第9章计算机病毒的防治.ppt

1、2,第9章 计算机病毒的防治,本章导读 目前，危害计算机的主要对象就是各种类型的计算机病毒。对于计算机系统的安全和病毒的防治也理所当然地成为我们所关注的 焦点。 主要内容 了解电脑病毒的类型及其危害 启用网络防火墙 使用杀毒软件 常见病毒、木马的手工查杀方法,3,9.1 电脑病毒的类型及其危害,电脑病毒其实是一个程序，是一段可执行代码，是由一些人故意制造出来的。计算机病毒像生物病毒一样有复制能力，通过磁盘、网络传播并且能够很快地蔓延，它可以毁坏文件、格式化用户的硬盘数据，使用户受到后果严重的巨大损失。目前全球有20多万种病毒，按照基本类型划分，可归结为6种类型。 1. 引导型病毒 2. 可执行

2、文件病毒 3. 宏病毒 4. 混合型病毒 5. 特洛伊木马型病毒 6. Internet语言病毒,4,9.2 启用网络防火墙,启动Internet连接防火墙的方法如下。 (1)Windows XP操作系统下，在【控制面板】窗口中双击【网络连接】图标，打开【网络连接】窗口。 (2)右击建立的连接图标，打开连接属性对话框，切换到其中的【高级】选项卡，如图9-1所示。 (3)选中【通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络】复选框。 (4)单击【确定】按钮即可启动Internet连接防火墙。,5,9.2 启用网络防火墙,Internet防火墙的高级设置可以帮助用户选择

3、设置服务、消息控制和安全日志，其设置方法如下。 (1)在【高级】选项卡中单击【设置】按钮，打开【高级设置】对话框，如图9-2所示。 (2)在【服务】选项卡中，列出了可以为该连接启用的服务，通过启动这些服务，允许Internet上的其他计算机访问本地网络中已启动的服务。 (3)在【安全日志】选项卡中，可以设置安全日志所要记录的事件、日志文件的位置、文件名和文件的大小。 (4)在ICMP选项卡中，用户可以设置本机必须响应的来自于Internet的信息请求，如图9-3所示。 (5)完成后单击【确定】按钮即可。,6,9.3 使用杀毒软件,9.3.1 安装杀毒软件 1. 下载 360安全卫士的官方网站为

4、。下载并安装好360安全卫士以后，即可在360安全卫士的查杀面板中找到卡巴斯基安装文件的下载链接，如图9-4所示。,7,9.3.1 安装杀毒软件,2. 开始安装 下载完毕，系统会自动打开卡巴斯基的安装向导，根据提示单击【下一步】按钮来继续安装卡巴斯基，如图9-5所示。 接下来会出现卡巴斯基的用户许可协议，单击【我接受许可协议条款】，然后单击【下一步】按钮。,8,9.3.1 安装杀毒软件,3. 选择安装模式 卡巴斯基提供了两种不同的安装类型，一个是安装所有程序模块的完整类型，另一个是用户自定义各个安装模块。一般单击【完整】按钮，如图9-6所示。 4. 选择激活方式 由于卡巴斯基是收费软件，所以需

5、要用户填写购买的激活码，在出现的激活窗口中，我们先选中【稍后激活】单选按钮，如图9-7所示，然后单击【下一步】按钮。,9,9.3.1 安装杀毒软件,5. 完成安装 根据默认设置，一路单击【下一步】按钮，各项设置完成以后，卡巴斯基会提示用户，需要重新启动计算机才能完成安装。 6. 获取激活码 程序安装好后，我们需要获得激活码以获得较长的使用时间，打开360安全卫士，并进入【查杀】【查杀病毒】面板，单击窗口中的【点此获取免费的卡巴斯基激活码】链接，如图9-8所示。,10,9.3.1 安装杀毒软件,7. 复制序列号 此时360安全卫士会连接服务器，并给出一个带有一组序列号的提示窗口，单击【复制到剪贴

