冲击波漏洞微软的败笔PPT课件.ppt

冲击波漏洞 微软的败笔向美国电脑进军 黑客防御技巧 关闭端口回顾历史 AV终结者 黑客阻击 1 冲击波漏洞 微软的败笔 中新网8月12日电据公安部公共信息网络安全监察局提供的消息 8月11日 一种名为 冲击波 WORM MSBlast A 的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播 该病毒传播速度快 波及范围广 对计算机正常使用和网络运行造成严重影响 经国家计算机病毒应急处理中心确认 该病毒是利用前不久微软公司公布的Windows操作系统RPCDCOM漏洞进行传播 能够使遭受攻击的系统崩溃 并通过网络向仍有此漏洞的计算机传播 公安部公共信息网络安全监察局提醒各有关用户 尽快下载安装微软公司的RPC漏洞补丁程序 防止该病毒进一步传播感染 公安部官方网站的消息还说 各地公安机关已经组织 指导有关单位采取应急处置措施 今后发生类似计算机病毒传播的情况 也请广大计算机和信息网络用户及时向当地公安机关报告 2 冲击波病毒感染症状 冲击波病毒感染症状1 莫名其妙地死机或重新启动计算机 2 IE浏览器不能正常地打开链接 3 不能复制粘贴 4 有时出现应用程序 比如Word异常 5 网络变慢 6 最重要的是 在任务管理器里有一个叫 msblast exe 的进程在运行 7 SVCHOST EXE产生错误会被WINDOWS关闭 您需要重新启动程序8 在WINNT SYSTEM32 WINS 下有DLLhost exe和svchost exe检测你的计算机是否被 冲击波杀手 病毒感染 1 检查系统的system32 Wins目录下是否存在DLLHOST EXE文件 大小为20K 和SVCHOST EXE文件 注意 系统目录里也有一个DLLHOST EXE文件 但它是正常文件 大小只有8KB左右 如果存在这两个文件说明你的计算机已经感染了 冲击波杀手 病毒 2 在任务管理器中查看是否有三个或三个以上DLLHOST EXE的进程 如果有此进程说明你的计算机已经感染了此病毒 3 奇虎状告瑞星侵权瑞星称奇虎终被用户抛弃 赛迪网讯8月27日消息 瑞星公司一直以来在各种场合 通过各种方式 持续不断地散布了大量攻击奇虎360的言论 尤其是在奇虎360推出永久免费的杀毒软件之后 瑞星更是在各种报刊和网站上发布大量攻击辱骂奇虎360的文章 中关村软件频道在首页首屏这样一个有限空间里 长期放置10条以上奇虎360的负面链接 有时甚至超过20条 整个频道几乎就成了一个 讨伐360 的专题 奇虎董事长周鸿祎要求瑞星公开道歉 他表示 奇虎推出完全免费的360杀毒软件之后 侵犯了瑞星等杀毒软件厂商的固有利益 虽然奇虎一直采取了克制的态度 但面对瑞星不断的攻击 奇虎决定通过法律解决问题 此外 这天下午 瑞星公司还就此发布了一项官方声明 声明中称 奇虎360靠炒作挽救不了被用户抛弃的命运 4 奇虎360靠炒作挽救不了被用户抛弃的命运 一 面对基于 云安全 计划的全新反木马工具 瑞星卡卡6 0 360安全卫士感受到了前所未有的威胁 因为奇虎公司自己也承认 反流氓软件的工作已经基本结束 二 众所周知木马是病毒的一种 反木马和反病毒在技术原理和截获 分析 处理流程上没有任何区别 三 随着奇虎360欺骗用户 频繁误杀以及暗中阻挡所有主流杀毒软件的丑行被揭露和曝光 360督导委员会集体退出 四 瑞星对奇虎公司的诉讼感到莫名其妙 五 刚刚面临主要骨干离职 督导委员集体退出等风波 奇虎立刻将大旗转向 全民反木马 随即又抛出起诉瑞星这个新的口述战素材 5 向美国电脑进军 美国中央情报局资深分析师汤姆 多诺霍18日在一次安全会议上说 国外发生过几次黑客攻击电网控制系统事件 黑客们以断电作为威胁手段勒索钱财 其中一次 黑客切断了数个城市的电力供应 远程勒索这次安全会议18日在美国新奥尔良开幕 与会者有外国政府官员 工程师和一些电力能源公司的安全官员 会议期间 与会人员会分享黑客攻击重要市政设施和资源的信息 还会分享防御袭击的手段 多诺霍在会上透露了黑客威胁电网事件 但没公布发生的具体时间与地点 也没有提及勒索者要求的钱数 只是说 那发生在美国之外的数个地区 中情局拒绝进一步公布详情 一位发言人说 能向公众公开的相关信息已经公开 这样做的目的是让人们了解当前面临的挑战 担心安全多诺霍透露的情况让反恐神经本已高度紧张的美国人更加不安 美国政府网络安全顾问霍华德 施密特在这次会议开始前一天还曾表达了对这一系统的担心 他当时说 美国85 的关键基础设施由私营部门控制 所以任何人不能忽略这一问题 6 黑客防御技巧 关闭端口 1 默认情况下 Windows有很多端口是开放的 在你上网的时候 网络病毒和黑客可以通过这些端口连上你的电脑 为了让你的系统变为铜墙铁壁 应该封闭这些端口 主要有 TCP135 139 445 593 1025端口和UDP135 137 138 445端口 一些流行病毒的后门端口 如TCP2745 3127 6129端口 以及远程服务访问端口3389 下面介绍如何在WinXP 2000 2003下关闭这些网络端口 8 黑客防御技巧 关闭端口 2 第一步 点击 开始 菜单 设置 控制面板 