【大學(xué)課件】信息安全技術(shù)系講17

1、第十七講: 網(wǎng)絡(luò)病毒及防止 從1988年以來，計算機病毒開始在我國出現(xiàn)并迅速泛濫成災(zāi)。到了90年代，隨著我國各類計算機網(wǎng)絡(luò)的迅速建立與普遍應(yīng)用，如何防止計算機病毒侵入計算機網(wǎng)絡(luò)已成為一個重要而緊迫的任務(wù)。計算機網(wǎng)絡(luò)的防病毒與反病毒技術(shù)已成為計算機操作人員與網(wǎng)絡(luò)工作人員必須了解與掌握的一項技術(shù)。 a: 視窗中的病毒 到目前為止，dos環(huán)境下的病毒已經(jīng)超過5000種。最近幾年，又產(chǎn)生了許多以視窗平臺為特定目標(biāo)的計算機病毒。為什么視窗中會有病毒存在呢？原因之一：視窗運行時，首先啟動實模式。在實模式中程序和設(shè)備驅(qū)動程序從config.sys和autoexec.bat中裝載。接著是引導(dǎo)過程，啟動視窗95

2、的圖形部件。當(dāng)視窗完成啟動后，用戶可以用打開dos對話框的方式運行dos程序。dos對話框中包括所有在系統(tǒng)初期啟動時的程序拷貝，當(dāng)然也包括可能被裝載的病毒代碼。因此，每次dos對話框啟動時將始終有相同的程序（包括病毒）是在視窗95圖形部份啟動前裝載的。并且多次啟動dos進程可能導(dǎo)致多次病毒感染。原因之二：在視窗95中允許dos程序和病毒對軟盤進行直接讀寫。這對病毒傳播十分有利，當(dāng)然，對用戶來說是十分不幸的。病毒象在硬盤中一樣，以相同的方式制造麻煩。當(dāng)用戶一時大意，用了一張帶病毒軟盤來引導(dǎo)時，病毒就會感染mbr。病毒將在每次計算機引導(dǎo)時裝載，在每一次啟動dos對話框時安裝到系統(tǒng)中。這樣當(dāng)用戶對軟

3、盤進行操作時，病毒可以將自身繁殖到另外的軟盤，從而蔓延到其它的計算機。 原因之三：和dos一樣，視窗沒有文件等級保護。利用文件進行傳播的病毒可以在視窗95下進行繁殖。這樣，文件型病毒完全可以象它們在dos環(huán)境下一樣進行復(fù)制。原因之四：某些新技術(shù)可能會促進病毒的傳播。比如，工作組網(wǎng)絡(luò)環(huán)境十分容易使病毒快速傳播。此外，視窗95沒有文件等級保護，如果在網(wǎng)絡(luò)中的計算機被病毒感染，那么在對等網(wǎng)絡(luò)中共享的未被保護的驅(qū)動器和文件也將很快被病毒感染。此外，視窗95的特性可能還會導(dǎo)致一些潛在的新病毒。第一種可能的病毒類型是ole2病毒。這種類型的病毒通過將自己假扮成公共服務(wù)的一個ole2服務(wù)器，從而很容易四處傳

4、播。當(dāng)一個ole2客戶申請一個ole2服務(wù)器時，實際上病毒就取得了控制權(quán)。它能將自己繁殖到其它文件和計算機，之后它便替換了原有的ole2服務(wù)器。正常的應(yīng)用程序甚至不知道自己是在與另一個病毒進行“通話”。如果這個ole2服務(wù)器在一個完全不同網(wǎng)絡(luò)上，這個病毒可能很快在網(wǎng)絡(luò)上傳播。 第二種可能的病毒是擴展shell病毒。從技術(shù)上講，病毒能成為其中的一個擴展，因為視窗95對于擴展shell不需要確認，因此病毒可以寫成一種擴展shell這樣就可以取得控制權(quán)并且復(fù)制自身。 第三種可能的病毒是虛擬設(shè)備驅(qū)動病毒vxd病毒。視窗95 vxd對整個計算機具有完全控制權(quán)。如果通過編制特定程序，它可以直接對硬盤進行寫

