蠕蟲病毒與黑客防范課件

蠕蟲病毒及黑客防范

伊犁師范學院信息中心劉新茂

蠕蟲病毒的危害及預(yù)防什么是蠕蟲病毒？蠕蟲病毒的特征蠕蟲病毒的一般傳播過程蠕蟲病毒的危害蠕蟲病毒與一般病毒的比較沖擊波震蕩波蠕蟲病毒的特征熊貓燒香病毒個人用戶防范蠕蟲病毒的措施QQ尾巴病毒什么是蠕蟲病毒？

蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等！在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！蠕蟲病毒與一般病毒的比較

普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制寄存在主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機

網(wǎng)絡(luò)環(huán)境下計算機病毒的特點

在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機病毒的共性外，還具有一些新的特點：①感染速度快。

②擴散面廣。

③傳播的形式復(fù)雜多樣。

④難于徹底清除。

⑤破壞性大。

蠕蟲病毒的一般傳播過程傳播過程1.掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。2.攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限(一般為管理員權(quán)限)，獲得一個shell。3.復(fù)制：復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機并啟動。蠕蟲病毒造成的危害愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動提款機運做中斷，直接經(jīng)濟損失超過26億美元沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金損失MyDoom2004年1月起大量的垃圾郵件，攻擊了微軟網(wǎng)站，給全球經(jīng)濟造成了300多億美元的損失震蕩波

2005年4月30日（Sasser）病毒被首次發(fā)現(xiàn)，短短一個星期時間之內(nèi)就感染了全球1800萬臺電腦，成為今年當之無愧的“毒王”。。“震蕩波”病毒在全球帶來的損失已達5億美元。震蕩波病毒（Worm.Sasser

）病毒通過在已被感染的機器上開啟TCP端口

5554建立FTP服務(wù)器，并通過TCP445端口掃描隨機的IP，病毒開辟128個掃描線程，向連接成功的機器發(fā)動攻擊，進一步感染其它機器。受感染的系統(tǒng)可能會出現(xiàn)倒計時對話框，頻繁重新啟動，系統(tǒng)運行速度明顯減慢或死機，上網(wǎng)只能持續(xù)很短時間就無法瀏覽甚至斷網(wǎng)等現(xiàn)象。并造成整個網(wǎng)絡(luò)癱瘓。

這是使用天網(wǎng)防火墻檢測到帶有震蕩波病毒的計算機IP地址“熊貓燒香”病毒是繼ＣＩＨ之后危害中國最嚴重的病毒，國內(nèi)數(shù)家權(quán)威病毒監(jiān)測機構(gòu)將其列為十大病毒之首。據(jù)有關(guān)專家介紹，它是一種用ＤＥＬＰＨＩ工具編寫的蠕蟲病毒，這一病毒能中止大量的反病毒軟件和防火墻軟件進程，并可以通過網(wǎng)頁瀏覽、局域網(wǎng)共享及Ｕ盤等多種途徑快速傳播，受感染的計算機會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞乃至被刪除等現(xiàn)象?！靶茇垷恪辈《咀裕玻埃埃赌辏保苍鲁蹰_始暴發(fā)，到2007年１月中旬，據(jù)初步統(tǒng)計，目前“熊貓燒香”病毒變種數(shù)已達９０多個，國內(nèi)多家門戶網(wǎng)站被種植這一病毒，個人用戶感染者已經(jīng)高達幾百萬。這一病毒在互聯(lián)網(wǎng)上引起恐慌，網(wǎng)民在各論壇上跟帖發(fā)表評論５４５萬余條。一些損失慘重的企業(yè)和網(wǎng)民還發(fā)出重金懸賞追查“熊貓燒香”制作者的“通緝令”?；银澴硬《竞啙嵜枋觯築ackdoor/Huigezi.cm“灰鴿子”變種cm是一個未經(jīng)授權(quán)遠程訪問用戶計算機的后門?！盎银澴印弊兎Ncm運行后，自我復(fù)制到系統(tǒng)目錄下。修改注冊表，實現(xiàn)開機自啟。偵聽黑客指令，記錄鍵擊，盜取用戶機密信息，例如用戶撥號上網(wǎng)口令，URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外，“灰鴿子”變種cm可下載并執(zhí)行特定文件，發(fā)送用戶機密信息給黑客等。arp病毒arp病毒并不是某一種病毒的名稱，而是對利用arp協(xié)議的漏洞進行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，用于進行把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。對電腦用戶私密信息的威脅很大。方法是在能上網(wǎng)時，進入MS-DOS窗口，輸入命令：arp–a查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄，如果已不能上網(wǎng)，則先運行一次命令arp–d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復(fù)上網(wǎng)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉，禁用網(wǎng)卡或拔掉網(wǎng)線，再運行arp–a。僵尸網(wǎng)絡(luò)也許你的電腦現(xiàn)在正被別人窺視，也許你使用計算機的每個動作正在被別人記錄，也許你的聲音正被別人竊聽，也許你的賬戶密碼正被秘密盜取，也許你的計算機正在被當作從事違法犯罪活動的工具，而當這些悄悄發(fā)生的時候，你卻一無所知，因為你的電腦已經(jīng)成為被別人控制的“僵尸電腦”。僵尸網(wǎng)絡(luò)黑客通過某種手段，在互聯(lián)網(wǎng)用戶不知曉的情況下，悄悄地把一個“僵尸程序”放在其計算機中。這些計算機每次一開機，都會去和互聯(lián)網(wǎng)上的一些服務(wù)器聯(lián)系，而黑客則可以通過這些服務(wù)器對所有這些被安裝了“僵尸程序”的計算機實施控制。這樣，互聯(lián)網(wǎng)用戶的計算機就像“僵尸”一樣被黑客所操縱，而借助很多這樣的計算機，黑客就可以掌握一個網(wǎng)絡(luò)上可以用于進行各種破壞活動的“僵尸軍隊”。而“僵尸網(wǎng)絡(luò)”就是由你的電腦和其他成千上萬臺電腦一起組成的。QQ尾巴病毒1、怎樣知道自己中了QQ尾巴其實很簡單，查看自己與好友的聊天記錄。如果有諸如“這是我的照片”“很好看的之類的話”，并且這些話后面跟著一些不熟悉的網(wǎng)址，或在聊天的過程中，聊天窗口總是莫名其妙的自動關(guān)閉或出現(xiàn)閃動現(xiàn)象，則證明了你的機器已經(jīng)中了QQ尾巴病毒。預(yù)防中毒

