計(jì)算機(jī)病毒防護(hù)課件

計(jì)算機(jī)病毒防護(hù)簡介

Computervirusprotectionintroduction學(xué)習(xí)此課程目的

加深同仁對(duì)計(jì)算機(jī)病毒的認(rèn)知熟悉公司的防毒軟體的使用及注意事項(xiàng)

熟悉公司計(jì)算機(jī)病毒處理流程

希望透過此課程的學(xué)習(xí)，能讓新進(jìn)同仁，增強(qiáng)計(jì)算機(jī)病毒的防護(hù)意識(shí)。Agenda計(jì)算機(jī)病毒的定義及分類計(jì)算機(jī)病毒的命名規(guī)則計(jì)算機(jī)病毒的傳播途徑及常見癥狀常見計(jì)算機(jī)病毒的介紹及其查殺方法計(jì)算機(jī)病毒的入侵和防范措施問題與討論第一章計(jì)算機(jī)病毒的定義第二節(jié)計(jì)算機(jī)病毒的產(chǎn)業(yè)鏈?zhǔn)疽鈭D第一章計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒的特征分類病毒具有傳播性

病毒具有隱密性病毒具有表現(xiàn)性病毒具有潛伏性病毒具有感染性病毒具有可激發(fā)性病毒具有破壞性第一章計(jì)算機(jī)病毒分類特征圖示第一章計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒的分類按寄生方式

文件型病毒

文件型病毒通常寄生在可執(zhí)行文件(如*.COM，*.EXE等)中。當(dāng)這些文件被執(zhí)行時(shí)，病毒程序就跟著被執(zhí)行。

引導(dǎo)型病毒

引導(dǎo)型病毒是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。因?yàn)樗募軜?gòu)設(shè)計(jì)，使得病毒可以在每次開機(jī)時(shí)，在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中，這個(gè)特性使得病毒可以針對(duì)各類中斷(Interrupt)得到完全的控制，并且擁有更大的能力進(jìn)行傳染與破壞。

混合型病毒

混合型病毒兼具引導(dǎo)型病毒以及文件型病毒的特性。它們可以傳染*.COM，*.EXE文件，也可以傳染磁盤的引導(dǎo)扇區(qū)(Boot

Sector)。由于這個(gè)特性，使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會(huì)非?？膳?。第一章計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒的分類C.按破壞性良性病毒良性病毒是指其不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。

惡性病毒惡性病毒就是指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第一節(jié)病毒的命名規(guī)則

病毒的命名并沒有一個(gè)統(tǒng)一的規(guī)定，每個(gè)反病毒公司的命名規(guī)則都不太一樣，但基本都是采用前、后綴法來進(jìn)行命名的，可以是多個(gè)前綴、后綴組合，中間以小數(shù)點(diǎn)分隔，一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>1.病毒前綴病毒前綴是指一個(gè)病毒的種類，我們常見的木馬病毒的前綴是“Trojan”，蠕蟲病毒的前綴是“Worm”，其他前綴還有如“Macro”、“Backdoor”、“Script”等。

2.病毒名病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，還有振蕩波蠕蟲病毒，它的病毒名則是<SASSER>。第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋

木馬病毒

木馬病毒的前綴是：Trojan。木馬病毒的特點(diǎn)就是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后再向外界泄露用戶的信息。一般的木馬如QQ消息尾巴TROJAN.QQPSW.R，網(wǎng)絡(luò)游戲木馬病毒TROJAN.STARTPAGE.FH等。病毒名中有PSW或者什么PWD之類的是表示這個(gè)病毒有盜取密碼的功能，這類病毒特別需要注意。

腳本病毒

腳本病毒的前綴是：Script。腳本病毒是用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼SCRIPT.REDLOF等。有些腳本病毒還會(huì)有VBS、HTML之類的前綴，是表示用何種腳本編寫的，如歡樂時(shí)光VBS.HAPPYTIME、HTML.REALITY.D等。

