沖擊波漏洞微軟的敗筆PPT課件

1 沖擊波漏洞 微軟的敗筆向美國電腦進(jìn)軍 黑客防御技巧 關(guān)閉端口回顧歷史 AV終結(jié)者 黑客阻擊 2 沖擊波漏洞 微軟的敗筆 中新網(wǎng)8月12日電據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提供的消息 8月11日 一種名為 沖擊波 WORM MSBlast A 的新型蠕蟲病毒開始在國內(nèi)互聯(lián)網(wǎng)和部分專用信息網(wǎng)絡(luò)上傳播 該病毒傳播速度快 波及范圍廣 對計(jì)算機(jī)正常使用和網(wǎng)絡(luò)運(yùn)行造成嚴(yán)重影響 經(jīng)國家計(jì)算機(jī)病毒應(yīng)急處理中心確認(rèn) 該病毒是利用前不久微軟公司公布的Windows操作系統(tǒng)RPCDCOM漏洞進(jìn)行傳播 能夠使遭受攻擊的系統(tǒng)崩潰 并通過網(wǎng)絡(luò)向仍有此漏洞的計(jì)算機(jī)傳播 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提醒各有關(guān)用戶 盡快下載安裝微軟公司的RPC漏洞補(bǔ)丁程序 防止該病毒進(jìn)一步傳播感染 公安部官方網(wǎng)站的消息還說 各地公安機(jī)關(guān)已經(jīng)組織 指導(dǎo)有關(guān)單位采取應(yīng)急處置措施 今后發(fā)生類似計(jì)算機(jī)病毒傳播的情況 也請廣大計(jì)算機(jī)和信息網(wǎng)絡(luò)用戶及時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告 3 沖擊波病毒感染癥狀 沖擊波病毒感染癥狀1 莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī) 2 IE瀏覽器不能正常地打開鏈接 3 不能復(fù)制粘貼 4 有時(shí)出現(xiàn)應(yīng)用程序 比如Word異常 5 網(wǎng)絡(luò)變慢 6 最重要的是 在任務(wù)管理器里有一個(gè)叫 msblast exe 的進(jìn)程在運(yùn)行 7 SVCHOST EXE產(chǎn)生錯(cuò)誤會被WINDOWS關(guān)閉 您需要重新啟動(dòng)程序8 在WINNT SYSTEM32 WINS 下有DLLhost exe和svchost exe檢測你的計(jì)算機(jī)是否被 沖擊波殺手 病毒感染 1 檢查系統(tǒng)的system32 Wins目錄下是否存在DLLHOST EXE文件 大小為20K 和SVCHOST EXE文件 注意 系統(tǒng)目錄里也有一個(gè)DLLHOST EXE文件 但它是正常文件 大小只有8KB左右 如果存在這兩個(gè)文件說明你的計(jì)算機(jī)已經(jīng)感染了 沖擊波殺手 病毒 2 在任務(wù)管理器中查看是否有三個(gè)或三個(gè)以上DLLHOST EXE的進(jìn)程 如果有此進(jìn)程說明你的計(jì)算機(jī)已經(jīng)感染了此病毒 4 奇虎狀告瑞星侵權(quán)瑞星稱奇虎終被用戶拋棄 賽迪網(wǎng)訊8月27日消息 瑞星公司一直以來在各種場合 通過各種方式 持續(xù)不斷地散布了大量攻擊奇虎360的言論 尤其是在奇虎360推出永久免費(fèi)的殺毒軟件之后 瑞星更是在各種報(bào)刊和網(wǎng)站上發(fā)布大量攻擊辱罵奇虎360的文章 中關(guān)村軟件頻道在首頁首屏這樣一個(gè)有限空間里 長期放置10條以上奇虎360的負(fù)面鏈接 有時(shí)甚至超過20條 整個(gè)頻道幾乎就成了一個(gè) 討伐360 的專題 奇虎董事長周鴻祎要求瑞星公開道歉 他表示 奇虎推出完全免費(fèi)的360殺毒軟件之后 侵犯了瑞星等殺毒軟件廠商的固有利益 雖然奇虎一直采取了克制的態(tài)度 但面對瑞星不斷的攻擊 奇虎決定通過法律解決問題 此外 這天下午 瑞星公司還就此發(fā)布了一項(xiàng)官方聲明 聲明中稱 奇虎360靠炒作挽救不了被用戶拋棄的命運(yùn) 5 奇虎360靠炒作挽救不了被用戶拋棄的命運(yùn) 一 面對基于 云安全 計(jì)劃的全新反木馬工具 瑞星卡卡6 0 360安全衛(wèi)士感受到了前所未有的威脅 因?yàn)槠婊⒐咀约阂渤姓J(rèn) 反流氓軟件的工作已經(jīng)基本結(jié)束 二 眾所周知木馬是病毒的一種 反木馬和反病毒在技術(shù)原理和截獲 分析 處理流程上沒有任何區(qū)別 三 隨著奇虎360欺騙用戶 