病毒防护技术(四)典型病毒及其查杀.ppt

补充内容 计算机病毒防护技术,B.1 概述 B.2 计算机病毒工作机制 B.3 反病毒技术 B.4 典型计算机病毒 B.5 计算机病毒查杀软件,B.4 典型计算机病毒 蠕虫病毒 特洛伊木马病毒 黑客病毒 后门病毒,一、蠕虫病毒 1.蠕虫病毒：是一种通过网络传播的恶性计算机病毒，是使用危害的代码来攻击网上的受害主机，并在受害主机上自我复制， 再攻击其他的受害主机的计算机病毒。 它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务以及和黑客技术相结合等。,2.蠕虫病毒的行为特征： 自我繁殖; 利用软件漏洞； 造成网络拥塞； 消耗系统资源； 留下安全隐患。,3.蠕虫的工作方式: 随机产生一个IP地址; 判断对应此IP地址的机器是否可被感染; 如果可被感染，则感染之; 重复-共n次， n为蠕虫产生的繁殖副本数量。,4.蠕虫病毒的种类： 根据使用者情况可将蠕虫病毒分为两类： 一类是面向企业用户和局域网，这种计算机病毒利用系统漏洞，主动进行攻击，可以对整个Intern创造成瘫痪性的后果，以“红色代 码”、“尼姆达”以及“ Sql蠕虫王”为代表。 另外一类是针对个人用户的，通过网络(主要是电子邮件、恶意网页形式迅速传播的蠕虫病毒，以“爱虫病毒”“求职信病毒”为代表。 在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很难。第二类计算机病毒的传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根除的，例如“求职信病毒“，,5.预防： 1).企业防范蠕虫病毒措施 (1)加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软 件的更新。由于各种漏洞的出现，使得安全不再是一种一劳永逸的事，而对于企业用户而言， 所面临攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高。 (2)建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象。,(3)建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便在计算机病毒爆发的第一时间即能提供解决方案。 (4)建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施， 防止意外灾难下的数据丢失。,(5)对于局域网而言，可以采用以下一些主要手段:第一，在Internet接入口处安装防火墙式防杀计算机病毒产品，将计算机病毒隔离在局域网之外；第二，对邮件服务器进行监控，防止带毒邮件进行传播:第三，对局域网用户进行安全培训；第四，建立局域网内部的升级系统，包括各种操作系统的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等。,2）个人用户对蠕虫病毒的防范措施 (1)选购合适的杀毒软件。Norton、瑞星、KV系列等。 (2)经常升级计算机病毒库。杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，而计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新计算机病毒库，以便能够查杀最新的计算机病毒。,(3)提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码。当运行IE时，把安全级别设为“中”或者“高“。 (4)不随意查看陌生邮件，尤其是带有附件的邮件。由于有的计算机病毒邮件能够利用IE和Outlook的漏洞自动执行，所以计算机用户需要升级IE和Outlook程序及常用的其他应用程序。,二、特洛伊木马病毒 “特洛伊木马”是指隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段。 1.木马的发展 第一代木马:伪装型病毒 这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。 世界上第一个计算机木马是出现在1986年的计算机“PC- Write”术马。它伪装成共享软件计算机PC-Write的2.72版本(事实上，编写计算机PC-Write的Quicksoft企公司从未发行过 2.72版本)，一旦用户信以为真运行该木马程序，那么结果就是硬盘被格式化。,第二代木马: AIDS型木马 1989年出现了“AIDS木马”。由于当时很少有人使用电子 邮件，所以AIDS的作者就利用现实生活中的邮件进行散播，给其他人寄去一封封含有木马程序软盘（移动存储设备）的邮件。之所以叫这个名称就是因为软盘（移动存储设备）中包含有AIDS和HIV疾病的药品、价格、预防措施等相关信息。软盘（移动存储设备）中的木马程序在运行后，虽然不会破坏数据，但是它将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马己具备了传播特征(尽管是通过传统的邮递方式)。 第三代木马:网络传播性木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时它还有如下新的特征。,第一，添加了“后门“功能。 后门：就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如: 财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其他计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像计算机病毒和蠕虫那样通过消耗内存而引起注意。,第二，添加了击键记录功能。 该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。这一代木马比较有名的有国外的“BO2000 (BackOrifice)”和国内的“冰河水马”。 第四代木马：结合窃听密码和远程控制于一体。