信息安全基础 课件 7.典型病毒案例

信息安全基础InformationSecurityFundamentals7.2计算机病毒实例计算机病毒防治本节内容蠕虫病毒熊猫烧香病毒勒索病毒宏病毒1.蠕虫病毒网络化病毒网络化：传播速度快、爆发速度快、面广隐蔽化：具有欺骗性（加密）多平台、多种语言新方式：与黑客、特洛伊木马相结合多途径：通过各种网络途径传播攻击反病毒软件变化快（变种）清除难度大破坏性强1.蠕虫病毒蠕虫病毒的概念蠕虫(Worm)病毒是一种常见的计算机病毒，通过网络复制和传播，具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务攻击，以及与黑客技术相结合。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪。1.蠕虫病毒蠕虫病毒的概念蠕虫一般不采用利用PE格式插入文件的方法，而是复制自身在Internet环境下传播。一般病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是Internet内的所有计算机。局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使人们手足无措。1.蠕虫病毒蠕虫病毒的分类根据使用者的情况将蠕虫病毒分为两类：针对企业用户和局域网的，这类病毒利用系统漏洞，主动进行攻击，可以对整个Internet造成瘫痪性的后果。针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播。在这两类蠕虫中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性。第二类病毒的传播方式比较复杂、多样，少数利用了Microsoft应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的。1.蠕虫病毒蠕虫病毒的特点传染方式多传播速度快清除难度大破坏性强1.蠕虫病毒蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机1.蠕虫病毒蠕虫病毒的实例：2003蠕虫王2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”(Worm.NetKiller2003)，其危害远远超过曾经肆虐一时的“红色代码病毒”。该蠕虫是利用SQLSERVER2000的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。此病毒不具有破坏文件、数据的能力，主要影响就是大量消耗网络带宽资源，使得网络瘫痪。由于“2003蠕虫王”具有极强的传播能力，在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。2.宏病毒宏病毒的定义宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。宏病毒，就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。2.宏病毒宏病毒的工作原理在用WORD处理文档时，需要同时进行各种不同的动作，每一种动作其实都对应着特定的宏命令。当建立一个文档时，系统首先打开一个通用模版文件，如NORMAL.DOT，其中存放了一些新文档的初始化宏程序。在处理文档时，WORD总要进行某些宏的操作，须执行模版上有标准名称的宏程序。病毒包含在宏中时，只要染毒的文件被打开，病毒的宏程序就可能会被执行，进而取得系统控制权，进行感染和破坏。为了能广泛地传播，宏病毒大都采用感染通用模版NORMAL.DOT的方法将自己复制到其它文档中去。2.宏病毒宏病毒的特点传播极快：因为办公数据的交流要比拷贝.EXE文件更加经常和频繁，如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话，那么这一招对Word病毒将束手无策。病毒隐蔽性强：由于人们忽视了在传递一个文档时也会有传播病毒的机会，病毒更加隐蔽。危害严重：因为MicrosoftWord几乎已经成为全世界办公文档的事实工业标准，其影响是全球范围的。由于该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒在公司通过内联网相互进行文档传送时，迅速蔓延，往往很快就能使公司的机器全部染上病毒。难以防治：由于宏病毒利用了Word的文档机制进行传播，所以它和以往的病毒防治方法不同。一般情况下，人们大多注意可执行文件（.COM、.EXE）的病毒感染情况，而Word宏病毒寄生于Word的文档中，而且人们一般都要对文档文件进行备份，因此病毒可以隐藏很长一段时间。2.宏病毒宏病毒的行为特征宏病毒会感染.DOC文档和.DOT模板文件。宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。宏病毒中总是含有对文档读写操作的宏命令。宏病毒在.DOC文档、.DOT模板中以BFF（BinaryFileFormat）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。宏病毒具有兼容性。2.宏病毒宏病毒实例2.宏病毒宏病毒的检测宏病毒离不开可供其运行的系统软件(WORD，EXCEL等OFFICE软件)，所以宏病毒的检测其实非常容易。只要留意一下常用的OFFICE系统软件是不是出现了一些不正常的现象，就能大概知道计算机是不是染上了宏病毒。在自己使用的Word中打开“工具”中的“宏”菜单，选择通用模板，若发现有“AutoOpen”等自动宏、“FileSave”等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，就有可能中病毒了。因为大多数用户的通用模板中是没有宏的。