6、板】按钮，如图9-9所示。 复制到剪贴板后，双击右下角任务栏上的卡巴斯基图标打开卡巴斯基，单击窗口左下角的【激活】来打开激活向导，选中【使用激活码激活】单选按钮，然后单击【下一步】按钮。如图9-10所示。 在出现的窗口中，在【激活码】一栏内，单击【粘贴】，然后单击【下一步】按钮，此时卡巴斯基会连接到激活服务器，经过几秒钟，会出现激活完成窗口，单击【完成】按钮，就可以激活卡巴斯基，至此，卡巴斯基被安装到了系统中，并且激活成功。,11,9.3.2 使用杀毒软件杀毒,1. 基本查杀方法 如果想查杀内存、引导扇区等关键部位的病毒，可以直接单击【扫描】，然后单击【关键区域】，再单击窗口右侧的【扫描】按钮

7、，卡巴斯基即可扫描关键区域的病毒。 2. 完全查杀 如果想对【我的电脑】做一个整体的查杀，单击【我的电脑】，然后再单击【扫描】，卡巴斯基即可对整个系统、包括移动磁盘等进行全面、彻底的查杀，如图9-12所示。 3. 更新病毒 卡巴斯基可以自动更新自身的病毒库，如果用户想手动更新病毒库，可以单击窗口左侧【服务】下的【更新】按钮，然后再单击窗口右侧的【立即更新】按钮，卡巴斯基就会连接更新服务器，将其自身的病毒库更新到最新版本，如图9-13所示。,12,9.4 常见病毒木马查杀方法,9.4.1 检查电脑是否被安装木马 一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

8、 1. 检测网络连接 2. 禁用不明服务 3. 轻松检查账户,13,9.4.2 案例1：查杀cmdbcs.exe变种木马病毒,【中毒症状】 系统任务进程里面有几个不明程序cmdbcs.exe、upxdnd.exe、winform.exe、msccrt.exe、mppdds.exe，这就是trojan psw.win32木马病毒。 【查杀方法】 (1)删除木马的启动项 (2)重新启动计算机，按F8进入安全模式。 (3)删除木马文件 以上不明程序如在启动项中出现，均需要清除启动项，并删除可执行文件，病毒清除。,14,9.4.3 案例2：查杀“金猪报喜”病毒,【中毒症状】 系统运行速度变慢，并且还会

9、感染pif、src、html、exe、com类文件，更要命的是就连压缩包及其中文件也能被感染到，而且被感染的exe文件图标，会变更为金猪报喜的图案，从而影响程序的正常运行。不仅如此，其病毒还有停止杀毒软件运行的功能。 【查杀方法】 首先从网上下载“PC保镖之金猪报喜专杀急防御”工具 在软件界面右下侧的“系统状态”栏内，可以直观观察到当前系统是否已感染“金猪报喜”病毒的提示，如果已经感染，只要单击【查杀】按钮，就可彻底清除掉此类金猪病毒。,15,9.4.4 案例3：查杀新QQ尾巴病毒,【中毒症状】 新QQ尾巴，发诱惑消息迷惑网民，单击消息中的链接，下载运行后就会中毒，中毒后会不停向好友发出类似消

10、息。发送消息后尝试关闭聊天窗口，病毒还会访问一些广告页面。 【查杀方法】 (1)结束病毒进程。 (2)单击【开始】按钮，选择【运行】命令，打开【运行】对话框，输入regedit，启动注册表编辑器，删除以下病毒启动项。 (3)使用杀毒软件或者手工删除病毒文件。 (4)恢复“纸牌”游戏。 (5)删除其他分区的病毒文件。 (6)禁用自动播放防范此类病毒。,16,9.4.5 案例4：查杀MSN相片蠕虫病毒,【中毒症状】 (1)病毒运行后创建自己的压缩包，命名为PHOTOS.ZIP，释放到%WINDIR%目录下，放出一名为syshosts.dll的动态库到%SYSTEM%目录下，将动态库蛀入系统多个线程