頻繁誤殺以及暗中阻擋所有主流殺毒軟件的丑行被揭露和曝光 360督導(dǎo)委員會集體退出 四 瑞星對奇虎公司的訴訟感到莫名其妙 五 剛剛面臨主要骨干離職 督導(dǎo)委員集體退出等風(fēng)波 奇虎立刻將大旗轉(zhuǎn)向 全民反木馬 隨即又拋出起訴瑞星這個(gè)新的口述戰(zhàn)素材 6 向美國電腦進(jìn)軍 美國中央情報(bào)局資深分析師湯姆 多諾霍18日在一次安全會議上說 國外發(fā)生過幾次黑客攻擊電網(wǎng)控制系統(tǒng)事件 黑客們以斷電作為威脅手段勒索錢財(cái) 其中一次 黑客切斷了數(shù)個(gè)城市的電力供應(yīng) 遠(yuǎn)程勒索這次安全會議18日在美國新奧爾良開幕 與會者有外國政府官員 工程師和一些電力能源公司的安全官員 會議期間 與會人員會分享黑客攻擊重要市政設(shè)施和資源的信息 還會分享防御襲擊的手段 多諾霍在會上透露了黑客威脅電網(wǎng)事件 但沒公布發(fā)生的具體時(shí)間與地點(diǎn) 也沒有提及勒索者要求的錢數(shù) 只是說 那發(fā)生在美國之外的數(shù)個(gè)地區(qū) 中情局拒絕進(jìn)一步公布詳情 一位發(fā)言人說 能向公眾公開的相關(guān)信息已經(jīng)公開 這樣做的目的是讓人們了解當(dāng)前面臨的挑戰(zhàn) 擔(dān)心安全多諾霍透露的情況讓反恐神經(jīng)本已高度緊張的美國人更加不安 美國政府網(wǎng)絡(luò)安全顧問霍華德 施密特在這次會議開始前一天還曾表達(dá)了對這一系統(tǒng)的擔(dān)心 他當(dāng)時(shí)說 美國85 的關(guān)鍵基礎(chǔ)設(shè)施由私營部門控制 所以任何人不能忽略這一問題 7 黑客防御技巧 關(guān)閉端口 1 默認(rèn)情況下 Windows有很多端口是開放的 在你上網(wǎng)的時(shí)候 網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦 為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁 應(yīng)該封閉這些端口 主要有 TCP135 139 445 593 1025端口和UDP135 137 138 445端口 一些流行病毒的后門端口 如TCP2745 3127 6129端口 以及遠(yuǎn)程服務(wù)訪問端口3389 下面介紹如何在WinXP 2000 2003下關(guān)閉這些網(wǎng)絡(luò)端口 8 黑客防御技巧 關(guān)閉端口 2 第一步 點(diǎn)擊 開始 菜單 設(shè)置 控制面板 管理工具 雙擊打開 本地安全策略 選中 IP安全策略 在本地計(jì)算機(jī) 在右邊窗格的空白位置右擊鼠標(biāo) 彈出快捷菜單 選擇 創(chuàng)建IP安全策略 如右圖 于是彈出一個(gè)向?qū)?在向?qū)е悬c(diǎn)擊 下一步 按鈕 為新的安全策略命名 再按 下一步 則顯示 安全通信請求 畫面 在畫面上把 激活默認(rèn)相應(yīng)規(guī)則 左邊的鉤去掉 點(diǎn)擊 完成 按鈕就創(chuàng)建了一個(gè)新的IP安全策略 第二步 右擊該IP安全策略 在 屬性 對話框中 把 使用添加向?qū)?左邊的鉤去掉 然后單擊 添加 按鈕添加新的規(guī)則 隨后彈出 新規(guī)則屬性 對話框 在畫面上點(diǎn)擊 添加 按鈕 彈出IP篩選器列表窗口 在列表中 首先把 使用添加向?qū)?左邊的鉤去掉 然后再點(diǎn)擊右邊的 添加 按鈕添加新的篩選器 第三步 進(jìn)入 篩選器屬性 對話框 首先看到的是尋址 源地址選 任何IP地址 目標(biāo)地址選 我的IP地址 點(diǎn)擊 協(xié)議 選項(xiàng)卡 在 選擇協(xié)議類型 的下拉列表中選擇 TCP 然后在 到此端口 下的文本框中輸入 135 點(diǎn)擊 確定 按鈕 這樣就添加了一個(gè)屏蔽TCP135 RPC 端口的篩選器 它可以防止外界通過135端口連上你的電腦 9 黑客防御技巧 關(guān)閉端口 3 第三步點(diǎn)擊 確定 后回到篩選器列表的對話框 可以看到已經(jīng)添加了一條策略 重復(fù)以上步驟繼續(xù)添加TCP137 139 445 593端口和UDP135 139 445端口 為它們建立相應(yīng)的篩選器 重復(fù)以上步驟添加TCP1025 2745 3127 6129 3389端口的屏蔽策略 建立好上述端口的篩選器 最后點(diǎn)擊 確定 按鈕 第四步 在 新規(guī)則屬性 對話框中 選擇 新IP篩選器列表 然后點(diǎn)擊其左邊的圓圈上加一個(gè)點(diǎn) 表示已經(jīng)激活 最后點(diǎn)擊 篩選器操作 選項(xiàng)卡 在 篩選器操作 選項(xiàng)卡中 把 使用添加向?qū)?