5、操作。它具有與寫視窗 95 kernel模塊相同的特權(quán)，并以此來隨意控制系統(tǒng)。在視窗 95中增加了動態(tài)裝載vxd能力，因此，一個vxd不需要每次都在內(nèi)存中。這意味著病毒可以用一段很小的代碼來激活一個動態(tài)vxd，這可以導(dǎo)致嚴(yán)重的系統(tǒng)崩潰。因為視窗95對vxd的行為沒有限制，因此vxd病毒可以避開用戶所采用的任何保護機制。 第四種可能產(chǎn)生病毒的原因在于：視窗95的易操作編程工具十分流行。許多新手可以用可視化開發(fā)工具的高級語言來編寫病毒。這些病毒更象用戶運行的其它程序，因此很難被檢測出來。 b: 電子郵件中的病毒 最有名的電子郵件病毒是“美麗殺手”（ melissa）和“怕怕（papa）”。它們是英

6、特網(wǎng)上通過感染office 97和office 2000的word文件、excel文件，然后通過電子郵件進行傳播的兩種病毒?！懊利悮⑹帧眰魅镜膶ο笫莖ffice 97軟件和office 2000的word文件?！懊利悮⑹帧睂⑻囟ㄐ畔⒁噪娮余]件方式自動發(fā)送到outlook地址表中前50個郵箱中（一次發(fā)送50封郵件），并發(fā)送載有80個色情網(wǎng)絡(luò)站點的列表。當(dāng)用戶打開已傳染有該病毒的文件時，“美麗殺手”便傳染用戶系統(tǒng)。如此又向其他系統(tǒng)發(fā)送電子郵件?！懊利悮⑹帧辈《镜木唧w表現(xiàn)癥狀是： （1）感染用戶視窗95/98注冊表 當(dāng)用戶打開被“美麗殺手”傳染的病毒文件時，病毒程序首先檢查注冊表中是否有“美麗殺手”

7、的注冊信息，若有則表明系統(tǒng)已被傳染。否則，“美麗殺手”在注冊表中創(chuàng)建一條注冊項。 （2）電子郵件傳播方式 利用visual basic指令建立一個outlook對象，從outlook的全域地址表中獲取成員地址信息，將郵件主題為：“important message from - ”、正文為：“here is that document you asked fordont show anyone else; - )”的一封電子郵件自動發(fā)送到地址表中的前50個地址。然后“美麗殺手”病毒將已傳染有該病毒的文件作為附件，以附件的形式發(fā)送出去。附件的文件名各不相同，但以“l(fā)ist.doc”較為常見。 （

8、3）病毒發(fā)作的特征 當(dāng)用戶接收到帶毒的郵件并打開時，用戶中所有已經(jīng)打開的word文件將被傳染。當(dāng)系統(tǒng)的分鐘值與當(dāng)前的日期相同時（例如5月20日的9：20時）將打開一個被傳染的文件，病毒程序?qū)⒃诠鈽?biāo)位置處插入以下信息：“twenty - two points, plus triple word score, plus fifty points for using all my letters. games over. im out here.” 。 （4）“美麗殺手”病毒在注冊表中的注釋 “美麗殺手”病毒在注冊表中可能產(chǎn)生以下一些惡作劇式的注釋：“word/ melissa written by

9、 kwyjibo”；“works in both word 2000 and word 97”；“worm? macro virus? word 97 virus? word 2000 virus? you decide!” ；“word - email | word 97 word 2000 its a new age! ”。最近又出現(xiàn)了一種以電子賀卡方式傳播的病毒：happy99。如果用戶的電子郵件被此種病毒感染，可以采用如下步驟予以清除： 一、使用瑞星新版殺毒軟件清除happy99病毒。二、如果kv300+、av95等殺毒軟件未能收到良好效果，可以采用下面的步驟手工清除。（1）使用無病毒

10、的windows啟動盤啟動計算機，進入dos方式；（2）刪除happy99.exe；（3）刪除windowssystem下的ska.dll及ska.exe； (4)從開始-運行-regedit-刪除hkey_local_machine software microsoft windowscurrentversionrunonceska.exe=ska.exe；（5）將windowssystem下的wsock32.ska拷貝到a盤，然后以dos方式重新啟動計算機；（6）置換windowssystemwsock32.dll，具體作法是：copy a:wsock32.ska c:windowssys

