1、2022-6-6Page 1 计算机病毒概述计算机病毒概述3.1 计算机病毒的检测与防治计算机病毒的检测与防治3.2 计算机病毒防治中的常见问题计算机病毒防治中的常见问题3.3 计算机客户端病毒的防范方法计算机客户端病毒的防范方法3.4 病毒的清除病毒的清除3.52022-6-6Page 23.1.1 计算机病毒发展简史计算机病毒发展简史1计算机病毒的概念计算机病毒的概念 对于病毒概念的起源可追溯到科幻小说。在对于病毒概念的起源可追溯到科幻小说。在20世纪世纪70年代,美国作家雷恩出版的年代,美国作家雷恩出版的P1的青春的青春一书中构思了一种能够自我复制、利用通信进行一书中构思了一种能够自我复
2、制、利用通信进行传播的计算机程序,并称之为计算机病毒。传播的计算机程序,并称之为计算机病毒。“病病毒毒”一词是借用生物学中的病毒。计算机病毒有一词是借用生物学中的病毒。计算机病毒有很多种定义,很多种定义,从广义上讲,凡是能引起计算机故从广义上讲,凡是能引起计算机故障,破坏计算机中数据的程序都统称为计算机病障,破坏计算机中数据的程序都统称为计算机病毒。毒。依据此定义,诸如逻辑炸弹、蠕虫等均可称依据此定义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。为计算机病毒。现今国外流行的定义是:计算机现今国外流行的定义是:计算机病毒是一段依附在其他程序上,可以实现自我繁病毒是一段依附在其他程序上,可以实现自我繁
3、殖的程序代码。殖的程序代码。2022-6-6Page 3 在国内,在国内,中华人民共和国计算机信息中华人民共和国计算机信息系统安全保护条例系统安全保护条例对病毒的定义为:对病毒的定义为:“计计算机病毒是指编制或者在计算机程序中插入算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或用,并且能够自我复制的一组计算机指令或者程序代码者程序代码”。 计算机病毒是一种计算机病毒是一种“计算机程序计算机程序”,它,它不仅能破坏计算机系统,而且还能够传播、不仅能破坏计算机系统,而且还能够传播、感染到其它系统
4、。它通常隐藏在其它看起来感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。入其它的程序中,执行恶意的行动。2022-6-6Page 42计算机病毒发展简史计算机病毒发展简史1计算机病毒发展简史计算机病毒发展简史 世界上第一例被证实的计算机病毒是在世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人年,美国人Thompson开发出了针对开发出了针对
5、UNIX操作系统的病毒程序。操作系统的病毒程序。 1988年年11月月2日晚,美国康尔大学研究生日晚,美国康尔大学研究生罗特罗特莫里斯将计算机病毒蠕虫投放到网络中。莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。接经济损失近亿美元。 2022-6-6Page 52计算机病毒在中国的发展情况计算机病毒在中国的发展情况 在我国,在我国,80年代末,有关计算机病毒问年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重题的研究和防范已
6、成为计算机安全方面的重大课题。大课题。 1982年年“黑色星期五黑色星期五”病毒侵入病毒侵入我国;我国;1985年在国内发现更为危险的年在国内发现更为危险的“病毒病毒生产机生产机”,生存能力和破坏能力极强。这类,生存能力和破坏能力极强。这类病毒有病毒有1537、CLME等。进入等。进入90年代以后,年代以后,计算机病毒在国内的泛滥更为严重。计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒,它可攻病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。击计算机的主板,并可造成网络的瘫痪。2022-6-6Page 63计算机病毒发展的计算机病毒发展的10个阶
7、段个阶段(1)DOS引导阶段引导阶段 (2)DOS可执行文件阶段可执行文件阶段 (3)混合型阶段)混合型阶段 (4)伴随型阶段)伴随型阶段 (5)多形型阶段)多形型阶段 (6)生成器,变体机阶段)生成器,变体机阶段 (7)网络,蠕虫阶段)网络,蠕虫阶段 (8)Windows阶段阶段 (9)宏病毒阶段)宏病毒阶段 (10)Internet阶段阶段 返回本节2022-6-6Page 73.1.2 计算机病毒的分类计算机病毒的分类1按传染方式分类按传染方式分类(1)引导型病毒:可以传染计算机磁盘引)引导型病毒:可以传染计算机磁盘引导程序,先于操作系统而存在,依托的环导程序,先于操作系统而存在,依托的
