计算机的病毒及处理ppt课件

计算机的病毒及处理 8 1技能一认识计算机病毒8 2技能二常见的计算机病毒及处理8 3技能三使用杀毒软件查杀病毒 8 1技能一认识计算机病毒 8 1 1任务一什么是计算机病毒8 1 2任务二计算机病毒的分类及特点 8 1 1任务一什么是计算机病毒 计算机病毒是程序 能够自我复制 会将自己的病毒码依附在其他程序上 通过其他程序的执行 伺机传播病毒程序 有一定潜伏期 一旦条件成熟 就进行各种破坏活动 影响计算机的使用 中华人民共和国计算机信息系统安全保护条例 第二十八条中对计算机病毒是这样定义的 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 因此 计算机病毒就是能够通过某种途径潜伏在计算机存储介质 或程序 里 当达到某种条件时即被启动的具有对计算机资源进行破坏作用的一组程序或指令集合 8 1 2任务二计算机病毒的分类及特点 1 计算机病毒的分类2 计算机病毒的特征3 计算机病毒的传播途径 1 计算机病毒的分类 按照计算机病毒寄生方式分类引导型病毒文件型病毒混合型病毒 1 计算机病毒的分类 按照计算机病毒破坏的能力分类无害型无危险型危险型非常危险型 1 计算机病毒的分类 按照计算机病毒本身特性分类系统病毒 蠕虫 型病毒黑客型病毒木马型病毒脚本型病毒 2 计算机病毒的特征 传染性隐蔽性潜伏性破坏性不可预见性 3 计算机病毒的传播途径 不可移动的计算机硬设备移动存储设备硬盘网络 8 2技能二常见的计算机病毒及处理 8 2 1任务一 冲击波 震荡波 和 极速波 病毒8 2 2任务二 灰鸽子 病毒8 2 3任务三QQ病毒和MSN病毒的检测与清除 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 1 冲击波 病毒 1 病毒特征病毒名称 I Worm Blaster 病毒别名 冲击波 病毒类型 网络蠕虫 病毒长度 6176字节 危险级别 高 影响平台 Windows2000 WindowsXP和Windows2003 相关文件 msblast exe 病毒描述 该蠕虫病毒利用TCP135端口 通过DCOMRPC漏洞进行攻击 在此病毒代码内隐藏的一段文本信息 IjustwanttosayLOVEYOUSAN Billygateswhydoyoumakethispossible Stopmakingmoneyandfixyoursoftware 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 2 感染病毒后的症状莫名其妙地死机或重新启动计算机 IE浏览器不能正常地打开链接 不能复制 粘贴 有时出现应用程序 比如Word异常 网络变慢 在任务管理器里有一个msblast exe的进程在运行 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 3 病毒传播的方式当病毒感染计算机系统后 执行以下操作 首先创建一个线程BILLY 修改注册表的键值 KEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run增加 windowsautoupdate msblast exe 键值 使得病毒可以在系统启动时自动运行 然后按照一定的规则来攻击网络上的计算机 该随机IP段的计算机所有135端口发布攻击代码 成功后 在TCP的端口4444创建cmd exe 该病毒还能接受外界的指令 在UDP的端口69上接受指令 发送文件msblast exe网络蠕虫主体 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 4 预防与清除使用 冲击波 病毒专杀工具清除 查杀 冲击波 病毒 瑞星公司提供专杀工具下载地址 使用瑞星 冲击波 专杀工具查杀病毒 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 1 病毒特征病毒名称 Worm Sasser 病毒别名 震荡波 病毒类型 网络蠕虫 病毒长度 15872字节 危险级别 高 影响平台 Windows2000 WindowsXP和Windows2003 相关文件 avserve exe 病毒描述 该蠕虫病毒会通过FTP的5554端口攻击计算机 一旦攻击失败 会使系统文件崩溃 造成计算机反复重启 病毒如果攻击成功 会将自身传到对方机器并执行病毒程序 然后在C WINDOWS目录下产生名为avserve exe的病毒体 