第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋系統(tǒng)病毒

系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的特點(diǎn)是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.DLL文件，并通過這些文件進(jìn)行傳播，如以前有名的CIH病毒就屬于系統(tǒng)病毒。宏病毒

宏病毒也可以算是腳本病毒的一種，由于它的特殊性，因此就單獨(dú)算成一類。宏病毒的前綴是：Macro，第二前綴有Word、Word97、Excel、Excel97等，根據(jù)感染的文檔類型來選擇相應(yīng)的第二前綴。該類病毒的特點(diǎn)就是能感染office系列的文檔，然后通過office通用模板進(jìn)行傳播，如以前著名的美莉薩病毒Macro.Melissa。

第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋

蠕蟲病毒

蠕蟲病毒的前綴是：Worm。這種病毒的特點(diǎn)是可以通過網(wǎng)絡(luò)或者系統(tǒng)漏洞來進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性，大家比較熟悉的這類病毒有沖擊波、震蕩波等。

病毒種植程序病毒

這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(DROPPER.WORM.SMIBAG)等。

第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋后門病毒

后門病毒的前綴是：Backdoor。該類病毒的特點(diǎn)就是通過網(wǎng)絡(luò)傳播來給中毒系統(tǒng)開后門，給用戶計(jì)算機(jī)帶來安全隱患。如愛情后門病毒W(wǎng)orm.Lovgate.a/b/c。

破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤（HARM.FORMATC.F）、殺手命令（HARM.COMMAND.KILLER）等。

第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋第二節(jié)病毒的命名解釋玩笑病毒

玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒會(huì)做出各種破壞操作來嚇唬用戶，其實(shí)病毒并沒有對(duì)用戶計(jì)算機(jī)進(jìn)行任何破壞。如：愚人節(jié)病毒（JOKE.FALLINGWIN）捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。

第二章計(jì)算機(jī)病毒的命名規(guī)則及解釋通常感染的文件類型：第三章計(jì)算機(jī)病毒的傳播途徑及常見癥狀第一節(jié)病毒的傳播途徑

移動(dòng)存儲(chǔ)設(shè)備移動(dòng)硬盤、U盤、光盤、軟盤等。

網(wǎng)絡(luò)電子郵件、網(wǎng)頁瀏覽、文件共享等。

不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備這種傳播途徑是指利用專用集成電路芯片（ASIC）進(jìn)行傳播

通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信系統(tǒng)傳播

第三章計(jì)算機(jī)病毒的傳播途徑及常見癥狀第二節(jié)病毒的常見癥狀計(jì)算機(jī)運(yùn)行比平常遲鈍程序加載時(shí)間比平常久對(duì)一個(gè)簡單的工作，磁盤似乎花了比預(yù)期長的時(shí)間不尋常的錯(cuò)誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的數(shù)據(jù)文件名稱，擴(kuò)展名，日期，屬性被更改過

第四章常見病毒的介紹及其查殺方法第一節(jié)U盤病毒U盤病毒大家應(yīng)該都不陌生了，一般帶病毒的U盤一插入計(jì)算機(jī)病毒便會(huì)自動(dòng)運(yùn)行，或者用戶雙擊U盤盤符的時(shí)候運(yùn)行。一般的判斷方法是：右擊U盤，如果菜單中第一個(gè)選項(xiàng)不是“打開”的話就是里面有病毒。預(yù)防方法就是插入U(xiǎn)盤的時(shí)候按住Shift鍵，然后用右鍵選擇“打開”進(jìn)入U(xiǎn)盤，這樣里面的病毒就不會(huì)感染計(jì)算機(jī)了?；蛘咴谙到y(tǒng)中禁用“自動(dòng)播放”，開始-->執(zhí)行-->GPEDIT.MSC->計(jì)算機(jī)配置-->管理模板-->系統(tǒng)-->關(guān)閉自動(dòng)播放，選擇“所有驅(qū)動(dòng)機(jī)”、“已啟用”