11、中实现其传播。 (2)病毒会自动创建如下注册表项，实现自启动。 (3)病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人。 (4)病毒运行后将访问www.free8.bi地址，以特定的昵称，登录到特定的IRC频道上，并在IRC聊天频道中散播消息。,17,9.4.5 案例4：查杀MSN相片蠕虫病毒,【查杀方法】 (1)删除病毒在注册表中的启动项目。 单击【开始】按钮，选择【运行】命令。输入regedit.exe启动注册表编辑器。 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion hellService

12、ObjectDelayLoad项，找到名为syshosts的项，将其值记录下来。 将syshosts项删除。 打开注册表中的HKEY_CLASSES_ROOTCLSID项，找到刚刚记录下的项目。 重新启动计算机。 (2)删除病毒文件。 打开【我的电脑】，选择【工具】【文件夹选项】，单击【查看】，取消【隐藏受保护的操作系统文件】前的对勾，并在【隐藏文件和文件夹】项中选择【显示所有文件和文件夹】，然后单击【确定】按钮。 进入Windows文件夹(默认为C:Windows)，找到名为photos.zip的文件，将其删除。 进入系统文件夹(默认为C:Windowssystem32)，找到名为sysho

13、sts.dll的文件，将其删除。 再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。,18,9.4.6 案例5：查杀stup.exe木马病毒,【中毒症状】 发现C:PROGRA1TENCENTAdplusstup.exe文件。 【查杀方法】 (1)重新启动系统，进入安全模式下。 (2)找到C:PROGRA1TENCENT文件夹，将此文件夹下的Adplus文件夹删除。 (3)用系统搜索功能搜索stup相关文件，找到后删除。 (4)进入注册表管理器并双击【我的电脑】项，然后选择【编辑】【查找】命令，输入stup进行查找并删除所有相关内容。,19,9.4.7 案例6：查

14、杀 “MSN照片”病毒,【中毒症状】 病毒会通过MSN发送内容为“HEY lol ive done a new photo album !:) Second ill find file and send you it.”、“Hey wanna see my new photo album?”等的消息，同时附带一个名为photo album.zip的压缩文件。 【查杀方法】 (1)运行regedit，打开注册表编辑器。 (2)打开HKEY_CLASSES_ROOTCLSID，找到刚才记录下的CLSID项，本例为：C7B4EE78-A8FB-4C16-AE1F-C1A568949825，将其删除。

15、 (3)由于该病毒驻留内存，因此，清除掉启动项目后必须重新启动计算机才能够删除病毒文件。 (4)进入Windows文件夹，默认为C:windows，找到名为photo album.zip的文件并删除。,20,9.4.8 案例7：查杀闪存盘内的病毒,【中毒症状】 硬盘的各个分区根目录下面看到Autorun.inf这样的文件，并且用鼠标双击磁盘分区图标时，往往无法打开对应分区窗口。 【查杀方法】 (1)清除方法 (2)无法删除Autorun.inf时的对策 【防护措施】 预防闪盘病毒再次袭击的方法非常简单，只需要在闪盘根目录下面自己手工创建一个Autorun.inf文件，这样一来闪盘病毒就无法在闪

16、盘根目录下面自动生成Autorun.inf病毒文件了，毕竟相同的目录下面是不允许创建同名文件或同名文件夹的，那样的话闪盘病毒就无法通过闪盘进行传播了。同样地，这种预防闪盘病毒的方法也适用于移动硬盘。,21,9.4.9 案例8：查杀灰鸽子(HUIGEZI)系列病毒,【中毒症状】 灰鸽子病毒英文名为win32.hack.huigezi，病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己，Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。中灰鸽子病毒后的电脑会被远程攻击者完全控制，具备用户的管理权限，远程黑客可以轻易地复制、删除、上传、下载文件，机密文件在用户毫不