继续攻击下一个目标 用户可以通过查找该病毒文件来判断是否中毒 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 2 感染病毒后的症状出现LSAShell服务异常对话框 如图所示 接着出现一分钟后重启计算机的 系统关机 对话框 如图所示 LSAShell服务异常对话框 系统关机 对话框 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 病毒如果攻击成功 则会占用大量系统资源 使CPU占用率达到100 出现计算机运行异常缓慢的现象 在任务管理器里有一个 avserve exe 的进程在运行 在Windows系统的安装目录下会出现名为avserve exe的病毒文件 注册表中出现病毒的自启动键值 KEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run项中建立病毒键值 avserve exe WINDOWS avserve exe 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 3 病毒传播的方式首先拷贝自身到Windows目录 名为 WINDOWS avserve exe 16384字节 然后登记到自启动项 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunAvserve exe WINDOWS avserve exe 开辟线程 在本地开辟后门 监听TCP5554端口 被攻击的机器主动连接本地5554端口 将IP地址和端口传过来 本线程负责将病毒文件传送到被攻击的机器 病毒开辟128个扫描线程 以本地IP地址为基础 取随机IP地址 疯狂的试探连接445端口 如果试探成功 则运行一个新的病毒进程对该目标进行攻击 将该目标的IP地址保存到 c win2 log 中 利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击 一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播 攻击失败也会造成对方机器的缓冲区溢出 导致对方机器程序非法操作 以及系统异常等 由于该病毒在lsass exe中溢出 可以获取管理员的权限 执行任意指令 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 4 预防与清除使用 震荡波 病毒专杀工具清除 查杀 震荡波 病毒 瑞星公司提供专杀工具下载地址 使用瑞星 震荡波 专杀工具查杀病毒 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 3 极速波 病毒 1 病毒特征病毒名称 I Worm Zobot 病毒别名 极速波 病毒类型 网络蠕虫 病毒长度 22528字节 危险级别 高 影响平台 Windows2000 WindowsXP和Windows2003 相关文件 botzor exe 病毒描述 该蠕虫病毒利用微软 即插即用服务代码执行漏洞 MS05 039 的病毒 该病毒利用最新漏洞传播 并且可以通过IRC接受黑客命令 使被感染计算机被黑客完全控制 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 2 病毒传播的方式及引起的症状当 极速波 病毒攻击失败时候 会造成系统频繁重启 如图所示 极速波 病毒造成系统重启 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 当病毒运行后 将在系统目录下创建一个文件botzor exe 如图所示 在系统目录下创建botzor exe文件 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 在注册表中添加下列启动项 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run WINDOWSSYSTEM botzor exe HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices WINDOWSSYSTEM botzor exe这样 在Windows启动时 病毒就可以自动执行 如图所示 在注册表中创建自启动项 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 