管理工具 双击打开 本地安全策略 选中 IP安全策略 在本地计算机 在右边窗格的空白位置右击鼠标 弹出快捷菜单 选择 创建IP安全策略 如右图 于是弹出一个向导 在向导中点击 下一步 按钮 为新的安全策略命名 再按 下一步 则显示 安全通信请求 画面 在画面上把 激活默认相应规则 左边的钩去掉 点击 完成 按钮就创建了一个新的IP安全策略 第二步 右击该IP安全策略 在 属性 对话框中 把 使用添加向导 左边的钩去掉 然后单击 添加 按钮添加新的规则 随后弹出 新规则属性 对话框 在画面上点击 添加 按钮 弹出IP筛选器列表窗口 在列表中 首先把 使用添加向导 左边的钩去掉 然后再点击右边的 添加 按钮添加新的筛选器 第三步 进入 筛选器属性 对话框 首先看到的是寻址 源地址选 任何IP地址 目标地址选 我的IP地址 点击 协议 选项卡 在 选择协议类型 的下拉列表中选择 TCP 然后在 到此端口 下的文本框中输入 135 点击 确定 按钮 这样就添加了一个屏蔽TCP135 RPC 端口的筛选器 它可以防止外界通过135端口连上你的电脑 9 黑客防御技巧 关闭端口 3 第三步点击 确定 后回到筛选器列表的对话框 可以看到已经添加了一条策略 重复以上步骤继续添加TCP137 139 445 593端口和UDP135 139 445端口 为它们建立相应的筛选器 重复以上步骤添加TCP1025 2745 3127 6129 3389端口的屏蔽策略 建立好上述端口的筛选器 最后点击 确定 按钮 第四步 在 新规则属性 对话框中 选择 新IP筛选器列表 然后点击其左边的圆圈上加一个点 表示已经激活 最后点击 筛选器操作 选项卡 在 筛选器操作 选项卡中 把 使用添加向导 左边的钩去掉 点击 添加 按钮 添加 阻止 操作 右图 在 新筛选器操作属性 的 安全措施 选项卡中 选择 阻止 然后点击 确定 按钮 第五步 进入 新规则属性 对话框 点击 新筛选器操作 其左边的圆圈会加了一个点 表示已经激活 点击 关闭 按钮 关闭对话框 最后回到 新IP安全策略属性 对话框 在 新的IP筛选器列表 左边打钩 按 确定 按钮关闭对话框 在 本地安全策略 窗口 用鼠标右击新添加的IP安全策略 然后选择 指派 于是重新启动后 电脑中上述网络端口就被关闭了 病毒和黑客再也不能连上这些端口 从而保护了你的电脑 10 回顾历史 AV终结者 AV终结者 即 帕虫 是一系列反击杀毒软件 同时它会下载并运行其他盗号病毒和恶意程序 此外 它还会造成电脑无法进入安全模式 并可通过可移动磁盘传播 目前该病毒已经衍生多个新变种 有可能在互联网上大范围传播 AV终结者 设计中最恶毒的一点是 用户即使重装操作系统也无法解决问题 AV终结者 会使用户电脑的安全防御体系被彻底摧毁 安全性几乎为零 它还自动连接到某网站 下载木马病毒 在用户电脑毫无抵抗力的情况下 鱼贯而来 用户的所有机密文件都处于极度危险之中 11 什么是 AV终结者 AV终结者 病毒运行后会在系统中生成如下几个文件 C programfiles commonfiles microsoftshared msinfo 随机生成病毒名 dat C programfiles commonfiles microsoftshared msinfo 随机生成病毒名 dll C windows 随机生成病毒名 chm AV终结者 病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun inf文件 当用户双击盘符时就会激活病毒 这是目前很多病毒热衷的传播方法 不少用户也懂得删除病毒生成的anuorun inf文件 但是当我们进入 文件夹选项里 想显示隐藏文件时 可以发现这里已经被病毒给禁用了 针对杀毒软件的攻击 是 AV终结者 的特点 映象劫持 会在注册表的 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ImageFileExeutionOptions 位置新建一个以杀毒软件和安全工具程序名称命名的项 建立完毕后 病毒还会在里面建立一个Debugger键 键值为 c progra 1 common 1 micros 1 msinfo 05cc73b2 dat 这样当我们双机运行杀毒软件的主程序时 运行的其实是病毒程序 为了避免在 任务管理器 中露出破绽 病毒会将自己的进程注入到系统的资源管理器进程explorer exe中 这样我就无法通过 任务管理器 发现病毒的进程了 病毒进程的主要作用是监视系统中的用户操作 另一个作用是监视IE窗口 发现用户搜索病毒资料时 立即关闭 12 1 运行 任务管理器 结束 explorer exe 进程 单击 任务管理器的 文件菜单 选择 新建任务 输入 regedit 找到HEKEY LOCAL MACHINE software microsoft windows currentversion explorer advanced folder hidden showall 将Checkedvalue的的键值改为 1 2 在 regedit 中找到HEKEY LOCAL MACHINE software