計算機病毒原理及防范解決技術(shù)

1、網(wǎng)絡(luò)安全防病毒知識培訓(xùn)1.病毒的定義病毒的定義 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出： “計算機病毒，是指編制或者在計算機程計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。算機指令或者程序代碼?！币?、計算機病毒知識2.計算機病毒傳播計算機病毒傳播3個必要條件個必要條件與醫(yī)學(xué)上的“病毒”一樣，計算機病毒傳播也有3個必要條件： 傳染源（帶毒的計算機、文件、郵件、網(wǎng)頁等） 傳

2、播途徑： 介質(zhì)（軟盤、光盤）和網(wǎng)絡(luò)（電子郵件、網(wǎng)絡(luò)文件拷貝或下載、訪問網(wǎng)頁、系統(tǒng)漏洞） 易感對象（所有的計算機都時感染對象，這里指易感對象。如完全共享文件夾、簡單密碼、有漏洞的系統(tǒng)） 切斷上面切斷上面3個必要條件中的任何一個都可防止病毒的傳播，個必要條件中的任何一個都可防止病毒的傳播，我們防范病毒就是從這我們防范病毒就是從這3方面入手方面入手一、計算機病毒知識一、計算機病毒知識3.計算機病毒有哪些特征 可執(zhí)行性 傳染性與傳播性 破壞性 欺騙性 隱蔽性和潛伏性 可觸發(fā)性一、計算機病毒知識一、計算機病毒知識4.病毒的發(fā)展趨勢 依賴網(wǎng)絡(luò)進行傳播 攻擊方式多樣（郵件，網(wǎng)頁，局域網(wǎng)等） 利用系統(tǒng)漏洞成為

3、病毒有力的傳播方式 病毒與黑客技術(shù)相融合 傳染方式多 傳播速度快 清除難度大 破壞性強一、計算機病毒知識一、計算機病毒知識5.網(wǎng)絡(luò)病毒傳播方式圖示一、計算機病毒知識一、計算機病毒知識6.企業(yè)防病毒誤區(qū) 重“殺”不重“防” 只反“毒”不防“黑” 殺毒軟件不升級 認為不用軟盤、光驅(qū),沒有共享文件夾，密碼很復(fù)雜，就就不會感染病毒，因而無需選擇殺毒軟件 忽視對Unix和Linux系統(tǒng)的病毒防范一、計算機病毒知識一、計算機病毒知識7.企業(yè)局域網(wǎng)如何有效地防止網(wǎng)絡(luò)病毒 對局域網(wǎng)用戶進行安全防病毒知識培訓(xùn)，提供防范意識。對局域網(wǎng)用戶進行安全防病毒知識培訓(xùn)，提供防范意識。 建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操

4、作系統(tǒng)的補丁建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補丁升級，各種常用的應(yīng)用軟件升級，各種殺毒軟件病毒庫升級，各種常用的應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級的升級 及時給系統(tǒng)打補丁及時給系統(tǒng)打補丁 去掉服務(wù)器中不必要的共享和服務(wù)去掉服務(wù)器中不必要的共享和服務(wù) 安裝優(yōu)秀的網(wǎng)絡(luò)版殺毒軟件安裝優(yōu)秀的網(wǎng)絡(luò)版殺毒軟件 在因特網(wǎng)接入口處安裝防火墻式防殺計算機病毒產(chǎn)品，在因特網(wǎng)接入口處安裝防火墻式防殺計算機病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。將病毒隔離在局域網(wǎng)之外。 對郵件服務(wù)器進行監(jiān)控，防止帶毒郵件進行傳播！對郵件服務(wù)器進行監(jiān)控，防止帶毒郵件進行傳播！一、計算機病毒知識一、計算機病毒知識二、計算機病毒

5、處理技術(shù)二、計算機病毒處理技術(shù)1.查看系統(tǒng)中所有共享文件夾查看系統(tǒng)中所有共享文件夾net share 二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)2.查看系統(tǒng)當(dāng)前建立的所有連接查看系統(tǒng)當(dāng)前建立的所有連接netstat n 二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)3.手工清除病毒的步驟a.找到主要病毒文件找到主要病毒文件b.從注冊表相關(guān)啟動項中與病毒相關(guān)注冊表項并刪除從注冊表相關(guān)啟動項中與病毒相關(guān)注冊表項并刪除c.重新啟動計算機重新啟動計算機d.刪除病毒文件刪除病毒文件e.找到感染病毒的原因，杜絕再次感染找到感染病毒的原因，杜絕再次感染二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)4.如何查找

6、病毒啟動項和病毒文件一、啟動項在哪？一、啟動項在哪？ Win2k HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceServices HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices AUTOEXEC.BAT文件中文件中S

7、YSTEM.INI中中BOOT啟動項目啟動項目添加程序添加程序啟動的快捷方式啟動的快捷方式二、病毒文件在哪？二、病毒文件在哪？ 1病毒文件寄生在病毒文件寄生在Windows的安裝目錄下的安裝目錄下 %windir% 2病毒文件寄生在病毒文件寄生在Windows的系統(tǒng)目錄下的系統(tǒng)目錄下%windir%system或者或者%windir%system32 3病毒文件一般是一下類型的可執(zhí)行文件病毒文件一般是一下類型的可執(zhí)行文件:*.exe、*.dll、*.bat等等 4根據(jù)殺毒軟件報警提示的病毒文件名稱進行查找根據(jù)殺毒軟件報警提示的病毒文件名稱進行查找二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)5.