第四章常見病毒的介紹及其查殺方法第一節(jié)U盤病毒

對(duì)于這個(gè)病毒，簡單的判斷方法已不管用，我們無法從右鍵菜單中得知U盤是否含有病毒，所以大家以后用U盤的時(shí)候最好先對(duì)U盤進(jìn)行殺毒，以確保計(jì)算機(jī)的安全。另一方面，我們也可以對(duì)U盤采取一些預(yù)防措施，來阻斷病毒的傳播路徑。在U盤中新建一個(gè)活頁夾，命名為“AutoRun.inf”，屬性設(shè)為只讀，根據(jù)同名文件與同名活頁夾不能共存的原理，以后即使在有毒的計(jì)算機(jī)上使用U盤，病毒因不能創(chuàng)建AutoRun.inf文件而無法在別的計(jì)算機(jī)上運(yùn)行，這就阻斷了病毒的傳播路徑。如果中了U盤病毒，建議使用最新版的【U盤病毒專殺工具USBCLeaner6.0】進(jìn)行查殺。

第四章常見病毒的介紹及其查殺方法第二節(jié)WORM_DOWNLOAD病毒

WORM_DOWNAD.AD是WORM_DOWNAD病毒的變種，類型為蠕蟲，是典型的網(wǎng)絡(luò)病毒。其特征為主動(dòng)進(jìn)攻，暴力破解計(jì)算器登錄密碼后潛伏，待發(fā)作時(shí)向端口發(fā)送大量垃圾包堵塞網(wǎng)絡(luò)。時(shí)下這類病毒正瘋狂暴發(fā)于互聯(lián)網(wǎng)，自2008年12月第一次現(xiàn)身至今，已經(jīng)感染超過一千五百萬臺(tái)計(jì)算器，是近期發(fā)現(xiàn)散播能力最強(qiáng)的網(wǎng)終病毒。該病毒透過微軟安全漏洞展開攻擊，一旦計(jì)算器被感染，首先會(huì)關(guān)閉安全防護(hù)或殺毒軟件，進(jìn)而攻擊445端口，造成網(wǎng)絡(luò)嚴(yán)重堵塞，數(shù)據(jù)服務(wù)中斷。

第四章常見病毒的介紹及其查殺方法第二節(jié)Worm_Download病毒

Worm_Download的查殺：1.刪除System32下的*.dll文件

使用Dir/a:ras命令C:\>cdwindowsC:\WINDOWS>cdsystem32C:\WINDOWS\system32>dir/a:ras刪除*.dll文件

第四章常見病毒的介紹及其查殺方法第二節(jié)WORM_DOWNLOAD病毒2.請(qǐng)依次啟動(dòng)以下的三個(gè)服務(wù)：AutomaticUpdatesBackgroundIntelligentTransferServiceErrorReportingservice3.安裝MS08-067補(bǔ)丁（KB958644）以上三個(gè)服務(wù)啟動(dòng)完成后，在CMD下運(yùn)行Wuauclt.exe/detectnow，檢查是否有系統(tǒng)補(bǔ)丁更新。

第四章常見病毒的介紹及其查殺方法第三節(jié)小結(jié):加強(qiáng)安全防范意識(shí)

建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站；關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；

不亂開共享尤其是完全共享；

很多病毒利用漏洞傳播，一定要及時(shí)給系統(tǒng)打補(bǔ)??；

安裝專業(yè)的防病毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，平時(shí)上網(wǎng)的時(shí)候一定要打開防病

毒軟件的實(shí)時(shí)監(jiān)控功能。

對(duì)病毒的防范和查殺，做到知己知彼，百戰(zhàn)不殆。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，特別是Internet應(yīng)用不斷滲透到人們生活中的各個(gè)領(lǐng)域，計(jì)算器系統(tǒng)的安全問題已經(jīng)成為一個(gè)越來越突出的問題。計(jì)算器系統(tǒng)中常見的系統(tǒng)漏洞及黑客和病毒利用這些漏洞進(jìn)行入侵和破壞層出不窮！下面我們就針對(duì)這點(diǎn)來講解一下相應(yīng)PC安全內(nèi)容。1.系統(tǒng)漏洞