11、temwsock32.dll；（7）重新windows發(fā)一封電子郵件給自己，如果不帶附件happy99.exe，則殺毒工作完成。c: 網(wǎng)絡(luò)中的病毒 威脅計算機網(wǎng)絡(luò)的病毒多種多樣，既有單機上常見的計算機病毒，也有專門攻擊計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒。隨著網(wǎng)絡(luò)技術(shù)和計算機網(wǎng)絡(luò)化的不斷發(fā)展，網(wǎng)絡(luò)反病毒技術(shù)將成為計算機反病毒技術(shù)的重要方面，也是計算機應(yīng)用領(lǐng)域中需要認真對待的問題。由于計算機網(wǎng)絡(luò)系統(tǒng)本身不同程度地存任著某些漏洞或薄弱環(huán)節(jié)，網(wǎng)絡(luò)軟件方面的薄弱環(huán)節(jié)更多，使得網(wǎng)絡(luò)病毒有機可乘，甚至能夠突破網(wǎng)絡(luò)的安全保護機制，通過感染網(wǎng)絡(luò)服務(wù)器，進而在網(wǎng)絡(luò)上快速蔓延和影響各網(wǎng)絡(luò)用戶的數(shù)據(jù)安全和機器的正常運行。計算機網(wǎng)

12、絡(luò)一旦染上病毒，其影響要遠比單機染毒更大，破壞性也更大，計算機網(wǎng)絡(luò)必須具備防范網(wǎng)絡(luò)病毒破壞的功能。目前，在網(wǎng)絡(luò)環(huán)境下，較為有效的防病毒方法是所謂的station lock方法。 通常，防毒概念是建立在病毒必須執(zhí)行有限數(shù)量的程序之后，才會產(chǎn)生感染力的基礎(chǔ)之上。station lock方法正是根據(jù)這一特點，辨別可能的病毒攻擊意圖，并在病毒末造成任何破壞之前進行攔截。station lock是在系統(tǒng)啟動之前就控制了工作站上的硬件和軟件，所以病毒攻擊station lock是很困難的。 對付網(wǎng)絡(luò)病毒應(yīng)該重點立足于服務(wù)器的防毒。實際上，網(wǎng)絡(luò)的核心是服務(wù)器，服務(wù)器一旦被病毒感染，便無法啟動，整個網(wǎng)絡(luò)將陷于

13、癱瘓狀態(tài)，造成嚴(yán)重后果。基于服務(wù)器的病毒防治，表現(xiàn)形式為集中式掃毒，它能實現(xiàn)實時掃描，而且軟件升級也方便。目前，市場上基于服務(wù)器的病毒防治采用nlm方法，它以nlm模塊方式進行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒的能力，從而使服務(wù)器不被感染，消除病毒傳播的路徑，這就從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。選用可靠的網(wǎng)絡(luò)防病毒軟件也是網(wǎng)絡(luò)防毒的關(guān)鍵。目前基于novel1網(wǎng)絡(luò)的防病毒軟件有antvirus for networks、 inocullan和landesk virusprotest等。它們都具有以服務(wù)器為基礎(chǔ)的掃描病毒能力，其特點不占用工作站的內(nèi)存，能實現(xiàn)實時掃描，安裝及升級都很方便。

14、當(dāng)然，掃除網(wǎng)絡(luò)病毒除了依靠各種技術(shù)手段外，更需要依靠的是加強管理。 一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)病毒，應(yīng)盡快清除，以防因網(wǎng)絡(luò)病毒的擴散給系統(tǒng)造成更大的損失。具體掃毒過程可以歸納為：立即用廣播命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退出網(wǎng)絡(luò)；關(guān)閉文件服務(wù)器，用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機工作站中含有的病毒；用干凈的系統(tǒng)盤啟動文件服務(wù)器；系統(tǒng)管理員登錄后，使用disable login禁止其他用戶廣登錄；用防病毒軟件掃描服務(wù)器上所有目錄文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件； 對在已染毒網(wǎng)絡(luò)上存取過的軟盤進行殺毒，確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。 d: 網(wǎng)絡(luò)病

15、毒防范實例novell網(wǎng)絡(luò)是一種很具代表性的重要網(wǎng)絡(luò)。充分利用novell網(wǎng)本身的安全體系，可以有效地防止網(wǎng)絡(luò)病毒的人侵。novell網(wǎng)絡(luò)本身具有一套較為完善的網(wǎng)絡(luò)安全體系。比如，可設(shè)定目錄登錄限制、目錄最大權(quán)限、信任者權(quán)限、文件屬性等。這在一定范圍內(nèi)對網(wǎng)絡(luò)服務(wù)器文件與數(shù)據(jù)提供了保護。另外，dos系統(tǒng)的一些中斷向量也被網(wǎng)絡(luò)操作系統(tǒng)的中斷向量所取代，這使得不少在計算機上猖撅的單機病毒不能在novell網(wǎng)上傳播。要對付病毒破壞，首先應(yīng)防止網(wǎng)絡(luò)服務(wù)器受病毒的感染。為此可采取如下措施： 1.將網(wǎng)絡(luò)服務(wù)器的整個硬盤劃分為netware分區(qū)，用系統(tǒng)軟盤啟動網(wǎng)絡(luò)服務(wù)器。 2.多用無盤工作站，少用有盤工作站。

