計算機病毒防護課件

計算機病毒防護簡介

Computervirusprotectionintroduction學(xué)習(xí)此課程目的

加深同仁對計算機病毒的認知熟悉公司的防毒軟體的使用及注意事項

熟悉公司計算機病毒處理流程

希望透過此課程的學(xué)習(xí)，能讓新進同仁，增強計算機病毒的防護意識。Agenda計算機病毒的定義及分類計算機病毒的命名規(guī)則計算機病毒的傳播途徑及常見癥狀常見計算機病毒的介紹及其查殺方法計算機病毒的入侵和防范措施問題與討論第一章計算機病毒的定義第二節(jié)計算機病毒的產(chǎn)業(yè)鏈?zhǔn)疽鈭D第一章計算機病毒分類計算機病毒的特征分類病毒具有傳播性

病毒具有隱密性病毒具有表現(xiàn)性病毒具有潛伏性病毒具有感染性病毒具有可激發(fā)性病毒具有破壞性第一章計算機病毒分類特征圖示第一章計算機病毒分類計算機病毒的分類按寄生方式

文件型病毒

文件型病毒通常寄生在可執(zhí)行文件(如*.COM，*.EXE等)中。當(dāng)這些文件被執(zhí)行時，病毒程序就跟著被執(zhí)行。

引導(dǎo)型病毒

引導(dǎo)型病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為它的架構(gòu)設(shè)計，使得病毒可以在每次開機時，在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中，這個特性使得病毒可以針對各類中斷(Interrupt)得到完全的控制，并且擁有更大的能力進行傳染與破壞。

混合型病毒

混合型病毒兼具引導(dǎo)型病毒以及文件型病毒的特性。它們可以傳染*.COM，*.EXE文件，也可以傳染磁盤的引導(dǎo)扇區(qū)(Boot

Sector)。由于這個特性，使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會非?？膳?。第一章計算機病毒分類計算機病毒的分類C.按破壞性良性病毒良性病毒是指其不包含有立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內(nèi)的數(shù)據(jù)。

惡性病毒惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。第二章計算機病毒的命名規(guī)則及解釋第一節(jié)病毒的命名規(guī)則

病毒的命名并沒有一個統(tǒng)一的規(guī)定，每個反病毒公司的命名規(guī)則都不太一樣，但基本都是采用前、后綴法來進行命名的，可以是多個前綴、后綴組合，中間以小數(shù)點分隔，一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>1.病毒前綴病毒前綴是指一個病毒的種類，我們常見的木馬病毒的前綴是“Trojan”，蠕蟲病毒的前綴是“Worm”，其他前綴還有如“Macro”、“Backdoor”、“Script”等。

2.病毒名病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，還有振蕩波蠕蟲病毒，它的病毒名則是<SASSER>。第二章計算機病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋

木馬病毒

木馬病毒的前綴是：Trojan。木馬病毒的特點就是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后再向外界泄露用戶的信息。一般的木馬如QQ消息尾巴TROJAN.QQPSW.R，網(wǎng)絡(luò)游戲木馬病毒TROJAN.STARTPAGE.FH等。病毒名中有PSW或者什么PWD之類的是表示這個病毒有盜取密碼的功能，這類病毒特別需要注意。

腳本病毒

腳本病毒的前綴是：Script。腳本病毒是用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼SCRIPT.REDLOF等。有些腳本病毒還會有VBS、HTML之類的前綴，是表示用何種腳本編寫的，如歡樂時光VBS.HAPPYTIME、HTML.REALITY.D等。

第二章計算機病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋系統(tǒng)病毒

系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的特點是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.DLL文件，并通過這些文件進行傳播，如以前有名的CIH病毒就屬于系統(tǒng)病毒。宏病毒

宏病毒也可以算是腳本病毒的一種，由于它的特殊性，因此就單獨算成一類。宏病毒的前綴是：Macro，第二前綴有Word、Word97、Excel、Excel97等，根據(jù)感染的文檔類型來選擇相應(yīng)的第二前綴。該類病毒的特點就是能感染office系列的文檔，然后通過office通用模板進行傳播，如以前著名的美莉薩病毒Macro.Melissa。

第二章計算機病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋

蠕蟲病毒

蠕蟲病毒的前綴是：Worm。這種病毒的特點是可以通過網(wǎng)絡(luò)或者系統(tǒng)漏洞來進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性，大家比較熟悉的這類病毒有沖擊波、震蕩波等。

病毒種植程序病毒

這類病毒的公有特性是運行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(DROPPER.WORM.SMIBAG)等。

