计算机的病毒及处理ppt课件

计算机的病毒及处理,8.1技能一认识计算机病毒8.2技能二常见的计算机病毒及处理8.3技能三使用杀毒软件查杀病毒,8.1技能一认识计算机病毒,8.1.1任务一什么是计算机病毒8.1.2任务二计算机病毒的分类及特点,8.1.1任务一什么是计算机病毒,计算机病毒是程序，能够自我复制，会将自己的病毒码依附在其他程序上，通过其他程序的执行，伺机传播病毒程序，有一定潜伏期，一旦条件成熟，就进行各种破坏活动，影响计算机的使用。中华人民共和国计算机信息系统安全保护条例第二十八条中对计算机病毒是这样定义的：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”因此，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被启动的具有对计算机资源进行破坏作用的一组程序或指令集合。,8.1.2任务二计算机病毒的分类及特点,1计算机病毒的分类2计算机病毒的特征3计算机病毒的传播途径,1计算机病毒的分类,按照计算机病毒寄生方式分类引导型病毒文件型病毒混合型病毒,1计算机病毒的分类,按照计算机病毒破坏的能力分类无害型无危险型危险型非常危险型,1计算机病毒的分类,按照计算机病毒本身特性分类系统病毒“蠕虫”型病毒黑客型病毒木马型病毒脚本型病毒,2计算机病毒的特征,传染性隐蔽性潜伏性破坏性不可预见性,3计算机病毒的传播途径,不可移动的计算机硬设备移动存储设备硬盘网络,8.2技能二常见的计算机病毒及处理,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒8.2.2任务二“灰鸽子”病毒8.2.3任务三QQ病毒和MSN病毒的检测与清除,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,1.“冲击波”病毒（1）病毒特征病毒名称：I-Worm/Blaster。病毒别名：冲击波。病毒类型：网络蠕虫。病毒长度：6176字节。危险级别：高。影响平台：Windows2000、WindowsXP和Windows2003。相关文件：msblast.exe。病毒描述：该蠕虫病毒利用TCP135端口，通过DCOMRPC漏洞进行攻击。在此病毒代码内隐藏的一段文本信息：IjustwanttosayLOVEYOUSAN!Billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（2）感染病毒后的症状莫名其妙地死机或重新启动计算机。IE浏览器不能正常地打开链接。不能复制、粘贴。有时出现应用程序，比如Word异常。网络变慢。在任务管理器里有一个msblast.exe的进程在运行。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（3）病毒传播的方式当病毒感染计算机系统后，执行以下操作：首先创建一个线程BILLY。修改注册表的键值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun增加“windowsautoupdate”=“msblast.exe”键值，使得病毒可以在系统启动时自动运行。然后按照一定的规则来攻击网络上的计算机。该随机IP段的计算机所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe，该病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件msblast.exe网络蠕虫主体。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（4）预防与清除使用“冲击波”病毒专杀工具清除，查杀“冲击波”病毒。瑞星公司提供专杀工具下载地址：,使用瑞星“冲击波”专杀工具查杀病毒,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（1）病毒特征病毒名称：Worm.Sasser。病毒别名：震荡波。病毒类型：网络蠕虫。病毒长度：15872字节。危险级别：高。影响平台：Windows2000、WindowsXP和Windows2003。相关文件：avserve.exe。病毒描述：该蠕虫病毒会通过FTP的5554端口攻击计算机，一旦攻击失败，会使系统文件崩溃，造成计算机反复重启；病毒如果攻击成功，会将自身传到对方机器并执行病毒程序，然后在C:WINDOWS目录下产生名为avserve.exe的病毒体，继续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（2）感染病毒后的症状出现LSAShell服务异常对话框，如图所示。接着出现一分钟后重启计算机的“系统关机”对话框，如图所示。,LSAShell服务异常对话框,“系统关机”对话框,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现计算机运行异常缓慢的现象。在任务管理器里有一个“avserve.exe”的进程在运行。在Windows系统的安装目录下会出现名为avserve.exe的病毒文件。