通过TCP端口8080连接IRC服务器 接受并执行黑客命令 可导致被感染计算机被黑客完全控制 在TCP端口33333开启FTP服务 提供病毒文件下载功能 利用微软即插即用服务远程代码执行漏洞 MS05 039 进行传播 如果漏洞利用代码成功运行 将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序 如果漏洞代码没有成功运行 未打补丁的远程计算机可能会出现services exe进程崩溃的现象 修改 SystemDir drivers etc hosts文件 屏蔽大量国外反病毒和安全厂商的网址 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 3 预防与清除 使用 极速波 病毒专杀工具清除 查杀 极速波 病毒 瑞星公司提供专杀工具下载地址 使用 极速波 专杀工具查杀病毒 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 安装微软系统的补丁程序 以免今后再被感染 极速波 补丁程序的下载地址 8 2 1任务一 冲击波 震荡波 和 极速波 病毒 4 冲击波 震荡波 和 极速波 3种病毒的比较 1 利用漏洞速度比较 2 传播能力比较 3 病毒危害性比较 4 嚣张程度比较 8 2 2任务二 灰鸽子 病毒 1 灰鸽子 病毒的简介 灰鸽子 是国内一款著名后门 比起前辈 冰河 和 黑洞 灰鸽子 可以说是国内后门的集大成者 其丰富而强大的功能 灵活多变的操作 良好的隐藏性使其他后门都相形见绌 客户端简易便捷的操作使刚入门的初学者都能充当黑客 当使用在合法情况下时 灰鸽子 是一款优秀的远程控制软件 但如果拿它做一些非法的事 灰鸽子 就成了很强大的黑客工具 8 2 2任务二 灰鸽子 病毒 2 灰鸽子 病毒的运行原理 灰鸽子 木马分两部分 客户端和服务端 黑客操纵着客户端 利用客户端配置生成出一个服务端程序 服务端文件的名字默认为G Server exe 然后黑客通过各种渠道传播这个木马 俗称种木马或者开后门 种木马的手段有很多 比如 黑客可以将它与一张图片绑定 然后假冒成一个羞涩的美眉通过QQ将木马传给你 诱骗你运行 也可以建立一个个人网页 诱骗你点击 利用IE漏洞将木马下载到你的机器上并运行 还可以将文件上传到某个软件下载站点 冒充成一个有趣的软件诱骗用户下载等 G Server exe运行后将自己拷贝到Windows目录下 Windows98和WindowsXP为系统盘的Windows目录 而Windows2000和WindowsNT为系统盘的Winnt目录 然后再从体内释放G Server dll和G Server Hook dll到Windows目录下 8 2 2任务二 灰鸽子 病毒 G Server exe G Server dll和G Server Hook dll三个文件相互配合组成了 灰鸽子 服务端 有些 灰鸽子 会多释放出一个名为G ServerKey dll的文件用来记录键盘操作 注意 G Server exe这个名称并不固定 它是可以定制的 比如当定制服务端文件名为A exe时 生成的文件就是A exe A dll和A Hook dll Windows目录下的G Server exe文件将自己注册成服务 9X系统写注册表启动项 每次开机都能自动运行 运行后启动G Server dll和G Server Hook dll并自动退出 G Server dll文件实现后门功能 与控制端客户端进行通信 G Server Hook dll则通过拦截API调用来隐藏病毒 因此 中毒后 我们看不到病毒文件 也看不到病毒注册的服务项 随着 灰鸽子 服务端文件的设置不同 G Server Hook dll有时候附在Explorer exe的进程空间中 有时候则是附在所有进程中 8 2 2任务二 灰鸽子 病毒 3 灰鸽子 的手工检测 1 打开 我的电脑 执行菜单 工具 文件夹选项 打开 文件夹选项 对话框 如图所示 2 打开 查看 选项卡 取消 隐藏受保护的操作系统文件 前的对勾 并在 隐藏文件和文件夹 项中选择 显示所有文件和文件夹 如图所示 然后单击 确定 命令按钮完成显示所有Windows文件的设置 文件夹选项 对话框 设置文件和文件夹的显示 8 2 2任务二 灰鸽子 病毒 3 打开Windows的 搜索文件 文件名称输入 hook dll 搜索位置选择Windows的安装目录 4 经过搜索 我们在Windows目录 不包含子目录 