第二章計算機病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋后門病毒

后門病毒的前綴是：Backdoor。該類病毒的特點就是通過網(wǎng)絡(luò)傳播來給中毒系統(tǒng)開后門，給用戶計算機帶來安全隱患。如愛情后門病毒W(wǎng)orm.Lovgate.a/b/c。

破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點擊，當(dāng)用戶點擊這類病毒時，病毒便會直接對用戶計算機產(chǎn)生破壞。如：格式化C盤（HARM.FORMATC.F）、殺手命令（HARM.COMMAND.KILLER）等。

第二章計算機病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋玩笑病毒

玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點擊，當(dāng)用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶計算機進行任何破壞。如：愚人節(jié)病毒（JOKE.FALLINGWIN）捆綁機病毒

捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當(dāng)用戶運行這些捆綁病毒時，會表面上運行這些應(yīng)用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。

第二章計算機病毒的命名規(guī)則及解釋通常感染的文件類型：第三章計算機病毒的傳播途徑及常見癥狀第一節(jié)病毒的傳播途徑

移動存儲設(shè)備移動硬盤、U盤、光盤、軟盤等。

網(wǎng)絡(luò)電子郵件、網(wǎng)頁瀏覽、文件共享等。

不可移動的計算機硬件設(shè)備這種傳播途徑是指利用專用集成電路芯片（ASIC）進行傳播

通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播

第三章計算機病毒的傳播途徑及常見癥狀第二節(jié)病毒的常見癥狀計算機運行比平常遲鈍程序加載時間比平常久對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間不尋常的錯誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的數(shù)據(jù)文件名稱，擴展名，日期，屬性被更改過

第四章常見病毒的介紹及其查殺方法第一節(jié)U盤病毒U盤病毒大家應(yīng)該都不陌生了，一般帶病毒的U盤一插入計算機病毒便會自動運行，或者用戶雙擊U盤盤符的時候運行。一般的判斷方法是：右擊U盤，如果菜單中第一個選項不是“打開”的話就是里面有病毒。預(yù)防方法就是插入U盤的時候按住Shift鍵，然后用右鍵選擇“打開”進入U盤，這樣里面的病毒就不會感染計算機了?；蛘咴谙到y(tǒng)中禁用“自動播放”，開始-->執(zhí)行-->GPEDIT.MSC->計算機配置-->管理模板-->系統(tǒng)-->關(guān)閉自動播放，選擇“所有驅(qū)動機”、“已啟用”

第四章常見病毒的介紹及其查殺方法第一節(jié)U盤病毒

對于這個病毒，簡單的判斷方法已不管用，我們無法從右鍵菜單中得知U盤是否含有病毒，所以大家以后用U盤的時候最好先對U盤進行殺毒，以確保計算機的安全。另一方面，我們也可以對U盤采取一些預(yù)防措施，來阻斷病毒的傳播路徑。在U盤中新建一個活頁夾，命名為“AutoRun.inf”，屬性設(shè)為只讀，根據(jù)同名文件與同名活頁夾不能共存的原理，以后即使在有毒的計算機上使用U盤，病毒因不能創(chuàng)建AutoRun.inf文件而無法在別的計算機上運行，這就阻斷了病毒的傳播路徑。如果中了U盤病毒，建議使用最新版的【U盤病毒專殺工具USBCLeaner6.0】進行查殺。

第四章常見病毒的介紹及其查殺方法第二節(jié)WORM_DOWNLOAD病毒

WORM_DOWNAD.AD是WORM_DOWNAD病毒的變種，類型為蠕蟲，是典型的網(wǎng)絡(luò)病毒。其特征為主動進攻，暴力破解計算器登錄密碼后潛伏，待發(fā)作時向端口發(fā)送大量垃圾包堵塞網(wǎng)絡(luò)。時下這類病毒正瘋狂暴發(fā)于互聯(lián)網(wǎng)，自2008年12月第一次現(xiàn)身至今，已經(jīng)感染超過一千五百萬臺計算器，是近期發(fā)現(xiàn)散播能力最強的網(wǎng)終病毒。該病毒透過微軟安全漏洞展開攻擊，一旦計算器被感染，首先會關(guān)閉安全防護或殺毒軟件，進而攻擊445端口，造成網(wǎng)絡(luò)嚴(yán)重堵塞，數(shù)據(jù)服務(wù)中斷。

第四章常見病毒的介紹及其查殺方法第二節(jié)Worm_Download病毒

Worm_Download的查殺：1.刪除System32下的*.dll文件

使用Dir/a:ras命令C:\>cdwindowsC:\WINDOWS>cdsystem32C:\WINDOWS\system32>dir/a:ras刪除*.dll文件