注册表中出现病毒的自启动键值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中建立病毒键值：“avserve.exe”=“%WINDOWS%avserve.exe”。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（3）病毒传播的方式首先拷贝自身到Windows目录，名为%WINDOWS%avserve.exe（16384字节），然后登记到自启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAvserve.exe=%WINDOWS%avserve.exe。开辟线程，在本地开辟后门，监听TCP5554端口。被攻击的机器主动连接本地5554端口，将IP地址和端口传过来。本线程负责将病毒文件传送到被攻击的机器。病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，将该目标的IP地址保存到“c:win2.log”中。利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作，以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（4）预防与清除使用“震荡波”病毒专杀工具清除，查杀“震荡波”病毒。瑞星公司提供专杀工具下载地址：,使用瑞星“震荡波”专杀工具查杀病毒,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,3.“极速波”病毒（1）病毒特征病毒名称：I-Worm/Zobot。病毒别名：极速波。病毒类型：网络蠕虫。病毒长度：22528字节。危险级别：高。影响平台：Windows2000、WindowsXP和Windows2003。相关文件：botzor.exe。病毒描述：该蠕虫病毒利用微软“即插即用服务代码执行漏洞”（MS05-039）的病毒。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（2）病毒传播的方式及引起的症状当“极速波”病毒攻击失败时候，会造成系统频繁重启，如图所示。,“极速波”病毒造成系统重启,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,当病毒运行后，将在系统目录下创建一个文件botzor.exe。如图所示。,在系统目录下创建botzor.exe文件,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,在注册表中添加下列启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“WINDOWSSYSTEM”=botzor.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices“WINDOWSSYSTEM”=botzor.exe这样，在Windows启动时，病毒就可以自动执行，如图所示。,在注册表中创建自启动项,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。修改%SystemDir%driversetchosts文件，屏蔽大量国外反病毒和安全厂商的网址。,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,（3）预防与清除使用“极速波”病毒专杀工具清除，查杀“极速波”病毒。瑞星公司提供专杀工具下载地址：,使用“极速波”专杀工具查杀病毒,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,安装微软系统的补丁程序，以免今后再被感染。“极速波”补丁程序的下载地址：,8.2.1任务一“冲击波”、“震荡波”和“极速波”病毒,4.“冲击波”、“震荡波”和“极速波”3种病毒的比较（1）利用漏洞速度比较（2）传播能力比较（3）病毒危害性比较（4）嚣张程度比较,8.2.2任务二“灰鸽子”病毒,1“灰鸽子”病毒的简介“灰鸽子”是国内一款著名后门。比起前辈“冰河”和“黑洞”，“灰鸽子”可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，“灰鸽子”是一款优秀的远程控制软件。但如果拿它做一些非法的事，“灰鸽子”就成了很强大的黑客工具。,8.2.2任务二“灰鸽子”病毒,2“灰鸽子”病毒的运行原理“灰鸽子”木马分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的美眉通过QQ将木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞将木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载等。G_Server.exe运行后将自己拷贝到Windows目录下（Windows98和WindowsXP为系统盘的Windows目录，而Windows2000和WindowsNT为系统盘的Winnt目录），然后再从体内释放G_Server.dll和G_Server_Hook.dll到Windows目录下。