下发现了一个名为Game Hook dll的文件 如图所示 搜索结果 对话框 8 2 2任务二 灰鸽子 病毒 5 根据对 灰鸽子 原理的分析我们知道 如果Game Hook DLL是 灰鸽子 的文件 则在操作系统安装目录下还会有Game exe和Game dll文件 打开Windows目录 果然有这两个文件 同时还有一个用于记录键盘操作的GameKey dll文件 如图所示 在WINDOWS文件夹下发现 灰鸽子 文件 8 2 2任务二 灰鸽子 病毒 4 灰鸽子 的手工清除清除 灰鸽子 病毒仍然要在安全模式下操作 要清除两方面的内容 一是清除灰鸽子的服务 另一个是删除 灰鸽子 病毒的程序文件 1 清除 灰鸽子 的服务 执行 开始 运行 打开 运行 对话框 然后输入 Regedit 最后按回车键打开注册表编辑器 执行菜单 编辑 查找 打开查找对话框 然后输入 game exe 最后单击 查找下一个 命令按钮 找到 灰鸽子 的服务项GameServer 如图所示 灰鸽子 的服务项Game Serve 8 2 2任务二 灰鸽子 病毒 删除整个Game Server项 删除注册表中 灰鸽子 的自启动项Game exe 如图所示 删除 灰鸽子 自启动项的内容 8 2 2任务二 灰鸽子 病毒 2 删除 灰鸽子 病毒的程序文件删除 灰鸽子 程序文件非常简单 只需要在安全模式下删除Windows目录下的Game exe Game dll Game Hook dll以及Gamekey dll文件 然后重新启动计算机 至此 灰鸽子 已经被清除干净 8 2 3任务三QQ病毒和MSN病毒的检测与清除 1 QQ尾巴 病毒2 QQ连发器 病毒3 QQ林妹妹 病毒4 QQ武汉男生 病毒5 MSN 性感鸡 病毒 1 QQ尾巴 病毒 1 该病毒的主要特征这种病毒并不是利用QQ本身的漏洞进行传播 它其实是在某个网站首页上嵌入了一段恶意代码 利用IE的iFrame系统漏洞自动运行恶意木马程序 从而达到侵入用户系统的目的 进而借助QQ进行垃圾信息发送的目的 用户系统如果没安装漏洞补丁或没将IE升级到最高版本 那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行 就会紧接着通过IE的漏洞运行一个木马程序进驻到用户计算机 然后在用户使用QQ向好友发送信息的时候 该木马程序会自动在发送的消息末尾插入一段广告词 通常都是以下几句中的一种 1 QQ尾巴 病毒 HoHo http www mm com刚才朋友给我发来的这个东东 你不看看就后悔哦 嘿嘿 也给你的朋友吧 呵呵 其实我觉得这个网站真的不错 你看看http www ktv com http www hao com帮忙看看这个网站打不打的开 http ni 看看啊 我最近照的照片 才扫描到网上的 看看我是不是变了样 1 QQ尾巴 病毒 2 QQ尾巴 病毒的检测与清除一种是下载一个 QQ专杀工具 这个工具可以清除目前QQ的所有病毒另外一种方法就是手动清除 2 QQ连发器 病毒 1 该病毒的主要特征病毒运行时会将自身复制到系统目录下 命名为 WebAuto exe 病毒会修改注册表 在HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run启动项中添加键值WebAuto exe 该键值的内容是病毒的文件路径 在下一次启动计算机时 病毒就会自动运行 病毒会将用户系统中的IE默认首页改为 使用户一上网就中招 病毒会寻找QQ的发送消息窗口 给用户所有好友随机发送以下消息 快去这看看 里面有蛮好的东西 上次看了个网站不错 去看看吧 2 QQ连发器 病毒 2 QQ连发器 病毒的检测与清除 打开 任务管理器 看一看是否有Webauto exe进程 如果有就说明你的计算机已经感染了 QQ连发器 病毒 看一看IE默认首页是否改成 使用QQ专杀工具可以清除这种病毒 如图所示 使用瑞星注册表清除工具 可以修复注册表被修改的问题 如图和图所示 先使用 立即扫描注册表 按钮 扫出注册表被修改的项目 如图所示 然后选中要修复的项目 最后使用 修复选中的项目 按钮修复 如图所示 扫出被修改的注册表项目 修复被修改的注册表项目 3 QQ林妹妹 病毒 1 该病毒的主要特征 该病毒发作时 会自动利用QQ发送如图所示的消息 QQ林妹妹 病毒发送消息 3 QQ林妹妹 病毒 当此病毒文件被运行后 会将自身复制到Windows的系统目录System32文件夹里 并将文件名改成wupdate exe 病毒修改注册表的自启动项 使自己在系统启动时可以自动运行 