第四章常見病毒的介紹及其查殺方法第二節(jié)WORM_DOWNLOAD病毒2.請依次啟動以下的三個服務(wù)：AutomaticUpdatesBackgroundIntelligentTransferServiceErrorReportingservice3.安裝MS08-067補?。↘B958644）以上三個服務(wù)啟動完成后，在CMD下運行Wuauclt.exe/detectnow，檢查是否有系統(tǒng)補丁更新。

第四章常見病毒的介紹及其查殺方法第三節(jié)小結(jié):加強安全防范意識

建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站；關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；

不亂開共享尤其是完全共享；

很多病毒利用漏洞傳播，一定要及時給系統(tǒng)打補丁；

安裝專業(yè)的防病毒軟件進行實時監(jiān)控，平時上網(wǎng)的時候一定要打開防病

毒軟件的實時監(jiān)控功能。

對病毒的防范和查殺，做到知己知彼，百戰(zhàn)不殆。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，特別是Internet應(yīng)用不斷滲透到人們生活中的各個領(lǐng)域，計算器系統(tǒng)的安全問題已經(jīng)成為一個越來越突出的問題。計算器系統(tǒng)中常見的系統(tǒng)漏洞及黑客和病毒利用這些漏洞進行入侵和破壞層出不窮！下面我們就針對這點來講解一下相應(yīng)PC安全內(nèi)容。1.系統(tǒng)漏洞

什么是系統(tǒng)漏洞：漏洞即某個程序(包括操作系統(tǒng))在設(shè)計時未考慮周全，當(dāng)程序遇到一個看似合理，但實際無法處理的問題時，引發(fā)的不可預(yù)見的錯誤。系統(tǒng)漏洞又稱安全缺陷。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范1.為什么會存在漏洞？

漏洞的產(chǎn)生大致有三個原因，具體如下所述；編程人員的人為原素，在程序編寫過程，為實現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。受編程人員的能力、經(jīng)驗和當(dāng)時安全技術(shù)所限，在程序中難免會有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。由于硬件原因，使編程人員無法彌補硬件的漏洞，從而使硬件的問題透過軟件表現(xiàn)。

當(dāng)然，Windows漏洞層出不窮也有其客觀原因。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范2.如何處理系統(tǒng)中的漏洞Windos操作系統(tǒng)的漏洞，某些由于軟件設(shè)計失誤而產(chǎn)生，另一些則由于用戶設(shè)置不當(dāng)所引發(fā)，均會嚴(yán)重影響系統(tǒng)安全。針對兩種不同的錯誤需采用不同的方式加以解決，如下所述：針對設(shè)計錯誤，微軟公司會及時推出補丁程序，用戶只需及時下載并安裝對于設(shè)置錯誤，則應(yīng)及時修改配置，使系統(tǒng)更加安全可靠。

第五章病毒的入侵和防范措施第二節(jié)文件共享入侵和措施

通過訊息共享，大大縮短了時間、空間的差異。人們透過網(wǎng)絡(luò)可以獲取感興趣的資源，還可以提供有趣的東西給別人。那么你有沒有想過在別人訪問你指定的資源時，訪問其他你不希望被訪問的數(shù)據(jù)（比如信用卡號碼、個人資料）呢？我想大多數(shù)人都不會希望這種情況發(fā)生?？墒强傆行延袗阂獾娜藭谀悴恢挥X的情況下查看你的文件，這樣豈不是可惡致極？那么我們怎樣來杜絕這種情況發(fā)生呢？解決問題的建議：A.對加載的驅(qū)動機進行共享時，確保只共享了需要共享的目錄。

B.為了增強安全系數(shù)，只允許指定的計算機名稱或用戶能夠訪問共享資源。C.對于Windows系統(tǒng)，應(yīng)確保所有的共享資源都有高強度密碼保護。

第五章病毒的入侵和防范措施第三節(jié)不明郵件的傳播和對策

安裝電子郵件系統(tǒng)不但不會對任何人造成傷害，而且可以確保企業(yè)的浪費降到最低并且能從對IT基礎(chǔ)設(shè)施的投入上獲得最多的收益。我們公司的郵件系統(tǒng)是：windowsexchangeserver系統(tǒng)。它是我們公司中非常重要的通信手段之一。但是，如果不正當(dāng)?shù)氖褂?，也會使公司的浪費度得到提升和對IT基礎(chǔ)設(shè)施的投入收益降低！正確的使用電子郵