关的项一概删除（注册表在开始菜单运行中通过regedit命令打开） 再修改startpage（在注册表中更改，注册表是HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”）,QQ病毒查杀,手工查杀（QQ尾巴病毒查杀） 1、在任务管理器结束病毒进程，例如“svch0st.exe”、“explorere.exe”、“smss.exe”等，然后在硬盘中删除文件 2、去掉尾巴病毒启动项，在“运行”中输入“msconfig”命令，打开“系统配置实用程序”窗口，单击“启动”选项卡，查看系统中的启动列表。如果在其中加载了刚才找到的病毒程序，那么去掉其前面的“”号，取消程序随Windows系统启动而运行。,QQ病毒的查杀,手工查杀（Q