,8.2.2任务二“灰鸽子”病毒,G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了“灰鸽子”服务端，有些“灰鸽子”会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着“灰鸽子”服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。,8.2.2任务二“灰鸽子”病毒,3.“灰鸽子”的手工检测（1）打开“我的电脑”，执行菜单【工具】【文件夹选项】，打开“文件夹选项”对话框，如图所示。（2）打开“查看”选项卡，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，如图所示。然后单击“确定”命令按钮完成显示所有Windows文件的设置。,“文件夹选项”对话框,设置文件和文件夹的显示,8.2.2任务二“灰鸽子”病毒,（3）打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录。（4）经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件，如图所示。,“搜索结果”对话框,8.2.2任务二“灰鸽子”病毒,（5）根据对“灰鸽子”原理的分析我们知道，如果Game_Hook.DLL是“灰鸽子”的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件，如图所示。,在WINDOWS文件夹下发现“灰鸽子”文件,8.2.2任务二“灰鸽子”病毒,4“灰鸽子”的手工清除清除“灰鸽子”病毒仍然要在安全模式下操作，要清除两方面的内容，一是清除灰鸽子的服务，另一个是删除“灰鸽子”病毒的程序文件。（1）清除“灰鸽子”的服务执行【开始】【运行】，打开“运行”对话框，然后输入“Regedit”，最后按回车键打开注册表编辑器。执行菜单【编辑】【查找】，打开查找对话框，然后输入“game.exe”，最后单击“查找下一个”命令按钮，找到“灰鸽子”的服务项GameServer。如图所示。,“灰鸽子”的服务项Game_Serve,8.2.2任务二“灰鸽子”病毒,删除整个Game_Server项。删除注册表中“灰鸽子”的自启动项Game.exe，如图所示。,删除“灰鸽子”自启动项的内容,8.2.2任务二“灰鸽子”病毒,（2）删除“灰鸽子”病毒的程序文件删除“灰鸽子”程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，“灰鸽子”已经被清除干净。,8.2.3任务三QQ病毒和MSN病毒的检测与清除,1“QQ尾巴”病毒2“QQ连发器”病毒3“QQ林妹妹”病毒4“QQ武汉男生”病毒5MSN“性感鸡”病毒,1“QQ尾巴”病毒,（1）该病毒的主要特征这种病毒并不是利用QQ本身的漏洞进行传播，它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统的目的，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没将IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻到用户计算机。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。,1“QQ尾巴”病毒,HoHohttp:/www.mm*.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。呵呵，其实我觉得这个网站真的不错，你看看http:/www.ktv*.com/。http/www.hao*.com帮忙看看这个网站打不打的开。http:/ni*看看啊。我最近照的照片，才扫描到网上的。看看我是不是变了样?,1“QQ尾巴”病毒,（2）“QQ尾巴”病毒的检测与清除一种是下载一个“QQ专杀工具”，这个工具可以清除目前QQ的所有病毒另外一种方法就是手动清除,2“QQ连发器”病毒,（1）该病毒的主要特征病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。病毒会修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun启动项中添加键值WebAuto.exe，该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。病毒会将用户系统中的IE默认首页改为：，使用户一上网就中招。病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：“快去这看看，里面有蛮好的东西”。“上次看了个网站不错，去看看吧”。,2“QQ连发器”病毒,（2）“QQ连发器”病毒的检测与清除打开“任务管理器”，看一看是否有Webauto.exe进程，如果有就说明你的计算机已经感染了“QQ连发器”病毒。看一看IE默认首页是否改成。使用QQ专杀工具可以清除这种病毒，如图所示。使用瑞星注册表清除工具，可以修复注册表被修改的问题。如图和图所示，先使用“立即扫描注册表”按钮，扫出注册表被修改的项目，如图所示。然后选中要修复的项目，最后使用“修复选中的项目”按钮修复，如图所示。