沖擊波漏洞微軟的敗筆PPT課件

1 沖擊波漏洞 微軟的敗筆向美國電腦進軍 黑客防御技巧 關閉端口回顧歷史 AV終結者 黑客阻擊 2 沖擊波漏洞 微軟的敗筆 中新網8月12日電據公安部公共信息網絡安全監(jiān)察局提供的消息 8月11日 一種名為 沖擊波 WORM MSBlast A 的新型蠕蟲病毒開始在國內互聯(lián)網和部分專用信息網絡上傳播 該病毒傳播速度快 波及范圍廣 對計算機正常使用和網絡運行造成嚴重影響 經國家計算機病毒應急處理中心確認 該病毒是利用前不久微軟公司公布的Windows操作系統(tǒng)RPCDCOM漏洞進行傳播 能夠使遭受攻擊的系統(tǒng)崩潰 并通過網絡向仍有此漏洞的計算機傳播 公安部公共信息網絡安全監(jiān)察局提醒各有關用戶 盡快下載安裝微軟公司的RPC漏洞補丁程序 防止該病毒進一步傳播感染 公安部官方網站的消息還說 各地公安機關已經組織 指導有關單位采取應急處置措施 今后發(fā)生類似計算機病毒傳播的情況 也請廣大計算機和信息網絡用戶及時向當地公安機關報告 3 沖擊波病毒感染癥狀 沖擊波病毒感染癥狀1 莫名其妙地死機或重新啟動計算機 2 IE瀏覽器不能正常地打開鏈接 3 不能復制粘貼 4 有時出現應用程序 比如Word異常 5 網絡變慢 6 最重要的是 在任務管理器里有一個叫 msblast exe 的進程在運行 7 SVCHOST EXE產生錯誤會被WINDOWS關閉 您需要重新啟動程序8 在WINNT SYSTEM32 WINS 下有DLLhost exe和svchost exe檢測你的計算機是否被 沖擊波殺手 病毒感染 1 檢查系統(tǒng)的system32 Wins目錄下是否存在DLLHOST EXE文件 大小為20K 和SVCHOST EXE文件 注意 系統(tǒng)目錄里也有一個DLLHOST EXE文件 但它是正常文件 大小只有8KB左右 如果存在這兩個文件說明你的計算機已經感染了 沖擊波殺手 病毒 2 在任務管理器中查看是否有三個或三個以上DLLHOST EXE的進程 如果有此進程說明你的計算機已經感染了此病毒 4 奇虎狀告瑞星侵權瑞星稱奇虎終被用戶拋棄 賽迪網訊8月27日消息 瑞星公司一直以來在各種場合 通過各種方式 持續(xù)不斷地散布了大量攻擊奇虎360的言論 尤其是在奇虎360推出永久免費的殺毒軟件之后 瑞星更是在各種報刊和網站上發(fā)布大量攻擊辱罵奇虎360的文章 中關村軟件頻道在首頁首屏這樣一個有限空間里 長期放置10條以上奇虎360的負面鏈接 有時甚至超過20條 整個頻道幾乎就成了一個 討伐360 的專題 奇虎董事長周鴻祎要求瑞星公開道歉 他表示 奇虎推出完全免費的360殺毒軟件之后 侵犯了瑞星等殺毒軟件廠商的固有利益 雖然奇虎一直采取了克制的態(tài)度 但面對瑞星不斷的攻擊 奇虎決定通過法律解決問題 此外 這天下午 瑞星公司還就此發(fā)布了一項官方聲明 聲明中稱 奇虎360靠炒作挽救不了被用戶拋棄的命運 5 奇虎360靠炒作挽救不了被用戶拋棄的命運 一 面對基于 云安全 計劃的全新反木馬工具 瑞星卡卡6 0 360安全衛(wèi)士感受到了前所未有的威脅 因為奇虎公司自己也承認 反流氓軟件的工作已經基本結束 二 眾所周知木馬是病毒的一種 反木馬和反病毒在技術原理和截獲 分析 處理流程上沒有任何區(qū)別 三 隨著奇虎360欺騙用戶 頻繁誤殺以及暗中阻擋所有主流殺毒軟件的丑行被揭露和曝光 360督導委員會集體退出 四 瑞星對奇虎公司的訴訟感到莫名其妙 五 剛剛面臨主要骨干離職 督導委員集體退出等風波 奇虎立刻將大旗轉向 