17、知情的情况下被窃取。 【查杀方法】 由于灰鸽子本身的隐蔽性很强，用Windows系统自带的工具，很难发现灰鸽子入侵。金山毒霸提供了免费的“灰鸽子”专杀工具，将数据流查杀技术集成到这个专杀工具中，可完全清除各种经过特殊变形处理的灰鸽子病毒。,22,9.4.10 案例9：查杀RMVB文件中的木马病毒,【中毒症状】 RMVB文件播放时带有网页木马，会打开某网页。 【查杀方法】 运行程序后，单击【源文件】按钮，指定要清除网页木马的RMVB视频文件；然后在【另存为】文本框中指定保存路径，最后单击【开始过滤】按钮，即可开始清除Real视频中的各种网页木马和广告信息了。 如果设置了【显示过滤进度】项，那么可

18、以看到realfilter.exe实际上是调用了Helix Producer Plus的rmevents.exe插件程序进行过滤清除的，在弹出的命令窗口中可以看到清除过滤进度。清除完毕后，弹出完成提示对话框，并显示清除了视频中的多少信息及文件减小的体积，现在得到的就是一个去掉木马网页或广告的干净视频了。,23,9.4.11 案例10：主页被改为Union123与快搜的解决方法,【中毒症状】 网上冲浪的时候会发现浏览器主页被更改为http:/hao123.union123.*/index.htm，打开IE时会自动转向快搜的主页(hxxp:/* index.html?uid=19612和http:

19、/* 【查杀方法】 首先删除注册表中的服务项，在注册表管理器中依次展开HKEY_LOCAL_MACHINE systemcurrentcontrolsetservices，删除里面的jsefusf。在IE浏览器的属性对话框中把主页更改回来。 然后，重启计算机。进入系统后找到并删除下面两个文件。 %SYSTEM%jsefusf.exe %SYSTEM%jsefusf.dll,24,9.4.12 案例11：查杀ARP病毒,【中毒症状】 杀毒软件不停报警，但查本机硬盘没有病毒，会不停弹出： 等网站自动下载病毒。 【查杀方法】 可能受到ARP攻击，可以先试试安装ARP防火墙，下载网址如下。 ARP防火

20、墙 ARP专杀,25,9.4.13 案例12：查杀AV终结者,【中毒症状】 (1)生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。 (2)中毒后会发现几乎所有杀毒软件、系统管理工具、反间谍软件不能正常启动，即使手动删除了病毒程序，下次启动这些软件时，还会报错。 (3)不能正常显示隐藏文件，其目的是更好地隐藏自身不被发现。 (4)禁用Windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来，为该病毒的下一步破坏打开方便之门。 (5)破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。 (6)当前活动窗口中有杀毒、安全、社区相关

21、的关键字时，病毒会关闭这些窗口。假如想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。 (7)在本地硬盘、U盘或移动硬盘中生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。 (8)病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。,26,9.4.13 案例12：查杀AV终结者,【查杀方法】 (1)在能正常上网的电脑上下载AV终结者病毒专杀工具。 金山提供的专杀工具下载地址： (2)在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。 把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中

22、毒的电脑上。 (3)执行AV终结者专杀工具，清除已知的病毒，修复系统配置。 (4)不要立即重启电脑，先启动杀毒软件，升级病毒库，进行全盘扫描，以清除木马下载器下载的其他病毒。,27,9.4.14 案例13：查杀“熊猫烧香”病毒,【中毒症状】 (1)感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。 (2)部分变种可以直接通过互联网更新版本，部分变种除感染.exe文件外，还可以感染htm、html、asp、php、jsp、aspx等网页格式文件。 (3)一旦Web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染熊猫烧香病毒。 (4)该系列变种会释放以下几个典型文件，处于分区根目