病毒1

9
黑色星期五病毒（长方块）
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时，系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加
10
宏病毒
宏病毒是一种特殊的文件型病毒，它不 感染.exe 和.com等可执行文件，而是将 病毒代码以“宏”的形式潜伏在office文 件中，主要感染Word和Excel等文件，当 采用office软件打开这些染毒文件时，这 些代码就会执行并产生破坏作用。
28
趋势
5 常用的防杀毒软件
5.1 国际著名防杀毒软件
卡巴斯基Kaspersky McAfee公司产品 诺顿Norton
5.2 国内防杀毒软件
江民 金山毒霸 瑞星 趋势
29
Thanks!
30
计算机病毒产生的来源多种多样
归根结底，计算机病毒来源于计算机系统本身所 具有的动态修改和自我复制的能力
4
计算机病毒
1.2 计算机病毒的特征
破坏性大 感染性强 传播性强 隐藏性好 可激活性 有针对性
非授权性
难于控制 不可预见性
5
计算机病毒的分析
计算机病毒的破坏行为
攻击系统数据区 攻击文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 键盘 喇叭 攻击CMOS 干扰打印机
22
3 计算机病毒的防范
3.1 提高计算机病毒的防范意识 3.2 加强计算机病毒的防范管理
尊重知识产权 采取必要的病毒检测、监控措施，制定完善的管理规则 建立计算机系统使用登记制度, 及时追查、清除病毒 加强教育和宣传工作 建立有效的计算机病毒防护体系 建立、完善各种法律制度，保障计算机系统的安全性
16
17
18
最常见的两种病毒
• 蠕虫（Worm）
通过网络连接，将自身复制到其它计算机 中，但不感染其它文件。
• 特洛伊木马（Trojan horse）
表面上看起来是无害的程序或数据，实际 上内含恶意或有害的代码。窃取用户数据和 系统控制权
19
黑客
泛指擅长计算机技术的人群，即在计算 机领域有造诣的人。 今天，专指那些专门利用计算机病毒搞 破坏的人。
25
精简原则：一个杀软+一个防火墙+良好的上网习惯 +安全意识，不要在机器上装无数个杀软，那无疑 是折磨自己的机器。 安全系数：没有一个组合是绝对安全的，不要追求 100%，我们只能尽力接近100%。 兼容原则：有套装的，尽量用套装，同一产品的杀 软与防火墙的组合才是最严密，兼容性也是最高的。 不要一味迷信权威机构的测试，那些最厉害的东西 并不一定适合你。 核心原则：必须以杀软选择为核心，防火墙选择为 配合。
6
计算机病毒
计算机病毒的分类
按病毒存在的媒体
• 可以分为网络病毒、文件病毒、引导性病毒
按病毒传染的方法
• 可以分为驻留型病毒和非驻留型病毒
按病毒破坏能力
• 可以分为轻危害型、轻Fra Baidu bibliotek险型、危险型、非常危 险型
7
小球病毒
小球病毒攻击的对象主要是PC机及其兼容机， 这种病毒是在世界各地出现比较早的病毒， 它的破坏性不是很强，主要是对系统的信息 显示产生干扰。 小球病毒的表现形式：
屏幕上显示按近似正弦轨迹跳动的小球，到达 屏幕边缘反弹 系统运行速度显著减慢
8
黑色星期五病毒（长方块）
黑色星期五病毒的名称来源于该病毒的 发作条件，即除了1987年之外，凡是十三号 并且是星期五这一天，病毒程序发作，删除 磁盘上和系统中所有被执行的文件。 该病毒又称之为希伯莱病毒、耶路撒冷 病毒或以色列病毒（犹太人病毒）。
26
4 网络病毒的防治
4.4 网络病毒清除方法
立即使用BROADCAST命令，通知所有用户退网，关闭文件服务器。 用带有写保护的、“干净”的系统盘启动系统管理员工作站，并 立即清除本机病毒。 用带有写保护的、“干净”的系统盘启动文件服务器，系统管理 员登录后，使用DISABLE LOGIN命令禁止其他用户登录。 将文件服务器的硬盘中的重要资料备份到“干净的”软盘上。 用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒 感染的文件，重新安装被删文件。 用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的 病毒。 用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。 在确信病毒已经彻底清除后，重新启动网络和工作站。
“熊猫烧香”病毒
感染后的文件图标变成右边图片上面的“熊 猫烧香”图案。
熊猫烧香， 所有exe文 件变成熊猫 烧香图标， 无限复制， 系统崩溃。
13
“远程探险者”（Remote Explore）