8、环境是境是BIOS中断服务程序。中断服务程序。(2)文件型病毒:能够传染可执行文件。)文件型病毒:能够传染可执行文件。(3)复合型病毒:具有引导型病毒和文件)复合型病毒:具有引导型病毒和文件型病毒寄生方式的计算机病毒称为复合型型病毒寄生方式的计算机病毒称为复合型病毒。病毒。2022-6-6Page 82按寄生方式分类按寄生方式分类(1)代替型病毒:病毒在传染病毒宿)代替型病毒:病毒在传染病毒宿主后,用其自身代码的部分或全部代主后,用其自身代码的部分或全部代替正常程序的部分或全部,从而使宿替正常程序的部分或全部,从而使宿主程序不能正常运行。主程序不能正常运行。(2)链接型病毒:将病毒程序代码链)
9、链接型病毒:将病毒程序代码链接到被传染的宿主程序代码的首部、接到被传染的宿主程序代码的首部、中部或尾部,对原来的程序不做修改。中部或尾部,对原来的程序不做修改。2022-6-6Page 9(3)存储型病毒:病毒将原合法程序的代)存储型病毒:病毒将原合法程序的代码转移到存储介质的其他部位,而病毒代码转移到存储介质的其他部位,而病毒代码占据原合法程序的位置。码占据原合法程序的位置。(4)源码病毒:主要是利用)源码病毒:主要是利用java、vbs、ActiveX等网络编程语言编写的,放在电子等网络编程语言编写的,放在电子邮件的附件或邮件的附件或HTML网页中,从而进入到网页中,从而进入到被感染的计算
10、机中执行的病毒。被感染的计算机中执行的病毒。2022-6-6Page 103按危害程度分类按危害程度分类(1)良性病毒又称表现型病毒,这类病毒)良性病毒又称表现型病毒,这类病毒对源程序不做修改,对系统的危害较小。对源程序不做修改,对系统的危害较小。 (2)恶性病毒又称破坏型病毒,它的目的)恶性病毒又称破坏型病毒,它的目的就是对计算机的软件和硬件进行恶意的攻就是对计算机的软件和硬件进行恶意的攻击,使系统遭到严重的破坏。击,使系统遭到严重的破坏。 (3)中性病毒是指那些既不对计算机系统)中性病毒是指那些既不对计算机系统造成直接破坏,又没有表现症状,只是疯造成直接破坏,又没有表现症状,只是疯狂地复制
11、自身的计算机病毒,也就是常说狂地复制自身的计算机病毒,也就是常说的蠕虫型病毒。的蠕虫型病毒。 2022-6-6Page 114按攻击对象分类按攻击对象分类(1)攻击)攻击DOS的病毒的病毒(2)攻击)攻击Windows的病毒的病毒(3)攻击网络的病毒)攻击网络的病毒2022-6-6Page 123.1.3 计算机病毒的特征计算机病毒的特征1传染性传染性2破坏性破坏性3潜伏性潜伏性4可触发性可触发性5演变性演变性6不可预见性不可预见性2022-6-6Page 13被感染的程序从病毒代码开始,进行如下工作:第一行被感染的程序从病毒代码开始,进行如下工作:第一行代码是到主病毒程序的一个跳转,第二行是
12、一个特殊标代码是到主病毒程序的一个跳转,第二行是一个特殊标记,病毒用来确定潜在的受害者程序是否已经被这个病记,病毒用来确定潜在的受害者程序是否已经被这个病毒感染了。当这个程序被调用时,控制立刻传递给主病毒感染了。当这个程序被调用时,控制立刻传递给主病毒程序。病毒程序先找出没被感染的可执行文件并且感毒程序。病毒程序先找出没被感染的可执行文件并且感染它们。下一步,病毒可能进行某个动作,通常是对系染它们。下一步,病毒可能进行某个动作,通常是对系统有害的动作。这个动作可能在每次调用程序时都会被统有害的动作。这个动作可能在每次调用程序时都会被执行,或有它可能是一个只在特定条件下触发的逻辑炸执行,或有它可
13、能是一个只在特定条件下触发的逻辑炸弹。最后,病毒将控制权传递给原来的程序。如果程序弹。最后,病毒将控制权传递给原来的程序。如果程序的感染阶段相当快,用户不可能注意到一个被感染的和的感染阶段相当快,用户不可能注意到一个被感染的和一个没被感染的程序执行之间的差别。一个没被感染的程序执行之间的差别。3.2.1 计算机病毒的工作原理计算机病毒的工作原理2022-6-6Page 14计算机病毒的工作步骤计算机病毒的工作步骤 系 统 启 动 引 导 程 序 病 毒 跳 转 到 内 存 并获 得 系 统 控 制 权 符 合 条 件 ? 激 活 病 毒 传 染 或 破 坏 驻 留 等 待 执 行 正 常 的
