恶意代码概述课件.ppt

1、18961896192019201987198720062006恶意代码概述恶意代码概述刘功申上海交通大学信息安全工程学院信息安全工程学院信息安全工程学院School of Information Security Engineering本章学习目标本章学习目标明确恶意代码的基本概念了解恶意代码的发展历史熟悉恶意代码的分类熟悉恶意代码的命名规则了解恶意代码的未来发展趋势信息安全工程学院信息安全工程学院School of Information Security Engineering主要内容主要内容为什么提出恶意代码的概念？恶意代码定义恶意代码的发展历史恶意代码的种类恶意代码传播途径染毒计算机

2、的症状恶意代码的命名规则最新发展趋势信息安全工程学院信息安全工程学院School of Information Security Engineering为什么提出恶意代码的概念？信息安全工程学院信息安全工程学院School of Information Security Engineering过时的计算机病毒定义过时的计算机病毒定义国务院颁布的中华人民共和国计算机信息系统安全保护条例，以及公安部出台的计算机病毒防治管理办法将计算机病毒均定义如下：计算机病毒是指，编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。信息安全工程学院信

3、息安全工程学院School of Information Security Engineering为什么提出恶意代码的概念？为什么提出恶意代码的概念？恶意代码比计算机病毒的概念更加宽泛恶意代码更适应信息安全发展的需要恶意代码的提出也符合法律界人士的观点 根据我国的法律木马不属于计算机病毒，法律界定模糊信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码定义信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的概念恶意代码的概念恶意代码-maliciou

4、s software-MalwareMalware:Fighting Malicious Code中，恶意代码定义：运行在目标计算机上，使系统按照攻击者意愿执行任务的一组指令。信息安全工程学院信息安全工程学院School of Information Security Engineering维基百科定义：恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片断。这个定义涵盖的范围非常广泛，它包含了所有敌意、插入、干扰、讨厌的程序和源代码。一个软件被看作是恶意代码主要是依据创作者的意图，而不是恶意代码本身的特征 信息安全工程学院信息

5、安全工程学院School of Information Security Engineering恶意代码将包括计算机病毒（computer virus），蠕虫（worm），特洛伊木马（trojan horses），rootkits，间谍软件（spyware），恶意广告（dishonest adware），流氓软件（crimeware），逻辑炸弹（logic boom），后门（back door），僵尸网络（botnet），网络钓鱼（phishing），恶意脚本（malice script），垃圾信息（spam），智能终端恶意代码（malware in intelligent terminal

6、device）等恶意的或讨厌的软件。信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的特征恶意代码的特征目的性 恶意代码的基本特征。判断恶意代码的主要依据。传播性 传播性是恶意代码体现其生命力的重要手段。破坏性 破坏性是恶意代码的表现手段。信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的发展历史信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的发展历史恶意代码的发展历

7、史卡巴斯基实验室的高级研究师David Emm研究获悉，到2008年底为止，全球大约存在各种恶意代码1,400,000个。信息安全工程学院信息安全工程学院School of Information Security Engineering在第一部商用电脑出现之前，冯诺伊曼在他的论文复杂自动装置的理论及组识的进行里，就已经勾勒出了病毒程序的蓝图。70年代美国作家雷恩出版的P1的青春The Adolescence of P1一书中作者构思出了计算机病毒的概念。美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯

8、大战core war”信息安全工程学院信息安全工程学院School of Information Security Engineering博士论文的主题是计算机病毒1983年11月3日，Fred Cohen博士研制出第一个计算机病毒（Unix）。信息安全工程学院信息安全工程学院School of Information Security Engineering1986年初，巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了Pakistan病毒，即Brain，其目的是为了防范盗版软件。Dos PC 引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期

9、五等等。信息安全工程学院信息安全工程学院School of Information Security Engineering视窗病毒视窗病毒1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。信息安全工程学院信息安全工程学院School of Information Security Engineering肇事者肇事者-Robert T.Morris ,美国康奈尔大学学生，其美国康奈尔大学学生，其父是美国国家安全局安全专家。父是美国国家安全局安全专家。机理机理-利用利用sendmail,finger

10、等服务的漏洞，消耗等服务的漏洞，消耗CPU资源，并导致拒绝服务。资源，并导致拒绝服务。影响影响-Internet上大约上大约6000台计算机感染，占当时台计算机感染，占当时Internet 联网主机总数的联网主机总数的10%，造成，造成9600万美万美元的损失。元的损失。CERT/CC的诞生的诞生-DARPA成立成立CERT（Computer Emergency Response Team），以应付类似事件。），以应付类似事件。莫里斯蠕虫（莫里斯蠕虫（Morris WormMorris Worm）19881988年年信息安全工程学院信息安全工程学院School of Information S

