認(rèn)識(shí)與防范病毒

1、認(rèn)識(shí)與防範(fàn)病毒認(rèn)識(shí)與防範(fàn)病毒講員：雷濟(jì)華講員：雷濟(jì)華電算中心網(wǎng)路教學(xué)組電算中心網(wǎng)路教學(xué)組.tw課程內(nèi)容課程內(nèi)容認(rèn)識(shí)病毒的種類基本電腦病毒的防治新任的病毒王-疾風(fēng)病毒郵件攻擊者-老大病毒W(wǎng)indows OS Update清除疾風(fēng)及老大病毒步驟Q & A認(rèn)識(shí)病毒的種類認(rèn)識(shí)病毒的種類(一一)何謂惡意軟體(Malware)? 凡是一般使用者不期待或有惡意行為的程式碼或軟體皆稱為惡意軟體.惡意軟體的種類: 電腦病毒, 木馬程式或後門程式, 蠕蟲, 玩笑程式.認(rèn)識(shí)病毒的種類認(rèn)識(shí)病毒的種類(二二) 何謂電腦病毒? 它是一組

2、可執(zhí)行的程式碼, 會(huì)自我複製並且擴(kuò)散到其他的檔案上. 它在運(yùn)作過程分為三個(gè)時(shí)期: 感染期, 潛伏期, 發(fā)作期. 電腦病毒的種類: Windows virus, macro virus, script virus, Java virus, Boot virus, DOS virus.認(rèn)識(shí)病毒的種類認(rèn)識(shí)病毒的種類(三三) 電腦病毒如何擴(kuò)散? 磁碟片的傳染, 程式的傳染, 文件的傳染, 電子信件的傳染, 網(wǎng)路的傳染. 電腦病毒不再像以往只是單一的型態(tài)發(fā)生. 現(xiàn)在的病毒多為混合型的種類, 像這次的老大病毒包含了病毒, 後門, 蠕蟲這三項(xiàng)種類. 因此很難斷定它是屬於惡意軟體中的哪一類.基本電腦病毒的防治

3、基本電腦病毒的防治 安裝防毒軟體, 例如: 賽門鐵克-Norton, 趨勢(shì)-Pccillin, etc. 修補(bǔ)各類平臺(tái)的漏洞, 例如: Windows, Linux, Solaris, etc. 修補(bǔ)各類套裝軟體的漏洞, 例如: MS SQL, Unix_base Sendmail. 不開啟來路不明的信件或附檔. 不下載來路不明的軟體或檔案.新任的病毒王新任的病毒王-疾風(fēng)病毒疾風(fēng)病毒 (一一)疾風(fēng)病毒的英文名稱:Blaster:Blaster: WORM_MSBLAST.D TrendWelchia:Welchia: W32.Welchia.Worm Symantec, W32/Welchia

4、.worm10240 AhnLab, Worm.Win32.Welchia KAVNachi:Nachi: W32/Nachi.worm McAfee, W32/Nachi-A Sophos, Win32.Nachi.A CALovsan:Lovsan: Lovsan.D F-Secure新任的病毒王新任的病毒王-疾風(fēng)病毒疾風(fēng)病毒(二二)攻擊類型: 系統(tǒng)感染網(wǎng)路攻擊型感染途徑:使用 TCP 埠號(hào) 135 來探測(cè) DCOM RPC 弱點(diǎn): 主要針對(duì)Windows NT/2000/XP系統(tǒng)為主.使用 TCP 埠號(hào) 80 來探測(cè) WebDav 弱點(diǎn): 主要針對(duì)IIS 5.0 Web Server為主

5、.攻擊方式:傳送 ICMP 回應(yīng)或 PING 來檢查啟動(dòng)中的機(jī)器以進(jìn)行感染, 導(dǎo)致 ICMP 流量增加 .移除 W32.Blaster.Worm. (利用Windows Update)新任的病毒王新任的病毒王-疾風(fēng)病毒疾風(fēng)病毒(三三) 對(duì)系統(tǒng)的影響: 刪除檔案: 例如: msblast.exe. 造成系統(tǒng)不穩(wěn)定: 因?yàn)镽PC服務(wù)當(dāng)機(jī)造成系統(tǒng)不正常. 病毒程式: Dllhost.exe 或Svchost.exe . 外掛不必要的程式: 例如: TFTP. 開啟不必要的服務(wù)埠: TCP 666765郵件攻擊者郵件攻擊者-老大病毒老大病毒(一一)老大病毒的英文名稱:Sobig: W32.Sobig.