全民反木馬 隨即又拋出起訴瑞星這個新的口述戰(zhàn)素材 6 向美國電腦進軍 美國中央情報局資深分析師湯姆 多諾霍18日在一次安全會議上說 國外發(fā)生過幾次黑客攻擊電網控制系統(tǒng)事件 黑客們以斷電作為威脅手段勒索錢財 其中一次 黑客切斷了數個城市的電力供應 遠程勒索這次安全會議18日在美國新奧爾良開幕 與會者有外國政府官員 工程師和一些電力能源公司的安全官員 會議期間 與會人員會分享黑客攻擊重要市政設施和資源的信息 還會分享防御襲擊的手段 多諾霍在會上透露了黑客威脅電網事件 但沒公布發(fā)生的具體時間與地點 也沒有提及勒索者要求的錢數 只是說 那發(fā)生在美國之外的數個地區(qū) 中情局拒絕進一步公布詳情 一位發(fā)言人說 能向公眾公開的相關信息已經公開 這樣做的目的是讓人們了解當前面臨的挑戰(zhàn) 擔心安全多諾霍透露的情況讓反恐神經本已高度緊張的美國人更加不安 美國政府網絡安全顧問霍華德 施密特在這次會議開始前一天還曾表達了對這一系統(tǒng)的擔心 他當時說 美國85 的關鍵基礎設施由私營部門控制 所以任何人不能忽略這一問題 7 黑客防御技巧 關閉端口 1 默認情況下 Windows有很多端口是開放的 在你上網的時候 網絡病毒和黑客可以通過這些端口連上你的電腦 為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁 應該封閉這些端口 主要有 TCP135 139 445 593 1025端口和UDP135 137 138 445端口 一些流行病毒的后門端口 如TCP2745 3127 6129端口 以及遠程服務訪問端口3389 下面介紹如何在WinXP 2000 2003下關閉這些網絡端口 8 黑客防御技巧 關閉端口 2 第一步 點擊 開始 菜單 設置 控制面板 管理工具 雙擊打開 本地安全策略 選中 IP安全策略 在本地計算機 在右邊窗格的空白位置右擊鼠標 彈出快捷菜單 選擇 創(chuàng)建IP安全策略 如右圖 于是彈出一個向導 在向導中點擊 下一步 按鈕 為新的安全策略命名 再按 下一步 則顯示 安全通信請求 畫面 在畫面上把 激活默認相應規(guī)則 左邊的鉤去掉 點擊 完成 按鈕就創(chuàng)建了一個新的IP安全策略 第二步 右擊該IP安全策略 在 屬性 對話框中 把 使用添加向導 左邊的鉤去掉 然后單擊 添加 按鈕添加新的規(guī)則 隨后彈出 新規(guī)則屬性 對話框 在畫面上點擊 添加 按鈕 彈出IP篩選器列表窗口 在列表中 首先把 使用添加向導 左邊的鉤去掉 然后再點擊右邊的 添加 按鈕添加新的篩選器 第三步 進入 篩選器屬性 對話框 首先看到的是尋址 源地址選 任何IP地址 目標地址選 我的IP地址 點擊 協(xié)議 選項卡 在 選擇協(xié)議類型 的下拉列表中選擇 TCP 然后在 到此端口 下的文本框中輸入 135 點擊 確定 按鈕 這樣就添加了一個屏蔽TCP135 RPC 端口的篩選器 它可以防止外界通過135端口連上你的電腦 9 黑客防御技巧 關閉端口 3 第三步點擊 確定 后回到篩選器列表的對話框 可以看到已經添加了一條策略 重復以上步驟繼續(xù)添加TCP137 139 445 593端口和UDP135 139 445端口 為它們建立相應的篩選器 重復以上步驟添加TCP1025 2745 3127 6129 3389端口的屏蔽策略 建立好上述端口的篩選器 最后點擊 確定 按鈕 第四步 在 新規(guī)則屬性 對話框中 選擇 新IP篩選器列表 然后點擊其左邊的圓圈上加一個點 