,扫出被修改的注册表项目,修复被修改的注册表项目,3“QQ林妹妹”病毒,（1）该病毒的主要特征该病毒发作时，会自动利用QQ发送如图所示的消息。,“QQ林妹妹”病毒发送消息,3“QQ林妹妹”病毒,当此病毒文件被运行后，会将自身复制到Windows的系统目录System32文件夹里，并将文件名改成wupdate.exe。病毒修改注册表的自启动项，使自己在系统启动时可以自动运行，如图所示。,“QQ林妹妹”病毒修改注册表自启动项,3“QQ林妹妹”病毒,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindowsUpdate项，使自己在系统启动时可以自动运行。病毒修改注册表，将IE主页地址设置成.gs，如图所示。HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainStartPage项。,“QQ林妹妹”病毒修改IE主页,3“QQ林妹妹”病毒,“QQ林妹妹”病毒的检测与清除打开任务管理器，看一看是否有wupdate.exe进程，如果有就说明你的计算机已经感染上了“QQ林妹妹”病毒。看一看IE默认首页是否改成.gs。使用QQ专杀工具可以清除这种病毒，如图所示。使用瑞星注册表清除工具修复注册表，如图和8.17所示。,4.“QQ武汉男生”病毒,（1）该病毒的主要特征该病毒是一种木马病毒，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的账户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。,4.“QQ武汉男生”病毒,（2）“QQ武汉男生”病毒的检测与清除打开“任务管理器”，看一看是否有WINSCOK.EXE进程，如果有就说明你的计算机已经感染了“QQ武汉男生”病毒。看一看系统文件下是否有WINSCOK.EXE、Install.dll和winscok.dll这3个文件，如果有就说明你的计算机已经感染了“QQ武汉男生”病毒。使用QQ专杀工具可以清除这种病毒，如图和8.17所示。,5MSN“性感鸡”病毒,自动向用户所有MSN好友发送带毒文件，如图所示。中毒后显示如图所示的图片。释放“罗伯特”病毒最新变种程序winhost.exe。winhost.exe运行后，会将自身复制到%SystemDir%winhost.exe（124416字节），并在注册表启动项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中添加：“win32”=“winhost.exe”，这样，系统每次启动时，病毒都可以自动运行。病毒程序winhost.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员账号口令等途径传播。并从IRC上接收黑客命令，使被感染计算机完全被黑客控制，成为“僵尸计算机”。,自动向好友发送带毒文件,5MSN“性感鸡”病毒,（2）MSN“性感鸡”病毒的检测与清除打开“任务管理器”，看一看是否有winhost.exe、winis.exe、msnus.exe和dnsserv.exe进程，如果有就说明你的计算机已经感染了MSN“性感鸡”病毒。在使用MSN聊天时，如果看到如图所示的图片，就说明你的计算机已经感染了MSN“性感鸡”病毒。使用MSN“性感鸡”专杀工具可以清除这种病毒。下载网址：,8.3技能三使用杀毒软件查杀病毒,8.3.1任务一使用卡巴斯基反病毒单机版查杀病毒8.3.2任务二使用瑞星2006查杀病毒8.3.3任务三使用江民杀毒软件KV2006查杀病毒8.3.4任务四使用金山毒霸2006杀毒软件查杀病毒,8.3.1任务一使用卡巴斯基反病毒单机版查杀病毒,1使用“扫描我的电脑”查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。,卡巴斯基主界面,8.3.1任务一使用卡巴斯基反病毒单机版查杀病毒,（2）在“扫描我的电脑”上单击鼠标，打开“正在扫描”对话框，这时开始了查杀“我的电脑”中病毒的工作，如图所示。,开始查杀病毒,8.3.1任务一使用卡巴斯基反病毒单机版查杀病毒,2使用“扫描可移动驱动器”查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。（2）在“扫描可移动驱动器”上单击鼠标，打开“正在扫描”对话框，开始查杀软盘和可移动磁盘中的病毒，如图所示。,开始查杀可移动驱动器病毒,8.3.1任务一使用卡巴斯基反病毒单机版查杀病毒,3使用“扫描对象”查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。（2）在“扫描对象”上单击鼠标，打开“选择扫描对象”对话框，如图所示。（3）选择要扫描的对象，然后单击“扫描”命令按钮，就开始查杀选择对象的病毒。,选择要扫描的对象,8.3.2任务二使用瑞星2006查杀病毒,使用“信息中心”查杀病毒（1）启动瑞星2006杀毒软件，然后在“信息中心”选择要查杀的目标，如图所示。（2）单击“杀毒”命令按钮，开始对选择的目标查杀病毒，如图所示。,选择查杀目标,正在查杀选定目标病毒,8.3.2任务二使用瑞星2006查杀病毒,2.使用“快捷方式”查杀病毒（1）启动瑞星2006杀毒软件，然后单击“快捷方式”标签，打开“快捷方