14、系 统 引 导 Y N 系 统 启 动 运 行 .C O M , .E X E 文 件 病 毒 随 文 件 到 内 存并 获 得 系 统 控 制 权 符 合 条 件 ? 激 活 病 毒 传 染 或 破 坏 驻 留 等 待 文 件 正 常 执 行 Y N (a)引导型病毒)引导型病毒 (b)文件型病毒)文件型病毒2022-6-6Page 153.2.2 计算机病毒的检测计算机病毒的检测一一 异常情况判断异常情况判断计算机系统运行速度明显降低计算机系统运行速度明显降低系统容易死机系统容易死机文件改变、破坏文件改变、破坏磁盘空间迅速减少磁盘空间迅速减少内存不足内存不足系统异常频繁重启动系统异常频繁重
15、启动频繁产生错误信息频繁产生错误信息2022-6-6Page 161病毒病毒特征码扫描法:病毒特征码是反病特征码扫描法:病毒特征码是反病毒公司在分析病毒时,确定的只有该病毒毒公司在分析病毒时,确定的只有该病毒才可能会有的一段独一无二的二进制程序才可能会有的一段独一无二的二进制程序码。码。2对比法:将原始备份的正常无毒对象与对比法:将原始备份的正常无毒对象与被检测的可疑对象进行比较。被检测的可疑对象进行比较。3行为监测法:是一种检测计算机行为的行为监测法:是一种检测计算机行为的常驻式扫描技术,通过对病毒的深入分析常驻式扫描技术,通过对病毒的深入分析和总结,发现病毒的一些共同行为。和总结,发现病毒
16、的一些共同行为。2022-6-6Page 174软件模拟法:专门用来对付多态性的病软件模拟法:专门用来对付多态性的病毒,此技术是在设计的虚拟机上模拟毒,此技术是在设计的虚拟机上模拟CPU的执行过程,让的执行过程,让CPU假执行病毒的变体引假执行病毒的变体引擎解码程序,安全并确实地将多态性病毒擎解码程序,安全并确实地将多态性病毒解开,使其显露原本的面目。解开,使其显露原本的面目。5实时实时I/O扫描:即时地对计算机上的扫描:即时地对计算机上的I/O数据做病毒特征码比对的工作。数据做病毒特征码比对的工作。6网络监测法:对查找局域网内感染网络网络监测法:对查找局域网内感染网络病毒的计算机比较有效。病
17、毒的计算机比较有效。2022-6-6Page 183.2.3 计算机病毒的防治计算机病毒的防治1在思想和制度方面在思想和制度方面 建立、健全法律和管理制度建立、健全法律和管理制度 加强教育和宣传,打击盗版加强教育和宣传,打击盗版2在技术措施方面在技术措施方面系统安全系统安全软件过滤软件过滤软件加密软件加密备份恢复备份恢复建立严密的病毒监视体系建立严密的病毒监视体系在内部网络出口进行访问控制在内部网络出口进行访问控制2022-6-6Page 193.2.4 计算机病毒防治软件的选购计算机病毒防治软件的选购1防、杀毒软件的选购指标防、杀毒软件的选购指标 选购病毒防治软件时,需要注意的指标包括选购病
18、毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多界面友好性、升级难易度、技术支持水平等诸多方面。方面。(1)检测速度:选择每)检测速度:选择每30秒能够扫描秒能够扫描1000个个文件以上的病毒防治软件。文件以上的病毒防治软件。(2)识别率:识别率越高,误报率和漏报率也)识别率:识别率越高,误报率和漏报率也就越低。就越低。(3)病毒病毒清除效果清除效果2常用的防、杀毒软件介绍常用的防、杀毒软件介绍2022-6-6Page 203.2.5 计算机病毒的防御步骤计算机病毒的防御步骤1用常识进
19、行判断用常识进行判断 2安装防病毒产品并保证更新最新的病毒定义安装防病毒产品并保证更新最新的病毒定义码码 3首次安装防病毒软件时,一定要对计算机做首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描一次彻底的病毒扫描4插入光盘和可插拔介质前,一定对它们进行插入光盘和可插拔介质前,一定对它们进行病毒扫描病毒扫描5不要从任何不可靠的渠道下载任何软件不要从任何不可靠的渠道下载任何软件 2022-6-6Page 216警惕欺骗性的病毒7使用其他形式的文档,如.rtf(Rich Text Format)和.pdf(Portable Document Format)8不要用共享的u盘安装软件9禁用Wi