病毒Remote Explore算是网络病毒的“先驱者”，它 于98年爆发，至今是病毒发展历史中的一个重要标志。 Remote Explore病毒通过盗取WINDOWS NT 域管理员 的帐号进行传播。如果一个具有管理员身份的用户执 行了染毒的程序，该病毒便以服务（Service）的方式 驻留内存，取名为“Remote Explore”，并在染毒系统 中安装文件\winnt\system32\drivers\ie403r.sys。 这时，另一台NT机器只要用同一管理员帐号登录到染 毒的机器中，该病毒就可以感染WIN NT 局域网附加 网络驱动器中的文件。当病毒被激活后，它便在共享 的网络驱动器上随机选择一个文件夹，感染除.dll 或.tmp扩展名的文件外的所有其他文件，连一些DOS 下的EXE文件同样难逃厄运……。
15
大学生“准黑客” 不为利益为“炫技”被刑 拘
2014年七夕前后，一款名为“××神器”的恶意手机 病毒大面积爆发，感染了上百万手机。该病毒会偷偷 向受感染手机的通讯录群发包含有某链接的短信信息。 由于所发短信会根据目标用户名字作为抬头，因此极 具欺骗性。用户点击该链接后，病毒便会被下载和安 装。被新感染的手机又会以相同的方式发短信引诱其 他用户上钩。除了传播性极强外，该病毒还会盗取用 户账号、密码、身份证等个人资料。 令人意外的是，经公安机关调查，该病毒竟出自大一 学生李某之手。据李某交代，他制作此款恶意程序仅 仅是“为了好玩儿”、“想做一款能够大范围传播的 软件以证明自己”。由于警方侦破及时，大量公民个 人信息并未被泄露给第三方。目前，李某因涉嫌非法 获取公民个人信息被警方刑事拘留。
23
3 计算机病毒的防范 3.3 规范计算机的使用方法
新购置的计算机的安全使用方法 计算机启动的安全使用方法 防止或减少数据丢失的方法 网络管理员需要注意的问题
24
3 计算机病毒的防范
3.4 了解计算机的安全组合原则
好多网友都在问，配置什么样的杀毒软件和防火 墙才能保证机器安全、网络畅通?这可一言难尽，每个 人的机器配置、应用需求和使用习惯都不相同，所以不 能说最好用，只能说最适合。以下是配置原则。 机器配置：杀软+防火墙的选择，必须符合机器配置 情况，不能拖机器速度。 互补原则：防护要做到全方位，杀软与防火墙互补 不足，功能上应尽量少一些重复，以避免未知冲突 (不要用一个强大的杀软去配一个强大的防火墙，强 强组合不一定更强)。
20
2 计算机病毒的分析 2.1 计算机病毒的传播途径
常见的计算机病毒的传播途径有以下4种： 通过不可移动的计算机硬件设备进行传播 通过移动存储设备来传播 通过计算机网络进行传播 通过点对点通信系统和无线通道传播
21
3 计算机病毒的防范
3.1 3.2 3.3 3.4 提高计算机病毒的防范意识 加强计算机病毒的防范管理 规范计算机的使用方法 了解计算机的安全组合原则
2
1 计算机病毒的概念
计算机病毒：是指编制或者在计算机程
序中插入的破坏计算机功能或者破坏数 据，影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码。
——《中华人民共和国计算机信息系统安全保护条例》
3
1 计算机病毒的概念 1.1 计算机病毒的产生
计算机病毒最早大约出现在２０世纪６０年代末
计算机病毒
1
计算机病毒的分析
感染计算机病毒的有哪些常见特征？
电脑运行比平常迟钝 程序载入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少 磁盘可利用的空间突然减少 可执行程序的大小改变了 内存内增加来路不明的常驻程序 文件奇怪的消失 文件的内容被加上一些奇怪的资料 文件名称、扩展名、日期、属性被更改过 异常关机
11
“熊猫烧香”病毒
举例二：“熊猫烧香”病毒
“熊猫烧香”是一个蠕虫 病毒，会终止大量的反病毒软 件和防火墙软件进程，病毒会 删除系统备份文件，使用户无 法使恢复操作系统。 “熊猫烧香”感染系统的众多文件，添加病毒网址， 导致用户一打开这些网页文件，IE就会自动连接到指定的 病毒网址中下载病毒。
12
27
5 常用的防杀毒软件
表1 常用防杀毒软件对照表
防杀毒软件 卡巴斯基 Kaspersky 迈克菲产品系列 诺顿Norton 江民 金山毒霸 瑞星
网 址 www.kaspersky.com.cn www.mcafee.com.cn www.symantec.com.cn www.jiangmin.com www.kingsoft.com www.rising.com.cn www.trendmicro.com.cn
14
“爱虫”病毒 （LOVELETTER ）
“爱虫” 病毒于2000年5月发源于菲律宾。 “爱虫”病毒可谓家喻户晓，它在全世界制造 的恐慌给人们留下了深刻的教训。
“爱虫”病毒最大的特点是通过EMAIL和IRC 快速传播。在通过电子邮件传播时，它不放过 地址簿中的每一个地址，而且，邮件的主题还 是具有诱惑性的“I LOVE YOU”。附件为 LOVE-LETTER-FOR-YOU.TXT.VBS，一旦用户 打开附件，病毒便进行感染：搜索outlook地址 簿、IRC连接、发送带有病毒的邮件、通过IRC 感染其它用户……。