如果打开一个文档，未经任何改动，立即有存盘操作，也有可能是word带有病毒。打开以DOC为后缀的文件，在“另存为”菜单中只能以模板方式存盘，而此时通用模板中含有宏，也有可能是文件带有病毒。尝试保存文档时，只允许将文档保存为文档模版的格式。2.宏病毒宏病毒的清除打开word，选择“工具”→“宏”→“安全性”，将“安全级”设置为“高”。选择“工具”→“宏”→“宏”，打开宏编辑器，将其中的可疑宏删除。找到normal.dot文件（一般在C:\DocumentsandSettings\Administrator\ApplicationData\Microsoft\Templates），用先前干净的备份替换之，或者干脆删除（会自动生成一个）。查看normal.dot文件所在的目录是否还有其他可疑宏，如果有，也删除掉。2.宏病毒宏病毒的预防根据AUTO宏的自动执行的特点，在打开WORD文档时，可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏，特别是出现一些怪名字的宏，肯定是病毒无疑，将它删除即可。具体做法是，选择“工具”→“宏”→“VisualBasic编辑器”，删除各宏代码模块即可。针对宏病毒感染NORMAL模版的特点，用户在新安装了OFFICE软件后，可打开一个新文档，将OFFICE的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新模板。这时生成的NORMAL模版绝对没有宏病毒，可将其备份起来。在遇到有宏病毒感染时，用备份的NORMAL模版覆盖当前的NORMAL模版，可以起到消除宏病毒的作用。3.熊猫烧香病毒熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉人李俊编写。由于中毒计算机的可执行文件会出现“熊猫烧香”图案而得名。3.熊猫烧香病毒循环遍历磁盘目录，感染所有EXE,SCR,PIF,COM文件，将感染目标文件和病毒溶合成一个文件（被感染文件贴在病毒文件尾部）完成感染，并更改图标为烧香的熊猫。感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，在这些脚本文件尾加上如下链接：<iframesrc=/worm.htmwidth=height=0></iframe>导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。感染时会自动删除.gho文件，使用户的系统备份文件丢失。建立一个计时器，以6秒为周期在磁盘的根目录下生成setup.exe（病毒本身）autorun.inf，并利用AutoRunOpen关联使病毒在用户点击被感染磁盘时能被自动运行。“熊猫烧香”病毒的攻击过程3.熊猫烧香病毒当病毒发现能成功联接攻击目标的139或445端口后，将使用内置的一个用户列表及密码字典进行联接（猜测被攻击端的密码）。当成功联接上以后将自己复制过去，并利用计划任务启动激活病毒。拷贝文件：病毒运行后，会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe添加注册表自启动：病毒会添加自启动项svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe感染“熊猫烧香”病毒的传播方式3.熊猫烧香病毒每隔1秒寻找桌面窗口，并关闭窗口标题中含有以下字符的程序：防火墙、进程、网镖、杀毒、瑞星（等杀毒软件的名字）、超级兔子、优化大师（等系统优化工具的名字）、注册表编辑器、系统配置实用程序并使用的键盘映射的方法关闭安全软件IceSword；添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe

并结束系统中以下的进程：Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、Rundll32.exe每隔18秒点击病毒作者指定的网页，并用命令行检查系统中是否存在共享，共享存在的话就运行netshare命令关闭admin$共享感染“熊猫烧香”病毒的攻击行为3.熊猫烧香病毒每隔10秒下载病毒作者指定的文件，并用命令行检查系统中是否存在共享，共享存在的话就运行netshare命令关闭admin$共享每隔6秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask、KvMonXP、kav、KAVPersonal50、McAfeeUpdaterUI、NetworkAssociatesErrorReportingService等并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00删除以下服务：navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc等感染“熊猫烧香”病毒的传播方式3.熊猫烧香病毒4.勒索病毒勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。据“火绒威胁情报系统”监测和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。4.勒索病毒勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥，利用公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。勒索病毒的传播途径加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。4.勒索病毒据“火绒威胁情报系统”监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修