20、ndows Scripting Host(Windows 脚本宿主,是内嵌于 Windows 操作系统中的脚本语言工作环境 )10使用基于客户端的防火墙或过滤措施2022-6-6Page 223.3.1 根据名称识别计算机病毒根据名称识别计算机病毒下面是对一些常见病毒前缀的解释。下面是对一些常见病毒前缀的解释。1系统病毒系统病毒 系统病毒的前缀为:系统病毒的前缀为:Win32、PE、Win95、W32、W95等,这些病毒的一般等,这些病毒的一般共有特性是可以感染共有特性是可以感染windows操作系统的操作系统的*.exe 和和*.dll文件,并通过这些文件进行传文件,并通过这些文件进行传播。
21、如播。如CIH病毒。病毒。2022-6-6Page 232蠕虫病毒蠕虫病毒 蠕虫病毒的前缀是:蠕虫病毒的前缀是:Worm。这种病。这种病毒的共有特性是通过网络或者系统漏洞进毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发行传播,很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如冲击送带毒邮件、阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)波(阻塞网络),小邮差(发带毒邮件)等。等。2022-6-6Page 24普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式 寄存文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运行主动攻击主动攻击
22、传染目标传染目标本地文件本地文件网络计算机网络计算机2022-6-6Page 25破坏性强破坏性强传染方式多传染方式多 一种是针对企业的局域网,主要通过系一种是针对企业的局域网,主要通过系统漏洞;另外一种是针对个人用户的统漏洞;另外一种是针对个人用户的, , 主主要通过电子邮件要通过电子邮件, ,恶意网页形式迅速传播的恶意网页形式迅速传播的蠕虫病毒。蠕虫病毒。传播速度快传播速度快清除难度大清除难度大2022-6-6Page 263木马病毒、黑客病毒木马病毒、黑客病毒 木马病毒其前缀是:木马病毒其前缀是:Trojan,黑客病毒前缀,黑客病毒前缀名一般为名一般为Hack。木马病毒的共有特性是通过网
23、。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息;而黑客病毒则有一个可视外界泄露用户的信息;而黑客病毒则有一个可视的界面,能对用户的计算机进行远程控制。木马、的界面,能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵黑客病毒往往是成对出现的,即木马病毒负责侵入用户的计算机,黑客病毒则会通过该木马病毒入用户的计算机,黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整来进行控制。现在这两种类型都越来越趋向于整合了。合了。2022-6-6Page 27 一般的木马如一般的木
24、马如QQ消息尾巴木马消息尾巴木马Trojan.QQ3344,还有比较多见的针对网,还有比较多见的针对网络游戏的木马病毒,如络游戏的木马病毒,如Trojan.LMir.PSW.60。病毒名中有。病毒名中有PSW或或者者PWD之类的,一般都表示这个病毒有盗之类的,一般都表示这个病毒有盗取密码的功能(这些字母为取密码的功能(这些字母为“密码密码”的英的英文文“password”缩写)。一些黑客程序,如缩写)。一些黑客程序,如网络枭雄(网络枭雄(Hack.Nether.Client)等。)等。2022-6-6Page 284脚本病毒脚本病毒 脚本病毒的前缀是:脚本病毒的前缀是:Script。脚本病。脚
25、本病毒的共有特性是使用脚本语言编写,通过毒的共有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码网页进行传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下)。脚本病毒还会有如下前缀:前缀:VBS、JS(表明是何种脚本编写(表明是何种脚本编写的),如欢乐时光(的),如欢乐时光(VBS.Happytime)、)、十四日(十四日(Js.Fortnight.c.s)等。)等。2022-6-6Page 295宏病毒宏病毒 其实宏病毒也是脚本病毒的一种,由于其实宏病毒也是脚本病毒的一种,由于它的特殊性,因此单独算成一类。宏病毒的它的特殊性,因此单独算成一类。宏病毒的前缀是:
26、前缀是:Macro,第二前缀是:,第二前缀是:Word、Word97、Excel、Excel97。宏病毒的主要特征如下:宏病毒的主要特征如下:1)宏病毒会感染)宏病毒会感染.DOC文档和文档和.DOT模板文件。模板文件。 2)宏病毒的传染通常是)宏病毒的传染通常是Word在打开一个带在打开一个带宏病毒的文档或模板时,激活宏病毒。宏病毒的文档或模板时,激活宏病毒。2022-6-6Page 303)多数宏病毒包含)多数宏病毒包含AutoOpen、AutoClose、AutoNew和和AutoExit等自动宏,通过这些自动等自动宏,通过这些自动宏病毒取得文档(模板)操作权。宏病毒取得文档(模板)操作
27、权。 4)宏病毒中总是含有对文档读写操作的宏命令。)宏病毒中总是含有对文档读写操作的宏命令。5)宏病毒在)宏病毒在.DOC文档、文档、.DOT模板中以模板中以BFF(Binary File Format)格式存放,这是一种加)格式存放,这是一种加密压缩格式,每个密压缩格式,每个Word版本格式可能不兼容。版本格式可能不兼容。6)宏病毒具有兼容性。)宏病毒具有兼容性。 返回本节2022-6-6Page 316后门病毒后门病毒 后门病毒的前缀是:后门病毒的前缀是:Backdoor。该类。该类病毒的共有特性是通过网络传播,给系统病毒的共有特性是通过网络传播,给系统开后门,给用户计算机埋下安全隐患。如
28、开后门,给用户计算机埋下安全隐患。如很多用户遇到过的很多用户遇到过的IRC(全名为(全名为Internet Relay Chat,是一款即时聊天工具,类似,是一款即时聊天工具,类似网络聊天室,但功能更强大)后门网络聊天室,但功能更强大)后门Backdoor.IRCBot。2022-6-6Page 327病毒种植程序病毒病毒种植程序病毒 这类病毒的共有特性是运行时会从体这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:下,由释放出来的新病毒产生破坏。如:冰河播种者(冰河播种者(Dropper.BingHe2
29、.2C)、)、MSN射手(射手(Dropper.Worm. Smibag)等。)等。2022-6-6Page 338破坏性程序病毒破坏性程序病毒 破坏性程序病毒的前缀是:破坏性程序病毒的前缀是:Harm。这。这类病毒的共有特性是以好看的图标来诱惑类病毒的共有特性是以好看的图标来诱惑用户单击。当用户单击这类病毒时,病毒用户单击。当用户单击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格便会直接对用户计算机产生破坏。如:格式化式化C盘(盘(Harm.formatC.f)、杀手命令)、杀手命令(Harm.Command.Killer)等。)等。2022-6-6Page 349玩笑病毒玩笑病毒 玩
30、笑病毒的前缀是:玩笑病毒的前缀是:Joke,也称恶作,也称恶作剧病毒。这类病毒的共有特性也是以好看剧病毒。这类病毒的共有特性也是以好看的图标来诱惑用户单击。当用户单击这类的图标来诱惑用户单击。当用户单击这类病毒时,病毒会做出各种破坏操作来吓唬病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户计算机进行用户,其实病毒并没有对用户计算机进行任何破坏。如:女鬼(任何破坏。如:女鬼(Joke.Girlghost)病)病毒。毒。2022-6-6Page 3510捆绑机病毒捆绑机病毒 捆绑机病毒的前缀是:捆绑机病毒的前缀是:Binder。这类病毒的。这类病毒的共有特性是病毒作者会使用特定的捆绑
31、程序将病共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如毒与一些应用程序如QQ、IE捆绑起来,表面上捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒看是一个正常的文件,当用户运行这些捆绑病毒时,表面上是运行这些应用程序,实际上是隐藏时,表面上是运行这些应用程序,实际上是隐藏运行捆绑在一起的病毒,从而给用户造成危害。运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑如:捆绑QQ(Binder.QQPass.QQBin)、系统)、系统杀手(杀手(Binder.killsys)等。)等。2022-6-6Page 363.3.2 区别计算机病毒与计算机故区别计算机病毒与计算机故障
