病毒防治技术

计算机病毒结构分析
计算机病毒程序结构 共同性三大功能模块
引导模块
传染模块
表现模块
三大模块分析
引导模块 激活条件 触发条件 传染模块 病毒触发 表现模块 将病毒引入内存
复制病毒代码 到传染对象
触发条件
实施对系统的 干扰破坏
计算机病毒的六大特点
① 非授权可执行性 ② 隐蔽性 ③ 传染性 ④ 潜伏性 ⑤ 表现性或破坏性 ⑥ 可触发性
计算机病毒的分类
传染途径
寄生方式
单机病毒 网络病毒
破坏程度
引导型 病毒
文件型 病毒
复合型 病毒
良性病毒
恶性病毒
熊猫烧香视频
• 请结合视频说一说李俊创
建的熊猫烧香病毒有哪些 危害？这种病毒对李俊来 说有什么用？
计算机病毒的四大危害
一．对计算机数据的破坏。 二．占用磁盘空间。 三．抢占系统和资源。 四．影响计算机运行速度。
计算机病毒的防治
1防毒
OVER!
2查毒
3杀毒
防查杀
• 防毒——预防病毒入侵 • 查毒——发现和追踪病毒来
源 • 杀毒——清除病毒且恢复被 病毒感染前的原始信息
建设性防治方法 ①在服务器上装载防病毒模块。 ②定期或不定期用防毒软件检测。 ③在计算机上插防病毒卡。 ④在网络接口卡上安装防病毒芯 片。
2012杀毒软件排行
① 360杀毒软件 ② 卡巴斯基反病毒 软件 ③ 卡巴斯基安全部 队 ④ 瑞星杀毒软件 ⑤ U盘病毒专杀工 具 ⑥ 小红伞2012 ⑦ avast!杀毒软件 ⑧ 金山毒霸2012 猎豹 ⑨ 微软MSE杀毒软 件 ⑩ ESET NOD32安 全套装5.0.95
• 3
Байду номын сангаас
今年8月份，在沙特阿拉伯石油公司和卡塔尔 液化气公司遭到的网络攻击中，一种被称为“沙 蒙(shamoon)”的精准性攻击病毒也浮出水面。这 种病毒将攻击目标锁定在能源企业或部门上，成 功侵入系统后，病毒将通过网络窃取电脑上的相 关数据，并对原数据进行永久删除操作，甚至改 写硬盘上的启动引导记录(MBR)以及分区表，致 使目标系统无法启动。报道指出，沙特阿拉伯石 油公司遭到“沙蒙”病毒攻击后，用了半个月时 间才恢复主要内部网络，遭受损失的计算机数量 超过30万台。
• • • • • • • • • • • • • • • • • •
窃取最多的一次，黄波买了一个淘宝黑号，伪装成一个数码相机商家，成功骗一名买家种下木 马病毒，在转账支付时，将其网银中的2000元成功划入一个游戏账号中。 20岁青年制造病毒 办案民警对“浮云”木马进行原理分析后，发现这种木马可以对目前20多个银行的网上交易系 统实施盗窃，而且简单易用，方法巧妙，危害性极大。 然而，这种新型病毒的作者却是两个刚过20岁的青年。 “GG2012”的群主“GG”是“浮云”木马的始作俑者，这名来自河北唐山的20岁青年，改良了 网络上流传的木马盗窃原理，并在今年年初，将这个改良的“点子”与湖北荆州23岁的网友郑超 (化名)分享，并承诺“可以一起挣钱”。 于是，两人开始了合作——“GG”提供思路，郑超负责编写。 两个月之后，“浮云”木马出炉，这时两人的分工又发生了变化——“GG”在QQ群里推销木马， 郑超负责病毒的升级和维护。 “一开始客户并不多。后来由于这个木马还不错，口耳相传，客户逐渐多了起来。”“GG”说， “浮云”木马大约租出70余人次。短短两个多月时间，两人获利40余万元，钱款对半平分。 完整犯罪链条浮出 接到王楯的报案后，民警立即对王楯的电脑开展证据收集、登记保存。 当民警第一时间向分局领导报告后，有着几十年刑侦经验的徐州市公安局大屯分局局长邓爱国 感到，此案背后一定有一张大网，指令以最快速度开展侦查工作。 很快，大屯公安分局与徐州市公安局网警支队成立了联合专案组。3月31日，专案组将两名犯 罪嫌疑人抓获。 经过审讯，一条利用木马病毒盗取网银的完整犯罪链条浮出水面。 徐州市公安局网警支队案件大队苏警官介绍说，犯罪嫌疑人利用互联网，在租借木马病毒、寻 找受害人，发送木马、骗受害人使用网银卡、更改受害人网银支付地址、QQ群寻找固定买家等各 个环节上分工明确。 通过关联分析，专案组民警发现“浮云”木马盗窃团伙主要成员近60名，团伙成员分工极其细 致，从木马制作者到“免杀成员(为木马病毒加壳以免被杀毒软件查杀)”，从“包马人”到“洗钱人 (将存入游戏中的游戏币置换为现金)”，每个成员都有明确的角色。 在对涉案资金进行分析整理后，专案组民警发现有近百人上当，涉案金额达1000多万元。 经过一个多月的数据分析和侦查，58名犯罪嫌疑人的活动地址被一一锁定。4月21日，徐州市 公安局网警支队会同铜山公安分局出动警力116名，分为32个抓捕组，赶赴全国14个省市，对涉案 犯罪嫌疑人展开集中抓捕行动。 据徐州市公安局网警支队副支队长曹家宁介绍，目前，已有41名犯罪嫌疑人被依法逮捕。