如图所示 QQ林妹妹 病毒修改注册表自启动项 3 QQ林妹妹 病毒 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run WindowsUpdate项 使自己在系统启动时可以自动运行 病毒修改注册表 将IE主页地址设置成 gs 如图所示 HKEY CURRENT USER Software Microsoft InternetExplorer Main StartPage项 QQ林妹妹 病毒修改IE主页 3 QQ林妹妹 病毒 QQ林妹妹 病毒的检测与清除打开任务管理器 看一看是否有wupdate exe进程 如果有就说明你的计算机已经感染上了 QQ林妹妹 病毒 看一看IE默认首页是否改成 gs 使用QQ专杀工具可以清除这种病毒 如图所示 使用瑞星注册表清除工具修复注册表 如图和8 17所示 4 QQ武汉男生 病毒 1 该病毒的主要特征该病毒是一种木马病毒 病毒运行后 除定时发给QQ网友同样的网址外还会趁机盗取 传奇 游戏的账户 密码以及其他信息 并以邮件形式发给盗密码者 还会结束多种反病毒软件 以保护自身不被清除 4 QQ武汉男生 病毒 2 QQ武汉男生 病毒的检测与清除打开 任务管理器 看一看是否有WINSCOK EXE进程 如果有就说明你的计算机已经感染了 QQ武汉男生 病毒 看一看系统文件下是否有WINSCOK EXE Install dll和winscok dll这3个文件 如果有就说明你的计算机已经感染了 QQ武汉男生 病毒 使用QQ专杀工具可以清除这种病毒 如图和8 17所示 5 MSN 性感鸡 病毒 自动向用户所有MSN好友发送带毒文件 如图所示 中毒后显示如图所示的图片 释放 罗伯特 病毒最新变种程序winhost exe winhost exe运行后 会将自身复制到 SystemDir winhost exe 124416字节 并在注册表启动项 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServices 中添加 win32 winhost exe 这样 系统每次启动时 病毒都可以自动运行 病毒程序winhost exe会通过微软的WebDav漏洞 冲击波漏洞 震荡波漏洞和管理员账号口令等途径传播 并从IRC上接收黑客命令 使被感染计算机完全被黑客控制 成为 僵尸计算机 自动向好友发送带毒文件 5 MSN 性感鸡 病毒 2 MSN 性感鸡 病毒的检测与清除 打开 任务管理器 看一看是否有winhost exe winis exe msnus exe和dnsserv exe进程 如果有就说明你的计算机已经感染了MSN 性感鸡 病毒 在使用MSN聊天时 如果看到如图所示的图片 就说明你的计算机已经感染了MSN 性感鸡 病毒 使用MSN 性感鸡 专杀工具可以清除这种病毒 下载网址 8 3技能三使用杀毒软件查杀病毒 8 3 1任务一使用卡巴斯基反病毒单机版查杀病毒8 3 2任务二使用瑞星2006查杀病毒8 3 3任务三使用江民杀毒软件KV2006查杀病毒8 3 4任务四使用金山毒霸2006杀毒软件查杀病毒 8 3 1任务一使用卡巴斯基反病毒单机版查杀病毒 1 使用 扫描我的电脑 查杀病毒 1 启动卡巴斯基杀毒软件 界面如图所示 卡巴斯基主界面 8 3 1任务一使用卡巴斯基反病毒单机版查杀病毒 2 在 扫描我的电脑 上单击鼠标 打开 正在扫描 对话框 这时开始了查杀 我的电脑 中病毒的工作 如图所示 开始查杀病毒 8 3 1任务一使用卡巴斯基反病毒单机版查杀病毒 2 使用 扫描可移动驱动器 查杀病毒 1 启动卡巴斯基杀毒软件 界面如图所示 2 在 扫描可移动驱动器 上单击鼠标 打开 正在扫描 对话框 开始查杀软盘和可移动磁盘中的病毒 如图所示 开始查杀可移动驱动器病毒 8 3 1任务一使用卡巴斯基反病毒单机版查杀病毒 3 使用 扫描对象 查杀病毒 1 启动卡巴斯基杀毒软件 界面如图所示 2 在 扫描对象 上单击鼠标 打开 选择扫描对象 对话框 如图所示 3 选择要扫描的对象 然后单击 扫描 命令按钮 就开始查杀选择对象的病毒 选择要扫描的对象 8 3 2任务二使用瑞星2006查杀病毒 使用 信息中心 查杀病毒 1 启动瑞星2006杀毒软件 然后在 信息中心 选择要查杀的目标 如图所示 2 单击 杀毒 命令按钮 开始对选择的目标查杀病毒 如图所示 选择查杀目标 正在查杀选定目标病毒 8 3 2任务二使用瑞星2006查杀病毒 2 使用 快捷方式 查杀病毒 1 启动瑞星2006杀毒软件 然后单击 快捷方式 标