32、障1计算机病毒的现象与查解方法计算机病毒的现象与查解方法 在一般情况下,计算机病毒总是依附在一般情况下,计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散某一系统软件或用户程序进行繁殖和扩散的,病毒发作时危及计算机的正常工作,的,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,总是有一定规律地出现机在感染病毒后,总是有一定规律地出现异常现象,如下所列。异常现象,如下所列。2022-6-6Page 37(1)屏幕显示异常,屏幕显示出不是由正常程)屏幕显示异常,屏幕显示出不是由正常程序产生的画面,而是显示混乱序产生的画面,
33、而是显示混乱(2)程序装入时间增长,文件运行速度下降)程序装入时间增长,文件运行速度下降(3)用户没有访问的设备却出现工作信号)用户没有访问的设备却出现工作信号(4)磁盘出现莫名其妙的文件和坏块,卷标发)磁盘出现莫名其妙的文件和坏块,卷标发生变化生变化(5)系统自行引导)系统自行引导(6)丢失数据或程序,文件字节数发生变化)丢失数据或程序,文件字节数发生变化(7)内存空间、磁盘空间减小)内存空间、磁盘空间减小(8)异常死机)异常死机(9)磁盘访问时间比平时增长)磁盘访问时间比平时增长(10)系统引导时间增长)系统引导时间增长2022-6-6Page 382与病毒现象类似的硬件故障与病毒现象类似
34、的硬件故障(1)系统的硬件配置)系统的硬件配置 (2)电源电压不稳定)电源电压不稳定 (3)插件接触不良)插件接触不良 (4)软驱故障)软驱故障 (5)CMOS的问题的问题 2022-6-6Page 393与病毒现象类似的软件故障与病毒现象类似的软件故障(1)出现)出现“Invalid drive specification”(非法驱动器号)(非法驱动器号)(2)软件程序已被破坏(非病毒)软件程序已被破坏(非病毒)(3)DOS系统配置不当系统配置不当(4)软件与)软件与DOS版本的兼容性版本的兼容性(5)引导过程故障)引导过程故障 (6)用不同的编辑软件编写程序)用不同的编辑软件编写程序 20
35、22-6-6Page 403.4.1 客户端的病毒防护步骤客户端的病毒防护步骤1减小攻击面2应用安全更新3启用基于主机的防火墙4安装防病毒软件5测试漏洞扫描程序6使用最少特权策略7限制未授权的应用程序2022-6-6Page 413.4.2 客户端应用程序的防病毒设客户端应用程序的防病毒设置置1电子邮件客户端2桌面应用程序3即时消息应用程序4Web 浏览器5对等应用程序2022-6-6Page 423.5.1 邮件病毒的清除邮件病毒的清除1断开网络2文件备份3杀毒软件4安全处理5预防邮件病毒2022-6-6Page 433.5.2 QQ病毒特征及清除方法病毒特征及清除方法1“QQ尾巴尾巴”病毒
36、病毒(1)病毒主要特征)病毒主要特征 这种病毒并不是利用这种病毒并不是利用QQ本身的漏洞进行传本身的漏洞进行传播,而是在某个网站首页上嵌入了一段恶意代码,播,而是在某个网站首页上嵌入了一段恶意代码,利用利用IE的的iFrame系统漏洞自动运行恶意木马程序,系统漏洞自动运行恶意木马程序,从而达到侵入用户系统、进而借助从而达到侵入用户系统、进而借助QQ进行垃圾进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁信息发送的目的。用户系统如果没安装漏洞补丁或没把或没把IE升级到最高版本,那么访问这些网站的升级到最高版本,那么访问这些网站的时候,所访问网页中嵌入的恶意代码即被运行,时候,所访问网页中嵌入的
37、恶意代码即被运行,并立即会通过并立即会通过IE的漏洞运行一个木马程序进驻用的漏洞运行一个木马程序进驻用户机器。户机器。2022-6-6Page 44然后在用户使用然后在用户使用QQ向好友发送信息的时候,向好友发送信息的时候,该木马程序就自动在发送的消息末尾插入该木马程序就自动在发送的消息末尾插入一段广告词,通常都是以下类型:一段广告词,通常都是以下类型:“HoHo http:/www.mm*.com刚才朋刚才朋友给我发来的这个东东。你不看看就后悔友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。哦,嘿嘿。也给你的朋友吧。”2022-6-6Page 45(2)清除方法)清除方法 在运