11、ecurity Engineering1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户（包括中国）造成了极大损失。全球流行DOS病毒信息安全工程学院信息安全工程学院School of Information Security Engineering伊拉克战争中的病毒伊拉克战争中的病毒-AF/91-AF/91（19911991）在沙漠风暴行动的前几周，一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装，取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机，据说非常成功。信息

12、安全工程学院信息安全工程学院School of Information Security Engineering宏病毒宏病毒1996年，出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点：书写简单，甚至有很多自动制作工具信息安全工程学院信息安全工程学院School of Information Security EngineeringCIHCIH（1998-19991998-1999）1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。信息安全工程学院信息安全工程学院Schoo

13、l of Information Security Engineering蠕虫蠕虫 病毒新时代病毒新时代1999年3月26日，出现一种通过因特网进行传播的美丽莎病毒。2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。记忆犹新的3年（2003-2005）信息安全工程学院信息安全工程学院School of Information Security Engineering2004年是蠕虫泛滥的一年，大流行病毒：网络天空(Worm.Net

14、sky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)信息安全工程学院信息安全工程学院School of Information Security Engineering2005年是木马流行的一年，新木马包括：8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备的类型，自动把U盘里所有的资料都复制到电脑C盘的

15、“test”文件夹下，这样可能造成某些公用电脑用户的资料丢失。11月25日，“证券大盗”（）。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。7月29日，“外挂陷阱”（troj.Lineage.hp）。此病毒可以盗取多个网络游戏的用户信息，如果用户通过登陆某个网站，下载安装所需外挂后，便会发现外挂实际上是经过伪装的病毒，这个时候病毒便会自动安装到用户电脑中。9月28日，我的照片(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取热血江湖、传奇、天堂、工商银行、中国农业银行 等数十种网络游戏及网络银行的账号和密码。该病毒

16、发作时，会显示一张照片使用户对其放松警惕。信息安全工程学院信息安全工程学院School of Information Security Engineering20062006年木马仍然是病毒主流，变种层出不穷年木马仍然是病毒主流，变种层出不穷 2006年上半年，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测的数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数的32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数的17.12%，感染后门程序电脑 664589台，占病毒感染电脑总数的9.03%，蠕虫病

17、毒216228台，占病毒感染电脑总数的2.95%，监测发现漏洞攻击代码感染181769台，占病毒感染电脑总数的2.48%，脚本病毒感染15152台，占病毒感染电脑总数的2.06%。信息安全工程学院信息安全工程学院School of Information Security Engineering最前沿病毒最前沿病毒2007年：流氓软件反流氓软件技术对抗的阶段。Cnnic 3721 yahoo 熊猫烧香2008年：木马 ARP Phishing（网络钓鱼）近几年来的重大损失近几年来的重大损失 年 份攻击行为发起者受害PC数目损失金额(美元)2006木马和恶意软件2005木马2004Worm_Sa

18、sser(震荡波)2003Worm_MSBLAST(冲击波)超过140万台2003SQL Slammer超过20万台9.5亿至12亿2002Klez超过6百万台90亿2001RedCode超过1百万台26亿2001NIMDA超过8百万台60亿2000Love Letter88亿1999CIH超过6千万台近100亿信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的种类信息安全工程学院信息安全工程学院School of Information Security Engineering1 1 普通计算机病毒普通计算机病毒计算

19、机病毒是指，编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。传统意义上的计算机病毒主要包括：引导区型病毒 文件型病毒 混合型病毒 信息安全工程学院信息安全工程学院School of Information Security Engineering2 2 蠕虫蠕虫蠕虫(Worm)是作为恶意代码的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。典型代表：红色代码 尼姆达 SQL蠕虫王信息安全工程学院信息安全工程学院School of Information Secur

20、ity Engineering3 3 特洛伊木马特洛伊木马特洛伊木马是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。典型代表 BO2K 冰河 灰鸽子 信息安全工程学院信息安全工程学院School of Information Security Engineering4 Rootkit4 Rootkit工具工具rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。一个典型rootkit包括：网络嗅探程序 特洛伊木马程序 隐藏攻击者的目录和进程的程序 日志清理工具。信息安全工程学院信息安全工程学院Sch

21、ool of Information Security Engineering5 5 流氓软件流氓软件流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。流氓软件是介于病毒和正规软件之间的软件，同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)，给用户带来实质危害。它们往往采用特殊手段频繁弹出广告窗口，危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。信息安全工程学院信息安全工程学院School of Information Security Engin

22、eering流氓软件的特征：（1）采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；（2）强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；（3）强行弹出广告，或者其他干扰用户并占用系统资源行为；（4）有侵害用户信息和财产安全的潜在因素或者隐患；（5）未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。信息安全工程学院信息安全工程学院School of Information Security Engineering6 6 间谍软件间谍软件间谍软件（Spyware）是一种能够在计算机使用者无法察觉或给计算机使用者造成安全假相的情况下，秘