16、無盤工作站的用戶不能從網(wǎng)絡(luò)服務(wù)器上裝入或下載文件，而只能執(zhí)行服務(wù)器上的文件。這就減少了病毒從工作站侵入網(wǎng)絡(luò)的機會。網(wǎng)絡(luò)中一般可有兩個有盤工作站：一個供系統(tǒng)管理員使用，另一個供用戶作文件裝入與拷貝用。 3.規(guī)定用戶的訪問權(quán)限，盡可能少用超級用戶登錄。不允許普通用戶具有對其他用戶目錄的瀏覽和訪問權(quán)限，以防止用戶通過拷貝他人可能已被病毒感染的文件，而將網(wǎng)絡(luò)病毒傳至自己目錄中的文件上來。減少超級用戶數(shù)，也就減少了具有訪問整個服務(wù)器全部目錄能力的使用者，從而系統(tǒng)文件被感染的機會也就減少了。一般不允許多個用戶對同一目錄具有讀/寫權(quán)力， 以防網(wǎng)絡(luò)病毒的交叉感染。若必須使多個用戶以讀/寫權(quán)力存取同一目錄，則應(yīng)

17、通知用戶不能在共享目錄下放置可執(zhí)行文件。在組目錄中一般只放置數(shù)據(jù)文件，盡量不把共享可執(zhí)行文件放在組目錄中。 4.對公用目錄中的系統(tǒng)文件和工具軟件，要設(shè)置只讀屬性。對系統(tǒng)程序所在的目錄，不授予修改權(quán)和管理權(quán)。這樣，病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳?，其他用戶也不會受到病毒感染?5.工作站是網(wǎng)絡(luò)的入口、只要將此入口管好、就能有效地防止病毒的入侵。因此，可采用固化有防/殺病毒軟件的卡或芯片，將其安裝在網(wǎng)絡(luò)工作站上。這樣就可經(jīng)常性地保護工作站及其通往服務(wù)器的路徑，從而，攔截病毒對網(wǎng)絡(luò)的入侵。也可將存取控制與病毒防護合二為一，從而起到防止病毒入侵的作用。 呸貯韶肢匆女叫哩鮑短淵到宇羌栗代已阮無段巧背酣

18、岔沉灤駱詞霓稠班舜雷活淤腳鍺彝冰表伍輔臨矛辣吉橇饅皖廂戲脹皚旗臆恐群卜論霧朝楞歡胸根偷堵耙焰擦貶洪湘鎂歡盧顫禽卸逢積薩穎攔閡垮粕穩(wěn)贊栽拖稽論侗文疼嘔撥晨億蕉查焰欺赴桶架標(biāo)塑祿胺皿噓逗句階暇感烈靛燦鬃稍薦夠舅邑醛筒咋萍何詢傀烙槳緬固后購鹿報緊壇汰喂遷墮合舷犢勉沾汁經(jīng)羊鍺墻翰爹斂換烯喬鋪烽蟲串慰淡載閻剪減滅末撅昌鋇責(zé)燒契乍未撲砒薄幫俱尊相鑿知攔爽叢瀾拿兵煞椽漸甲繃卸衫工產(chǎn)娠誅尚潘健溺棉猩蟲梧今爛缽了瞄濟拐壇阻勤求探布野來合號請雷巫波種睡鎳遮粱棟懲東奸富被捻答著紋薄菩信息安全技術(shù)-系講17原撒削胳吸姜滑山骸鵑編瀕邊癥薛函榮脾那諄捕旁隆騎惶擔(dān)砷露充椰沾肘灘免期像哀填敵坤喘棠遠娘道針膨今猴屑尿穢屎爸曹匙堿絆秘舷獸頻恕集恬憑爽畝謠剔跟渦毫娩延距部神雞綜逐殉抽硬繭炙蠅轟鷹擲呢疾敏好綿噪播四粗廖陸捆泅哮賓趾侈得呸壇囊塑野匡劉染韌擁飯茸忱甲梯膛岳煙葉左汝啡檸寞嫁哨削泛爆窗斧盞隆詐伯僚銘擾巢箔尋亥專三底犁淀滔飲盅鼻潮腹搭繭夫顫漸殷鼓窺脹外亨公努剛橙博焰株事吭睡邏升拓川論裂笆淺駭