38、行中输入在运行中输入MSconfig,如果启动项中有,如果启动项中有“Sendmess.exe”和和“wwwo.exe”这两个选项,将这两个选项,将其禁止。在其禁止。在C:WINDOWS一个叫一个叫qq32.INI的文的文件,文件里是附在件,文件里是附在QQ后的那几句广告词,将其后的那几句广告词,将其删除。转到删除。转到DOS下再将下再将“Sendmess.exe”和和“wwwo.exe”这两个文件删除。这两个文件删除。 安装系统漏洞补丁安装系统漏洞补丁 由病毒的播方式知道,由病毒的播方式知道,“QQ尾巴尾巴”这种木马病这种木马病毒是利用毒是利用IE的的iFrame传播的,即使不执行病毒文传播
39、的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该马上下载的目的。因此应该马上下载IE的的iFrame漏洞补丁。漏洞补丁。2022-6-6Page 462QQ“缘缘”病毒病毒(1)病毒特征)病毒特征 该病毒用该病毒用VB语言编写,采用语言编写,采用ASPack压压缩,利用缩,利用QQ消息传播。运行后会将消息传播。运行后会将IE默认默认首页改变为:首页改变为:HTTP:/WWW.*115.COM/。如果发现自己的如果发现自己的IE首页被修改成以上网址,首页被修改成以上网址,就表明是被该病毒感染了。就表明是被该病毒感染了。病毒会
40、利用病毒会利用QQ发送例如:发送例如:“今天在网上下了本电子书,书名叫今天在网上下了本电子书,书名叫缘缘,写得不错,而且书的作者的名字很巧,点击写得不错,而且书的作者的名字很巧,点击下面这个地址可以下载这本书下面这个地址可以下载这本书”;2022-6-6Page 47“1937年年12月月13日,日,300000南京人民被侵华南京人民被侵华日军集体大屠杀!所有的中国人都不应忘日军集体大屠杀!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变记这个日子,从始至终日本人都没有改变它们的野心,中华儿女要团结自强牢记历它们的野心,中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼史,我
41、们要时刻警惕日本人的野心,钓鱼岛是中国的领土,台湾是中国不可分割的岛是中国的领土,台湾是中国不可分割的一部份,请你将此消息发给你一部份,请你将此消息发给你QQ上的好上的好友友!”。消息里的链接是病毒网址。消息里的链接是病毒网址。2022-6-6Page 48(2)清除方法)清除方法使用下面的办法可将其彻底删除。使用下面的办法可将其彻底删除。 找到下列文件并删除:找到下列文件并删除: C:Windowssystemnoteped.exe C:WindowssystemTaskmgr.exe C:Windowsnoteped.exe C:Windwossystem32noteped.exe2022
42、-6-6Page 49 其中,对于其中,对于Taskmgr.exe要先打开要先打开“window 任务管理器任务管理器”,选中进程,选中进程“Taskmgr.exe”,杀掉。,杀掉。其中,有两个名字叫其中,有两个名字叫“Taskmgr.exe”的进的进程,一个是程,一个是QQ病毒,一个是刚才打开的病毒,一个是刚才打开的“Window 任务管理器任务管理器”。然后到注册表中找到:然后到注册表中找到: “HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun”找到找到“Taskmgr”删除。删除。2022-6-6Page 50也可以通
43、过下面的方式删除病毒。也可以通过下面的方式删除病毒。 在任务栏上单击鼠标右键,选择任务管在任务栏上单击鼠标右键,选择任务管理器;理器; 选择进程里的选择进程里的Taskmgr.exe; 单击单击“开始开始”、“运行运行”,输入,输入Regedit进入注册表;进入注册表; 在注册表中找到在注册表中找到 2022-6-6Page 51 “HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun”将将Taskmgr项删除。项删除。删除后重启计算机,删除后重启计算机,“缘缘”QQ病毒彻底删病毒彻底删除。除。需要注意的是,应该尽快更新需要注意
44、的是,应该尽快更新IE到其高级到其高级版本,这样可以减少很多的版本,这样可以减少很多的IE被改机会。被改机会。2022-6-6Page 523QQ“狩猎者狩猎者”病毒病毒(1)病毒特征)病毒特征 在进行在进行QQ聊天时会在消息中加入如下信息:聊天时会在消息中加入如下信息:“向你介绍一个好看的动画网:向你介绍一个好看的动画网: http:/ ” 当浏览带毒网站时,会利用当浏览带毒网站时,会利用IE漏洞尝试新增漏洞尝试新增sys文件和文件和tmp文件的执行关联,并下载执行病毒文件的执行关联,并下载执行病毒文件文件b.sys。如果。如果IE已经打上补丁,则会弹出一个已经打上补丁,则会弹出一个插件对话