23、密收集计算机信息的并把它们传给广告商或其他相关人的程序。信息安全工程学院信息安全工程学院School of Information Security Engineering7 7 恶意广告恶意广告恶意广告（广告软件，Adware），通常包括间谍软件的成分，也可以认为是恶意软件。广告软件是指未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。信息安全工程学院信息安全工程学院School of Information Security Engineering8 8 逻辑炸弹逻辑炸弹逻辑炸弹（Logic Bomb）是合法的应用程序，只是在编程时被故意写入的某种“

24、恶意功能”。作为某种版权保护方案，某个应用程序有可能会在运行几次后就在硬盘中将其自身删除；某个程序员有可能希望他的程序包含某些多余的代码，以使程序运行时对某些系统产生恶意操作。在大的项目中，如果代码检查措施有限，被植入逻辑炸弹的可能性是很大的。信息安全工程学院信息安全工程学院School of Information Security Engineering9 9 后门后门后门又称为Back Door，是指绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有被删除，那么它就成了安全风险。

25、信息安全工程学院信息安全工程学院School of Information Security Engineering10 10 僵尸网络僵尸网络僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。网络中被寄宿了bot程序的主机就是熟知的“肉鸡”信息安全工程学院信息安全工程学院School of Information Security Engineering11 11 网络钓鱼

26、网络钓鱼网络钓鱼（Phishing是Phone和fishing的组合词，与钓鱼的英语fishing 发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于权威机构的欺骗性信息来引诱信息接收者给出敏感信息（如用户名、口令、帐号ID、ATM PIN码、信用卡等）的一种攻击方式。网络钓鱼是“社会工程攻击”的一种具体表现形式。信息安全工程学院信息安全工程学院School of Information Security Engineering12 12 恶意脚本恶意脚本恶意脚本是指利用脚本语言编写的以危害或者损害系统功能、干扰用户正常使用为目的任何脚本程序或片断。可以用于实现恶意脚本的脚本语言包括J

27、ava攻击小程序（Java attack applets）、ActiveX控件、JAVAScript、VBScript、PHP、Shell语言等。恶意脚本的危害不仅仅体现在修改用户的机器配置方面，而且还可以作为传播蠕虫和木马等恶意代码的工具。信息安全工程学院信息安全工程学院School of Information Security Engineering13 13 垃圾信息垃圾信息垃圾信息是指未经用户同意向用户发送的用户不愿意收到的信息，或用户不能根据自己的意愿拒绝接收的信息，主要包含未经用户同意向用户发送的商业类、广告类、违法类、不良信息类等信息。信息安全工程学院信息安全工程学院Schoo

28、l of Information Security Engineering垃圾信息分类：垃圾短信息，是指在手机上传播的垃圾信息；垃圾邮件，是指通过电子邮件传播的垃圾信息；即时垃圾信息，是指在即时消息通讯工具上传播的垃圾信息；此外，最近还出现了博客垃圾信息、搜索引擎垃圾信息等概念。信息安全工程学院信息安全工程学院School of Information Security Engineering14 14 移动终端恶意代码移动终端恶意代码移动终端恶意代码是对移动终端各种病毒的广义称呼，它包括以移动终端为感染对象而设计的普通病毒、木马等。移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机

29、网络为平台，通过无线或有线通讯等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码传播途径信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，因此，恶意代码的扩散与传输媒体的变化有着直接关系。切断传播途径是防范恶意代码的重要手段之一。信息安全工程学院信息安全工程学院School of Informat

30、ion Security Engineering1 1 软盘软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。信息安全工程学院信息安全工程学院School of Information Security Engineering2 2、光盘、光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读

31、式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给本来“干净”的计算机带来了灾难。信息安全工程学院信息安全工程学院School of Information Security Engineering3 3、硬盘（含移动硬盘、硬盘（含移动硬盘、USBUSB）带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的软盘传染或者感染其他硬盘并扩散。信息安全工程学院信息安全工

32、程学院School of Information Security Engineering4 Internet4 Internet网络-恶意代码传播的加速器网络病毒技术社区集体攻击病毒 蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒源码发布信息安全工程学院信息安全工程学院School of Information Security Engineering网络服务-促进恶意代码传播 电子布告栏（电子布告栏（BBSBBS）：电子邮件（电子邮件（EmailEmail）：即时消息服务（即时消息服务（QQ,ICQ,MSNQQ,ICQ,MSN等）等）：WEBWEB服务服务：FTPFTP服务服务：新闻组新闻