请问沙特阿拉伯石油公司面对如此 浩劫该采取怎样的措施？
病毒防范原则
• 防范的性质：被动防御性 • 遵循的原则： 防杀结合
以防为主 以杀为辅 软硬互补 标本兼治
不做黑客，争当红客！
计算机病毒的潜伏性
• 病毒“PETER-2”在每年2月27日会提三个
问题，答错后会将硬盘加密。 • 著名的“黑色星期五”在逢13号的星期五 发作。 • 国内的上海一号会在每年的三、六、九月 的十三号发作。 • 最令人难忘的便是26日发作的CIH。 这些病毒会在平时隐藏得很好，只有在发 作日才会露出本来面目。
对于以上利用病毒涉 嫌诈骗的案件典例，请 谈谈你的个人想法。
何为计算机病毒？
• 计算机病毒是人
为制造的、能自 我复制的、能对 计算机的信息资 源和正常运行造 成危害的一种程 序。
一种程序
危害信息资源 与正常运行
计算机病毒
自我复制
人为制造
小菜一碟
D ① 计算机病毒是指（）② 下列对计算机病毒的 B 描述中正确的是（） A可使计算机生病的 A操作方法不当造成的。 病菌。 B人为制造的。 B可是人生病的病菌。 C频繁关机造成的。 C已感染病毒的计算 D操作人员不讲卫生造 机磁盘。 成的。 D一种特殊的计算机 程序。
病毒防治技术
—— unassailable组制
中病毒后的页面！
中病毒后的页面！
41人利用木马病毒诈骗上百人涉及千万元
•
• • • • • • • • • • • • • •
• •
• •
只不过向支付宝充值了2000余元，网银上的3万元却不翼而飞，家住江苏省徐州市的王楯(化名)不幸成为一种新型木马病毒的百名受害 者之一。 近日，在全国公安机关开展深化打击整治网络违法犯罪专项行动中，徐州警方破获了一起全国最大网银盗窃案，抓获犯罪嫌疑人 58名， 扣押涉案机器112台、银行卡456张，挽回经济损失300余万元。办案民警销毁木马程序的源代码后，重大网银安全隐患得以消除。 “热心网友”没安好心 2012年3月22日入夜，王楯像往常一样，经营着自己的淘宝网店。 就在王楯在网上和顾客讨价还价时，一个自称知道“内幕消息”的陌生网友，向王楯发来了聊天邀请。 陌生人口中的“内幕消息”是“拍拍网出台了新规则”，随着聊天的深入，王楯逐渐相信了这个“内幕消息”。 这时，对方传来一个软件包，称软件包内就是“新规则”，王楯没有多想便点击接收。 但软件包却无法解开，这时，热心网友又通过网络，在线帮助王楯解压缩、安装软件包。一边解压缩，热心网友一边向王楯抛出了另 一块“蛋糕”：“现在支付宝充100送30，很合适，而且只限今晚。” 王楯立即用网上银行向自己的支付宝账户充值。充值2000元后，电脑显示屏上突然跳出“巨人账户充值成功”的任务框，这完全出乎 王楯的意料：“我从来不玩游戏，怎么会向巨人网络充值？” 为了测试，王楯又分3次从网银向支付宝分别充值了1元至2元不等金额，但是每次屏幕都会跳出“巨人账户充值成功”的对话框。 第二天早上，感觉情况不对的王楯立即查看自己的银行账户，发现账户中的3万多元已被人转移到巨人网络，变成了游戏币，他随即到 辖区沛屯派出所报案。 木马躲过杀毒软件 在王楯慢慢落入陌生网友设下的陷阱时，黑龙江省伊春市22岁的黄波(化名)正在策划着他的第一场骗局。 按照行业术语，黄波是一名“包马人”。所谓“包马人”就是从木马制作者手中租下一个木马程序，然后用这个木马程序去骗网银。 今年1月，在哈尔滨市一家酒吧做服务生的黄波偶然在QQ群里得到一个信息：一种新型木马程序可以神不知鬼不觉地划走对方网银中 的余额。 黄波动了心思。他通过熟人介绍，加入了一个名为“GG2012”的QQ群，并以每月3000元的价格从群主那里租到了“浮云”木马。 据悉，这种木马通过后台在受害人使用网银转账过程中，秘密截取网银转账信息，在受害人不知情的情况下篡改转账金额，将受害人 网银资金秘密转入到犯罪嫌疑人指定的游戏账户，然后再将游戏中的虚拟货币置换为现金。 除了具有一般的网银盗窃木马的功能外，“浮云”木马更具隐蔽性，甚至可以躲过杀毒软件的扫描，并且可以根据银行卡内的资金情 况更改盗窃资金的额度。 利用这个木马病毒，仅有初中文化、没有学过专业计算机知识的黄波，短短1个月内，就骗到手几万元。