什么是系統(tǒng)漏洞：漏洞即某個(gè)程序(包括操作系統(tǒng))在設(shè)計(jì)時(shí)未考慮周全，當(dāng)程序遇到一個(gè)看似合理，但實(shí)際無法處理的問題時(shí)，引發(fā)的不可預(yù)見的錯(cuò)誤。系統(tǒng)漏洞又稱安全缺陷。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范1.為什么會(huì)存在漏洞？

漏洞的產(chǎn)生大致有三個(gè)原因，具體如下所述；編程人員的人為原素，在程序編寫過程，為實(shí)現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限，在程序中難免會(huì)有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。由于硬件原因，使編程人員無法彌補(bǔ)硬件的漏洞，從而使硬件的問題透過軟件表現(xiàn)。

當(dāng)然，Windows漏洞層出不窮也有其客觀原因。

第五章病毒的入侵和防范措施第一節(jié)系統(tǒng)漏洞入侵和防范2.如何處理系統(tǒng)中的漏洞Windos操作系統(tǒng)的漏洞，某些由于軟件設(shè)計(jì)失誤而產(chǎn)生，另一些則由于用戶設(shè)置不當(dāng)所引發(fā)，均會(huì)嚴(yán)重影響系統(tǒng)安全。針對(duì)兩種不同的錯(cuò)誤需采用不同的方式加以解決，如下所述：針對(duì)設(shè)計(jì)錯(cuò)誤，微軟公司會(huì)及時(shí)推出補(bǔ)丁程序，用戶只需及時(shí)下載并安裝對(duì)于設(shè)置錯(cuò)誤，則應(yīng)及時(shí)修改配置，使系統(tǒng)更加安全可靠。

第五章病毒的入侵和防范措施第二節(jié)文件共享入侵和措施

通過訊息共享，大大縮短了時(shí)間、空間的差異。人們透過網(wǎng)絡(luò)可以獲取感興趣的資源，還可以提供有趣的東西給別人。那么你有沒有想過在別人訪問你指定的資源時(shí)，訪問其他你不希望被訪問的數(shù)據(jù)（比如信用卡號(hào)碼、個(gè)人資料）呢？我想大多數(shù)人都不會(huì)希望這種情況發(fā)生。可是總有些懷有惡意的人會(huì)在你不知不覺的情況下查看你的文件，這樣豈不是可惡致極？那么我們?cè)鯓觼矶沤^這種情況發(fā)生呢？解決問題的建議：A.對(duì)加載的驅(qū)動(dòng)機(jī)進(jìn)行共享時(shí)，確保只共享了需要共享的目錄。

B.為了增強(qiáng)安全系數(shù)，只允許指定的計(jì)算機(jī)名稱或用戶能夠訪問共享資源。C.對(duì)于Windows系統(tǒng)，應(yīng)確保所有的共享資源都有高強(qiáng)度密碼保護(hù)。

第五章病毒的入侵和防范措施第三節(jié)不明郵件的傳播和對(duì)策

安裝電子郵件系統(tǒng)不但不會(huì)對(duì)任何人造成傷害，而且可以確保企業(yè)的浪費(fèi)降到最低并且能從對(duì)IT基礎(chǔ)設(shè)施的投入上獲得最多的收益。我們公司的郵件系統(tǒng)是：windowsexchangeserver系統(tǒng)。它是我們公司中非常重要的通信手段之一。但是，如果不正當(dāng)?shù)氖褂?，也?huì)使公司的浪費(fèi)度得到提升和對(duì)IT基礎(chǔ)設(shè)施的投入收益降低！正確的使用電子郵