33、组：信息安全工程学院信息安全工程学院School of Information Security Engineering5 5 无线通讯系统无线通讯系统病毒对手机的攻击有3个层次：攻击WAP服务器，使手机无法访问服务器；攻击网关，向手机用户发送大量垃圾信息；直接对手机本身进行攻击，有针对性地对其操作系统和运行程序进行攻击，使手机无法提供服务。信息安全工程学院信息安全工程学院School of Information Security Engineering染毒计算机的症状信息安全工程学院信息安全工程学院School of Information Security Engineering病毒表现

34、现象：计算机病毒发作前的表现现象 病毒发作时的表现现象 病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障信息安全工程学院信息安全工程学院School of Information Security Engineering1 1、发作前的现象、发作前的现象平时运行正常的计算机突然经常性无缘无故地死机 操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word，打开Word文档后，该文件另存时只能以模板方式保存 磁盘空间迅

35、速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子函件信息安全工程学院信息安全工程学院School of Information Security Engineering2 2、发作时的现象、发作时的现象提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动信息安全工程学院信息安全工程学院School of Information Security Engineering3 3、发作后的现象、发作后的现象硬盘无法启动，数据丢失 系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破

36、坏部分文档自动加密修改Autoexec.bat文件使部分可软件升级主板的BIOS程序混乱，主板被破坏网络瘫痪，无法提供正常的服务信息安全工程学院信息安全工程学院School of Information Security Engineering4 4、与病毒现象类似的软件故障、与病毒现象类似的软件故障出现“Invalid drive specification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性 引导过程故障 用不同的编辑软件程序信息安全工程学院信息安全工程学院School of Information Security Engineering5 5、与病毒现象类

37、似的硬件故障、与病毒现象类似的硬件故障系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题信息安全工程学院信息安全工程学院School of Information Security Engineering恶意代码的命名规则信息安全工程学院信息安全工程学院School of Information Security EngineeringCAROCARO规则规则CARO命名规则，每一种病毒的命名包括五个部分：病毒家族名病毒组名大变种小变种修改者CARO规则的一些附加规则包括：不用地点命名不用公司或商标命名如果已经有了名字就不再另起别名变种病毒是原病毒的子类信息安全工程学院信息安全

38、工程学院School of Information Security Engineering举例：举例：精灵（Cunning）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701,1704,1621等），所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。业界补充：业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一

39、个变种的命名就成了W97M.Melissa.AA，Happy 99蠕虫就被称为Win32.Happy99.Worm。信息安全工程学院信息安全工程学院School of Information Security EngineeringVGREPVGREPVGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通过某种方法关联起来，其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描，扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通

40、用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名，这对于在世界范围内跟踪多个病毒的一致性很有帮助。信息安全工程学院信息安全工程学院School of Information Security Engineering最新发展趋势信息安全工程学院信息安全工程学院School of Information Security Engineering发展趋势 网络化发展 专业化发展 简单化发展 多样化发展 自动化发展 犯罪化发展相关资源相关资源1.Wildlist国际组织 http:/www.wildlist.org 该网站维护世界各地发现的病毒列表。网站负责维

41、护这个列表，并且按月打包供用户下载。此外，网站上还有一些计算机病毒方面的学术论文。2.病毒公告牌http:/对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说，病毒公告在线杂志是一个必不可少的参考。逐日逐月地，病毒公告牌提供如下信息：1)来自于反恶意代码业界的发人深省的新闻和观点2)最新恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报3.29A病毒技术组织http:/lux.org/29a/这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。29A的成员对病毒技术特别感兴趣，用户

42、可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。4.亚洲反病毒研究者协会(AVAR)http:/www.aavar.orgAVAR(亚洲反病毒研究者协会)成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏，促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织，主要面向的对象是亚太地区。本协会有来自以下国家和地区资深的反病毒专家：澳大利亚、中国、中国香港、印度、日本、韩国、菲律宾、新加坡、中国台北、英国以及美国。我们的独立性保证了我们能在对抗计算机病毒的过程中发挥重要的作用，同时会提醒人们对计算机安全的警惕性。AVAR的主要工作包括：1)组织和承办以反病

43、毒为主题的AVAR年会和论坛2)在AVAR网站上提供亚洲的计算机病毒事件的信息3)通过邮件的形式在AVAR的成员中建立邮件列表，并在会员中交换意见与信息 5.国家计算机病毒应急处理中心http:/www.antivirus-网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6.病毒观察http:/网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。7.中国绿盟http:/;http:/网站内容包括安全论坛、安全文献、系统工具、工具介绍等。8.安全焦点http:/网站内容包括安全文献、安全工具、安全漏洞、焦点论坛等。9.病毒资讯网http:/网站主要内容包括黑客频道、防毒技巧、网络安全新闻、病毒新闻等。10.国际计算机安全联合会(ICSA-InterNational Computer Secwrity Association)http:/ of Information Security EngineeringThank You!