8、可能感染病毒的現(xiàn)象你的機器近期啟動是不是非常慢？你的機器近期啟動是不是非常慢？你的應(yīng)用程序是不是經(jīng)常報告有故障，并自動關(guān)閉？你的應(yīng)用程序是不是經(jīng)常報告有故障，并自動關(guān)閉？你的機器訪問網(wǎng)絡(luò)是不是非常慢？你的機器訪問網(wǎng)絡(luò)是不是非常慢？你的機器部分功能是不是無故喪失？你的機器部分功能是不是無故喪失？你的機器是不是經(jīng)常出現(xiàn)藍屏？你的機器是不是經(jīng)常出現(xiàn)藍屏？你的機器是不是出現(xiàn)很多不知道干什么用的服務(wù)？你的機器是不是出現(xiàn)很多不知道干什么用的服務(wù)？你的機器用戶賬號都是你分配的嗎？有沒有你不知道干什么用的賬號？你的機器用戶賬號都是你分配的嗎？有沒有你不知道干什么用的賬號？你的機器在訪問某些系統(tǒng)時是不是經(jīng)常提示

9、你輸入某些個人信息？你的機器在訪問某些系統(tǒng)時是不是經(jīng)常提示你輸入某些個人信息？今天我的硬盤空間無故缺少了很多？今天我的硬盤空間無故缺少了很多？二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)6.感染病毒的過程舉例 場景一場景一:有一天，我接到一封郵件，郵件標題非常誘人，正是我想要的內(nèi)容，我有一天，我接到一封郵件，郵件標題非常誘人，正是我想要的內(nèi)容，我 欣喜萬分，打開郵件，只是黑屏閃了一下，就沒了。從此我的機器就開欣喜萬分，打開郵件，只是黑屏閃了一下，就沒了。從此我的機器就開 始與我鬧別扭，不是這有問題，就是那有問題。我的噩夢開始了。始與我鬧別扭，不是這有問題，就是那有問題。我的噩夢開始了。 場景二

10、場景二:小李是個游戲迷，有一天他到市場上買了張盜版的游戲牒片，趕緊安裝到小李是個游戲迷，有一天他到市場上買了張盜版的游戲牒片，趕緊安裝到 機器，準備痛快的玩一下機器，準備痛快的玩一下 ，安裝后，要求重新啟動機器，誰知啟動后系統(tǒng)，安裝后，要求重新啟動機器，誰知啟動后系統(tǒng) 速度異常的慢，而且越來越慢，最后干脆死機。速度異常的慢，而且越來越慢，最后干脆死機。 場景三場景三:小王最新購以太小王最新購以太PC機機,廠家給他預(yù)裝了廠家給他預(yù)裝了win2K的系統(tǒng)。為了方便查閱的系統(tǒng)。為了方便查閱internet 的信息，申請了能夠上的信息，申請了能夠上internet。小王在瀏覽網(wǎng)頁時打開了對。小王在瀏覽網(wǎng)

11、頁時打開了對ActiveX,java組組 件訪問的限制，將瀏覽器的安全設(shè)置配置為最低安全，并且沒有安病毒防火件訪問的限制，將瀏覽器的安全設(shè)置配置為最低安全，并且沒有安病毒防火 墻。過了沒有幾天，他的機器開始死機，并且經(jīng)常提示內(nèi)存不足。應(yīng)用軟件墻。過了沒有幾天，他的機器開始死機，并且經(jīng)常提示內(nèi)存不足。應(yīng)用軟件 無緣無故關(guān)閉。無緣無故關(guān)閉。 場景四場景四:小張喜歡小張喜歡Qicq網(wǎng)上聊天。有一天登陸，提示輸入網(wǎng)上聊天。有一天登陸，提示輸入Qicq號及其他一些信息。號及其他一些信息。 錄入完畢后開始聊天。但自從那天后，他的機器開始無緣無故出現(xiàn)故障。錄入完畢后開始聊天。但自從那天后，他的機器開始無緣無

12、故出現(xiàn)故障。 場景五場景五:小張出差了好今天，回來后打開電腦，準備看一下公司有什么新的動態(tài)，小張出差了好今天，回來后打開電腦，準備看一下公司有什么新的動態(tài)， 聯(lián)上網(wǎng)絡(luò)后，開始很順利的登陸了公司的系統(tǒng)。過了不一會，系統(tǒng)提示聯(lián)上網(wǎng)絡(luò)后，開始很順利的登陸了公司的系統(tǒng)。過了不一會，系統(tǒng)提示 需要重新啟動機器。而且反復(fù)重新啟動。需要重新啟動機器。而且反復(fù)重新啟動。二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)7.病毒剖析(墨菲病毒)(一一)、病毒類型：蠕蟲病毒、病毒類型：蠕蟲病毒(二二)、技術(shù)特征、技術(shù)特征 該病毒采用窮舉密碼的方法破解遠端系統(tǒng)的密碼，并以此進行傳播。在受感染計算機上該病毒采用窮舉密碼的方