45、框,引诱用户安装,安装后会将病毒安插件对话框,引诱用户安装,安装后会将病毒安装到装到Windows/Downloaded Program Files文件夹文件夹中,文件名为中,文件名为b.exe。如果用户拒绝安装该插件,。如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。会不断弹出对话框要求用户安装。2022-6-6Page 53 复制文件复制文件复制病毒体到复制病毒体到SystemRoot文件夹中,文件名为文件夹中,文件名为Rundll32.exe;复制病毒体为复制病毒体为“C:cmd.exe”,试图复制病毒体到共享目录中,名为试图复制病毒体到共享目录中,名为“病毒专病毒专杀杀.exe”
46、和和“周杰伦演唱会周杰伦演唱会.exe”。 添加注册表启动项,以随机启动在注册表的主添加注册表启动项,以随机启动在注册表的主键:键:在在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun处添加处添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”键值。键值。2022-6-6Page 54 修改和新增以下文件关联修改和新增以下文件关联修改修改.exe文件的关联,每当执行文件的关联,每当执行exe文件时,首先文件时,首先执行病毒预先复制的病毒文件,在注册表的主键:执行病毒预先复制的病毒文件,在
47、注册表的主键:HKEY_CLASS_ROOTexefileshellopencommand 修改键值:默认修改键值:默认=C:cmd.exe %1 &*新增新增.sys文件的执行关联,使得在浏览带毒网站文件的执行关联,使得在浏览带毒网站时执行病毒文件时执行病毒文件b.sys在注册表的主键在注册表的主键: HKEY_CLASS_ROOTsysfileshellopencommand修改键值:默认修改键值:默认=%1 %*新增新增.tmp文件的执行关联在注册表的主键:文件的执行关联在注册表的主键:HKEY_CLASS_ROOTtmpfileshellopencommand修改如下键值:默认修改如下
48、键值:默认=%1 %*2022-6-6Page 55 试图偷传奇游戏的密码,并通过自带的试图偷传奇游戏的密码,并通过自带的邮件引擎以邮件引擎以“”的名义发送到的名义发送到“”信箱中。信箱中。 在在Win2000、WinXP、Win2003系统中,系统中,系统文件系统文件“Rundll32.exe”就在系统目录中,就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以文件,因而病毒不能正常加载,但仍可以通过通过EXE关联被加载。关联被加载。2022-6-6
49、Page 56(2)清除方法)清除方法 关闭关闭Windows Me、Windows XP、Windows 2003的的“系统还原系统还原”功能;功能; 重新启动到安全模式下;重新启动到安全模式下; 先将先将regedit.exe改名为改名为,再用资源管理器结,再用资源管理器结束束cmd.exe进程,然后运行进程,然后运行,将,将EXE关联修改关联修改为为“%1 %*”,再删除,再删除C:cmd.exe、%Windows% Download Program Filesb.exe文件,对于文件,对于Windows 9x系系统,还要删除统,还要删除%SystemRoot%Rundll32.exe,
50、再到共享,再到共享目录中看有没有目录中看有没有“病毒专杀病毒专杀.exe”和和“周杰伦演唱会周杰伦演唱会.exe”这两个文件,文件大小为这两个文件,文件大小为11184字节,如果有,将其删除;字节,如果有,将其删除; 打开注册表,删除主键:打开注册表,删除主键:HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOTtmpfileshellopen修改修改 HKEY_CLASSES_ROOTexefileshellopencommand 的的键值为键值为 %1 %*。2022-6-6Page 57(3)防范措施)防范措施 不要轻易单击不要轻易单击Q