左邊的鉤去掉 點(diǎn)擊 添加 按鈕 添加 阻止 操作 右圖 在 新篩選器操作屬性 的 安全措施 選項(xiàng)卡中 選擇 阻止 然后點(diǎn)擊 確定 按鈕 第五步 進(jìn)入 新規(guī)則屬性 對話框 點(diǎn)擊 新篩選器操作 其左邊的圓圈會加了一個(gè)點(diǎn) 表示已經(jīng)激活 點(diǎn)擊 關(guān)閉 按鈕 關(guān)閉對話框 最后回到 新IP安全策略屬性 對話框 在 新的IP篩選器列表 左邊打鉤 按 確定 按鈕關(guān)閉對話框 在 本地安全策略 窗口 用鼠標(biāo)右擊新添加的IP安全策略 然后選擇 指派 于是重新啟動(dòng)后 電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了 病毒和黑客再也不能連上這些端口 從而保護(hù)了你的電腦 10 回顧歷史 AV終結(jié)者 AV終結(jié)者 即 帕蟲 是一系列反擊殺毒軟件 同時(shí)它會下載并運(yùn)行其他盜號病毒和惡意程序 此外 它還會造成電腦無法進(jìn)入安全模式 并可通過可移動(dòng)磁盤傳播 目前該病毒已經(jīng)衍生多個(gè)新變種 有可能在互聯(lián)網(wǎng)上大范圍傳播 AV終結(jié)者 設(shè)計(jì)中最惡毒的一點(diǎn)是 用戶即使重裝操作系統(tǒng)也無法解決問題 AV終結(jié)者 會使用戶電腦的安全防御體系被徹底摧毀 安全性幾乎為零 它還自動(dòng)連接到某網(wǎng)站 下載木馬病毒 在用戶電腦毫無抵抗力的情況下 魚貫而來 用戶的所有機(jī)密文件都處于極度危險(xiǎn)之中 11 什么是 AV終結(jié)者 AV終結(jié)者 病毒運(yùn)行后會在系統(tǒng)中生成如下幾個(gè)文件 C programfiles commonfiles microsoftshared msinfo 隨機(jī)生成病毒名 dat C programfiles commonfiles microsoftshared msinfo 隨機(jī)生成病毒名 dll C windows 隨機(jī)生成病毒名 chm AV終結(jié)者 病毒運(yùn)行后會在本地磁盤和移動(dòng)磁盤中復(fù)制病毒文件和anuorun inf文件 當(dāng)用戶雙擊盤符時(shí)就會激活病毒 這是目前很多病毒熱衷的傳播方法 不少用戶也懂得刪除病毒生成的anuorun inf文件 但是當(dāng)我們進(jìn)入 文件夾選項(xiàng)里 想顯示隱藏文件時(shí) 可以發(fā)現(xiàn)這里已經(jīng)被病毒給禁用了 針對殺毒軟件的攻擊 是 AV終結(jié)者 的特點(diǎn) 映象劫持 會在注冊表的 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ImageFileExeutionOptions 位置新建一個(gè)以殺毒軟件和安全工具程序名稱命名的項(xiàng) 建立完畢后 病毒還會在里面建立一個(gè)Debugger鍵 鍵值為 c progra 1 common 1 micros 1 msinfo 05cc73b2 dat 這樣當(dāng)我們雙機(jī)運(yùn)行殺毒軟件的主程序時(shí) 運(yùn)行的其實(shí)是病毒程序 為了避免在 任務(wù)管理器 中露出破綻 病毒會將自己的進(jìn)程注入到系統(tǒng)的資源管理器進(jìn)程explorer exe中 這樣我就無法通過 任務(wù)管理器 發(fā)現(xiàn)病毒的進(jìn)程了 病毒進(jìn)程的主要作用是監(jiān)視系統(tǒng)中的用戶操作 另一個(gè)作用是監(jiān)視IE窗口 發(fā)現(xiàn)用戶搜索病毒資料時(shí) 立即關(guān)閉 12 1 運(yùn)行 任務(wù)管理器 結(jié)束 explorer exe 進(jìn)程 單擊 任務(wù)管理器的 文件菜單 選擇 新建任務(wù) 輸入 regedit 找到HEKEY LOCAL MACHINE software microsoft windows currentversion explorer advanced folder hidden showall 將Checkedvalue的的鍵值改為 1 2 在 regedit 中找到HEKEY LOCAL MACHINE softw