13、法破解遠端系統(tǒng)的密碼，并以此進行傳播。在受感染計算機上 留下一個后門。病毒使用留下一個后門。病毒使用UPX進行壓縮。進行壓縮。(三三)、技術(shù)細節(jié)、技術(shù)細節(jié) 1、病毒激活后會在系統(tǒng)目錄下生成以下文件、病毒激活后會在系統(tǒng)目錄下生成以下文件:scardsvr32.exe, scardsvr32.dll,MoFei.DAT MoFei.MIS,MoFei.VER, MoFei.ID ; 2、病毒使用的程序和動態(tài)鏈接庫都采用了、病毒使用的程序和動態(tài)鏈接庫都采用了UPX進行壓縮；進行壓縮； 3、病毒會在注冊表里添加啟動項、病毒會在注冊表里添加啟動項 Win2000/Winxp HKEY_LOCAL_MAC

14、HINESYSTEMCurrentControlSetServices SCardDrvImagePath = %SystemRoot%system32ScardSvr.exe win9x HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices SCardSvr = %Windows%System32SCardSvr.Exe; 4、病毒自帶掃描工具，搜索、病毒自帶掃描工具，搜索tcp/135、tcp/139、tcp/445端口端口; 5、病毒自帶攻擊密碼庫、病毒自帶攻擊密碼庫; 6、病毒自帶遠程控制命令、病毒自帶

15、遠程控制命令; 7、病毒自動安裝后門、病毒自動安裝后門; 8、病毒具有升級能力、病毒具有升級能力; 9、病毒利用系統(tǒng)默認共享、病毒利用系統(tǒng)默認共享admin$進行攻擊進行攻擊;二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)8.病毒剖析(墨菲病毒)( 四四)、病毒分析、病毒分析: 該病毒幾乎具有了病毒所有特征該病毒幾乎具有了病毒所有特征,并且具備了黑客攻擊行為。病毒首先掃描網(wǎng)絡(luò)上并且具備了黑客攻擊行為。病毒首先掃描網(wǎng)絡(luò)上 的主機的主機(隨機生成隨機生成,類似類似Dos攻擊攻擊),會對網(wǎng)絡(luò)出口造成大量會對網(wǎng)絡(luò)出口造成大量sync連接連接,杜塞網(wǎng)絡(luò)的正常連接杜塞網(wǎng)絡(luò)的正常連接. 病毒一但確認主機存在，

16、利用系統(tǒng)默認共享病毒一但確認主機存在，利用系統(tǒng)默認共享admin$,利用自帶的密碼特征庫，暴力破解利用自帶的密碼特征庫，暴力破解 ，一旦破解成功，病毒將病毒文件復(fù)制到對方的系統(tǒng)目錄下，并采用遠程執(zhí)行工具啟動，一旦破解成功，病毒將病毒文件復(fù)制到對方的系統(tǒng)目錄下，并采用遠程執(zhí)行工具啟動 病毒文件，注冊啟動項、注冊賬號、開啟系統(tǒng)后門，完成感染。病毒文件，注冊啟動項、注冊賬號、開啟系統(tǒng)后門，完成感染。 該病毒利用了系統(tǒng)共享、以及弱口令等漏洞進行傳染。該病毒利用了系統(tǒng)共享、以及弱口令等漏洞進行傳染。 類似的網(wǎng)絡(luò)蠕蟲病毒傳播有大致的傳染過程，都是首先發(fā)現(xiàn)漏洞，利用漏洞類似的網(wǎng)絡(luò)蠕蟲病毒傳播有大致的傳染過程

17、，都是首先發(fā)現(xiàn)漏洞，利用漏洞 種植病毒，運行病毒程序，然后感染其他機器。種植病毒，運行病毒程序，然后感染其他機器。二、計算機病毒處理技術(shù)二、計算機病毒處理技術(shù)9.在系統(tǒng)安裝維護時的注意事項a.因為現(xiàn)在網(wǎng)絡(luò)上還存在沖擊波病毒，在新安裝系統(tǒng)時最好不要聯(lián)網(wǎng)，待安裝完成并打了ms03-026補丁后再聯(lián)入網(wǎng)絡(luò)。b.打補丁只能預(yù)防病毒，不能殺死病毒，如計算機已感染病毒，應(yīng)用殺毒軟件徹底殺干凈。c. 特別注意服務(wù)器要打最新的安全補丁。因為服務(wù)器如果感染病毒后的破壞力大大超過普通微機。d. 關(guān)閉或刪除服務(wù)器中不需要的服務(wù)。默認情況下，w2k server 會安裝一些輔助服務(wù)，如 IIS 服務(wù)等。這些服務(wù)為攻擊者或病毒傳播提供了方便，在安裝完系統(tǒng)后一定要檢查