要想不中QQ尾巴病毒，那么好友發(fā)送給你陌生網(wǎng)址一定要問清楚，確認后再點擊打開，這樣就可以將QQ尾巴類病毒拒之門外了。常見的網(wǎng)絡(luò)黑客攻擊技術(shù)特洛伊木馬特洛伊木馬的攻擊手段，就是將一些“后門”、“特殊通道”程序隱藏在某個軟件里，使使用該軟件的人無意識的中招，成為被攻擊，被控制的對象。由于木馬是客戶端服務(wù)器程序，所以黑客一般是利用別的途徑如郵件、共享將木馬安放到被攻擊的計算機中。木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中，因為windows的一些系統(tǒng)文件在這兩個位置，誤刪了文件系統(tǒng)可能崩潰。典型的木馬程序有BO、NetXray、流光等。常見的網(wǎng)絡(luò)黑客攻擊技術(shù)網(wǎng)頁攻擊

網(wǎng)頁攻擊指一些惡意網(wǎng)頁利用軟件或系統(tǒng)操作平臺等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標記語言內(nèi)的JavaApplet小應(yīng)用程序、javascript腳本語言程序、ActiveX軟件部件交互技術(shù)支持可自動執(zhí)行的代碼程序，強行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實用配置程序，從而達到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。

常見的網(wǎng)絡(luò)黑客攻擊技術(shù)網(wǎng)頁攻擊

防范網(wǎng)頁攻擊可使用設(shè)定安全級別、過濾指定網(wǎng)頁、卸載或升級WSH、禁用遠程注冊表服務(wù)等方法。最好的方法還是安裝防火墻和殺毒軟件，并啟動實時監(jiān)控功能。有些殺毒軟件可以對網(wǎng)頁瀏覽時注冊表發(fā)生的改變提出警告。

如何做好本機安全為本機用戶設(shè)置密碼并禁用guest用戶刪除本機上的默認共享關(guān)閉TCP/UDP端口135-139和445關(guān)閉不用的服務(wù)安裝系統(tǒng)補丁安裝個人防火墻設(shè)置密碼給計算機設(shè)置密碼的必要性Guest用戶（供來賓訪問計算機或訪問域的內(nèi)置帳戶）設(shè)置密碼技巧刪除本機默認共享打開記事本編寫如下代碼

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete編寫完成以后此文本可任意命名，但文件擴展名一定改為.bat，并將此文件添加到開始—啟動中下次開機默認共享自動被刪除關(guān)閉TCP/UDP端口如果開放了135-139和445，那么惡意用戶會通過這些端口獲得命令行控制，這些會帶來安全風險，故禁止對TCP/IP上的Netbios端口（TCP139）或TCP上的SMB端口（TCP445）的訪問可以防止此類入侵。具體方法如下

在wins選項卡上選擇禁用tcp/ip上的Netbios(s)

這樣只是禁用了139端口我們換要禁用445端口

我們可在本地連接屬性對話框中取消Microsoft網(wǎng)絡(luò)的文件和打印共享

有一點需要知道的是：如果禁用了WINS，由此將會禁止基于域的網(wǎng)絡(luò)登錄，以及文件和打印機共享。我們還可以采用注冊表的方法。關(guān)閉不用的服務(wù)

在安裝windows操作系統(tǒng)時，大家往往使用的是默認安裝，然而有很多服務(wù)在默認情況下是打開，我們應(yīng)該關(guān)閉一些從來不用的服務(wù)。我們打開控制面板—管理工具—服務(wù)也可以在我的電腦—右鍵—管理—服務(wù)和應(yīng)用程序—服務(wù)

一般情況下我們可關(guān)閉telnet服務(wù)SNMPServiceComputerBrowserDHCPClient1、關(guān)掉25端口：關(guān)閉SimpleMailTransportProtocol(SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。2、關(guān)掉21端口：關(guān)閉FTPPublishingService,它提供的服務(wù)是通過Internet信息服務(wù)的管理單元提供FTP連接和管理。3、關(guān)掉23端口：關(guān)閉Telnet服務(wù)，它允許遠程用戶登錄到系統(tǒng)并且使用命