如“黑暗天使”。,2.感染木马病毒后的表现 1）自动打开陌生的网站； 2）非正常的对话框窗口的跳出； 3）Windows系统配置被莫名其妙的更改； 4）硬盘灯非正常闪动、软驱或光驱自动运行、网络连接异常、鼠标异常等,3. 预防 虽然木马程序手段越来越隐蔽，但只要加强个人安全防范意识，还是可以大大降低“中招”的机率。对此安全专家表示，预防木马其实很简单： 1）就不要执行任何来历不明的软件或程序，不管是邮件中还是从Internet上下载到的。 2）在下载软件时，一定要从正规的网站下 载。 3）针对计算机中的个人敏感数据(口令、信用卡账号等)，一定要妥善保护。利用防毒软件增加个人私密数据保护功能。,4）用户觉得有可疑情况时一定要先检查，然后再使用。 5）上网的计算机必备防毒软件，一个好的杀毒软件也可以查到绝大多数木马程序，但一定要记得时时更新代码。,三、黑客病毒 1.关于黑客：对于“黑客”这个词，不同的人群存在不同的理解，有些人认为，黑客是一群狂热的技术爱好者，他 们无限度地追求技术的完美;有些人认为，黑客只是一群拥有技术，但思想简单的毛头小伙子; 还有些人认为黑客是不应该存在的，他们是网络的破坏者。但从客观存在的事实来看，黑客这类群体往往存在着以下两个共同点。 强烈的技术渴望与完美主义。驱动他们成长的是对技术的无限渴望，获得技术的提高才是他们最终的任务。,强烈的责任感。只有强烈的责任感才能使他们不会走向歧途。责任感告诉他们不要在任何媒体上公布成功入侵的服务器;不要对其入侵的服务器进行任何的破坏;在发现系统漏洞后要马上通知官方对该漏洞采取必要的修补措施，在官方补丁没有公布之前，绝对不要大范围地公开漏洞利用代码。一方面，黑客入侵可能造成网络的暂时瘫痪，另一方面，黑客也是整个网络的建设者，他们不知疲倦地寻找网络大厦的缺陷，使得网络大厦的根基更加稳固。,2. 黑客病毒：计算机病毒加恶意程序的组合攻击方式，已成为计算机病毒发展的新趋势，这种称为黑客型的计算机病毒除破坏计算机内存储的信息外，还会在计算机中植入木马和后门程序，即使计算机病毒己被清除，但这些程序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。曾横行一时、至今余毒未清的Nimda， CodeRed都属于这种黑客型计算机病毒。 但由于它不像普通计算机病毒，甚至与普通应用程序别无二致，因此很难用判断、清除计算机病毒的方式来扫描和处理，而且也很难防范。,3. 黑客病毒的传染机制：黑客型计算机病毒不同于传统计算机病毒，其感染机制是利用操作系统软件或常用应用软件中的设计缺陷而设计的。所以反计算机病毒软件正常的警报系统是反映不出任何问题的， 而黑客型计算机病毒感染系统后却可以反客为主，破坏驻留在内存中的反计算机病毒程序的进程。“求职信“、YAHA、Gener、“物B“等都属于这类计算机病毒。,4. 黑客型计算机病毒的危害性更强： 黑客型计算机病毒比传统计算机病毒更具危害性，主动攻击计算机系统以及反计算机病毒程序，夺取系统的控制权。 黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏洞感染计算机，感染速度快且完全清除十分困难。传统反计算机病毒软件多数运行在单机系统，对于这种网络计算机病毒往往在一定时期难以杀尽，所以传统反计算机病毒软件在防御黑客型计算机病毒时显得势单力薄。同时由于黑客型计算机病毒的横行，系统失去反计算机病毒软件的保护，传统计算机病毒也会出来为虎作怅，这时进一步加大了网络安全的压力。,四、后门病毒 1. 原理 后门（Backdoor）是程序或系统内的一种功能，它允许没有账号的用户或普通受限用户使用高权限甚至完全控制系统。后门在程序开发中有合法的用途，有时会因设计需要或偶然因素而存在于某些完备的系统中。后门不是计算机病毒，但后门会被攻击者所利用。 后门计算机病毒: 是集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播的一种计算机病毒形态。由于操作系统和软件设计的固有缺陷，使得后门计算机病毒非常难以防范，即便是亡羊补牢的工作，也难以挽回后门计算机病毒造成的损失。,2. 预防 1）重新设置局域网的共享目录 2）发现系统漏洞应及时打补丁； 3）安装防火墙并及时更新。,B.5、计算机病毒查杀软件 一、杀毒软件的必备功能 理想的反计算机病毒工具应具有如下功能: (1)工具自身具有自诊断、自保护的能力: (2)具有查毒、杀毒、实时监控多种功能: (3)兼容性好: (4)界面友好，报告内容醒目、明确，操作简单:,(5)全面地与Internet结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止计算机病毒入侵。 (6)快速反应的计算机病毒检测网，在计算机病毒爆发的第一时间即能提供解决方案。 (7)完善的在线升级服务，使用户随时拥有最新的防计算机病毒能力。 (8)对计算机病毒经常攻击的应用程序提供重点保护(如MS Office， Outlook， IE， ICQ/QQ等) 。 (9)提供完整、即时的反计算机病毒咨询，提高用户的反计算机病毒意识与警觉性，尽快地让用户了解到新计算机病毒的特点和解决方案。,2.国内外著名的杀毒软件 国内外有很多著名的杀毒软件，如Norton（诺顿）、McAfee VirusScan、Pc-cillin、Kaspersky Anti-Virus（卡巴斯基）、江民KV系列、金山毒霸、熊猫卫士、瑞星杀毒软件等。,3.瑞星杀毒软件简介 1）主要功能： (1)只能解包还原功能 查杀因使用各种公开、非公开的自解压程序对计算机病毒进行压缩打包而产生的大量变种计算机病毒。 (2)行为判断功能 行为判断功能提供对未知计算机病毒的查杀。 (3)实时监控功能 实时监控功能包括文件监控、电子邮件监控、内存监控、网页监控、注册表监控、引导区监控和漏洞攻击监控。,(4)黑名单功能 识别网络上的计算机病毒感染来源，并通过黑名单功能阻止计算机病毒攻击。 (5)拉圾邮件过滤 (6)信息中心功能 在Internet连接状态下，程序的主界面会自动获取瑞星网站公布的最新信息。诸如重大计算机病毒疫情预警、最新安全漏洞和安全资讯等信息，用户能及时做好相应的预防措施。,(7)在线升级功能