表示已經激活 最后點擊 篩選器操作 選項卡 在 篩選器操作 選項卡中 把 使用添加向導 左邊的鉤去掉 點擊 添加 按鈕 添加 阻止 操作 右圖 在 新篩選器操作屬性 的 安全措施 選項卡中 選擇 阻止 然后點擊 確定 按鈕 第五步 進入 新規(guī)則屬性 對話框 點擊 新篩選器操作 其左邊的圓圈會加了一個點 表示已經激活 點擊 關閉 按鈕 關閉對話框 最后回到 新IP安全策略屬性 對話框 在 新的IP篩選器列表 左邊打鉤 按 確定 按鈕關閉對話框 在 本地安全策略 窗口 用鼠標右擊新添加的IP安全策略 然后選擇 指派 于是重新啟動后 電腦中上述網絡端口就被關閉了 病毒和黑客再也不能連上這些端口 從而保護了你的電腦 10 回顧歷史 AV終結者 AV終結者 即 帕蟲 是一系列反擊殺毒軟件 同時它會下載并運行其他盜號病毒和惡意程序 此外 它還會造成電腦無法進入安全模式 并可通過可移動磁盤傳播 目前該病毒已經衍生多個新變種 有可能在互聯(lián)網上大范圍傳播 AV終結者 設計中最惡毒的一點是 用戶即使重裝操作系統(tǒng)也無法解決問題 AV終結者 會使用戶電腦的安全防御體系被徹底摧毀 安全性幾乎為零 它還自動連接到某網站 下載木馬病毒 在用戶電腦毫無抵抗力的情況下 魚貫而來 用戶的所有機密文件都處于極度危險之中 11 什么是 AV終結者 AV終結者 病毒運行后會在系統(tǒng)中生成如下幾個文件 C programfiles commonfiles microsoftshared msinfo 隨機生成病毒名 dat C programfiles commonfiles microsoftshared msinfo 隨機生成病毒名 dll C windows 隨機生成病毒名 chm AV終結者 病毒運行后會在本地磁盤和移動磁盤中復制病毒文件和anuorun inf文件 當用戶雙擊盤符時就會激活病毒 這是目前很多病毒熱衷的傳播方法 不少用戶也懂得刪除病毒生成的anuorun inf文件 但是當我們進入 文件夾選項里 想顯示隱藏文件時 可以發(fā)現這里已經被病毒給禁用了 針對殺毒軟件的攻擊 是 AV終結者 的特點 映象劫持 會在注冊表的 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ImageFileExeutionOptions 位置新建一個以殺毒軟件和安全工具程序名稱命名的項 建立完畢后 病毒還會在里面建立一個Debugger鍵 鍵值為 c progra 1 common 1 micros 1 msinfo 05cc73b2 dat 這樣當我們雙機運行殺毒軟件的主程序時 運行的其實是病毒程序 為了避免在 任務管理器 中露出破綻 病毒會將自己的進程注入到系統(tǒng)的資源管理器進程explorer exe中 這樣我就無法通過 任務管理器 發(fā)現病毒的進程了 病毒進程的主要作用是監(jiān)視系統(tǒng)中的用戶操作 另一個作用是監(jiān)視IE窗口 發(fā)現用戶搜索病毒資料時 立即關閉 12 1 運行 任務管理器 結束 explorer exe 進程 單擊 任務管理器的 文件菜單 選擇 新建任務 輸入 regedit 找到HEKEY LOCAL MACHINE software microsoft windows currentversion explorer advanced folder hidden showall 將Checkedvalue的的鍵值改為 1 2 在 regedit 中找到HEKEY LOCAL MACHINE softw