6、Fmm Symantec, WORM SOBIG.F Trend, Sobig.F F-Secure, W32/Sobig.fMM McAfee, W32/Sobig-F Sophos, Win32.Sobig.F CA, I-Worm.Sobig.f KAV郵件攻擊者郵件攻擊者-老大病毒老大病毒(二二)攻擊類型: 網(wǎng)路感染網(wǎng)路攻擊型感染途徑:主要針對(duì)Windows 95/98/ME/NT/2000/XP.將病毒本體以附件方式附加於信件上.利用電子郵件軟體散佈出去.攻擊方式:利用原寄件者的信箱目錄表的位址隨機(jī)取樣當(dāng)寄件者, 再將所有剩下的信箱位址當(dāng)收件者寄出.利用原寄件者的設(shè)定找到SMTP伺服

7、寄出信件.郵件攻擊者郵件攻擊者-老大病毒老大病毒(三三) 對(duì)系統(tǒng)的影響: 病毒程式: 例如: winppr32.exe, winsst32.dat. Sobig.F 下載後門程式並在受感染電腦上建立廣告郵件轉(zhuǎn)寄伺服器. 開啟不必要的服務(wù)埠: UDP 123, 995999, 8898更新並掃毒前置作業(yè)更新並掃毒前置作業(yè) 請(qǐng)將該要更新並掃毒的電腦相關(guān)資訊記錄於“實(shí)踐大學(xué)IP對(duì)照表”上.更新並掃毒前置作業(yè)更新並掃毒前置作業(yè) 如何獲得IP網(wǎng)址及MAC網(wǎng)址: 先到“開始”-“執(zhí)行”下開啟DOS介面: Windows 98/ME指令: command Windows 2000/XP指令: cmd 於DO

8、S介面下, 下指令: ipconfig /all Physical Address即是MAC網(wǎng)址 IP Address即是IP網(wǎng)址Windows OS Update (一一)微軟平臺(tái)是攻擊者的樂園:Windows OS的安全機(jī)制不穩(wěn).Windows OS的程式漏洞百出.隨時(shí)注意微軟發(fā)佈產(chǎn)品警告消息.定時(shí)上網(wǎng)更新漏洞修補(bǔ)檔案.將不必要的伺服器上的服務(wù)關(guān)閉.Windows OS Update (二二)Windows OS更新步驟:確認(rèn)OS及SP版本按“開始”看圖示OS版本.“我的電腦”按右健, 選“內(nèi)容”後, 在“一般”的頁面的“系統(tǒng)”查看SP版本.Windows OS Update (三三)更新

9、Service Pack版本W(wǎng)indows 98/ME: 不需要上SPWindows 2000: 若不是SP4, 請(qǐng)直接上SP4Windows XP: 若沒有SP1a, 請(qǐng)上SP1a註: 如果使用者的Windows XP不是正版的話, 將無法更新SP.Windows OS Update (四四)安裝修補(bǔ)程式(針對(duì)此次疾風(fēng)病毒)Windows 2000:Windows2000-KB823980-x86-CHT.exeWindows2000-KB824146-x86-CHT.exeWindows XP:WindowsXP-KB823980-x86-CHT.exeWindowsXP-KB823980

10、-x86-CHT.exe設(shè)定Windows Update自動(dòng)更新裝置註: 公告所提供的程式皆為中文版. 如為其他語系之OS, 請(qǐng)自行上網(wǎng)下載.http:/ 98:請(qǐng)將Symantec目錄下的FixSbigF.exe及TrendMicro目錄複製到桌面上.首先執(zhí)行Symantec的FixSbigF.exe掃毒接著執(zhí)行TrendMicro的掃毒W(wǎng)indows ME:請(qǐng)將TrendMicro目錄複製到桌面上.執(zhí)行掃毒清除疾風(fēng)及老大病毒步驟清除疾風(fēng)及老大病毒步驟(二二)Windows 2000/XP:請(qǐng)將Symantec目錄及TrendMicro目錄複製於桌面.首先執(zhí)行Symantec的FixBlast.exe, FixWelch.exe, FixSbigF.exe掃毒接著執(zhí)行TrendMicro的掃毒清除疾風(fēng)及老大病毒步驟清除疾風(fēng)及老大病毒步驟(三三)注意事項(xiàng):如果以上任四支掃毒程