资源描述
第九章第九章 互联网安全与病毒互联网安全与病毒1第九章互联网安全与病毒122第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;第二是以第二是以间谍软件、广告软件、网络钓鱼软件、木间谍软件、广告软件、网络钓鱼软件、木马程序马程序为代表的扩展类威胁;为代表的扩展类威胁;第三是以第三是以黑客黑客为首的有目标的专门攻击或无目标的为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。随意攻击为代表的网络侵害。互联网面临的互联网面临的威胁威胁3第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;第二是以间谍软 计算机病毒计算机病毒(computerVirus)在中华人民共和国计算机信息系统安全保护条例中被明确定义,病毒指病毒指“编制者在计算机程编制者在计算机程序中插入的破坏计算机功能或者破坏数据,序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组影响计算机使用并且能够自我复制的一组计算机指令或者程序代码计算机指令或者程序代码”。计算机病毒的定义计算机病毒的定义4计算机病毒(computerVirus)在中华人民计算机病毒的特征计算机病毒的特征隐蔽性隐蔽性传染性传染性潜伏性潜伏性可激发性可激发性破坏性破坏性5计算机病毒的特征隐蔽性传染性潜伏性可激发性破坏性5按照病毒的破坏性分类按照病毒的破坏性分类:良性病毒、恶性病毒良性病毒、恶性病毒按照病毒存在的媒体分类:按照病毒存在的媒体分类:网络病毒、文件病毒、引导型病毒、混网络病毒、文件病毒、引导型病毒、混合型病毒合型病毒按照计算机病毒特有的算法分类:按照计算机病毒特有的算法分类:伴随型病毒、伴随型病毒、“蠕虫蠕虫”型病毒、寄生型病型病毒、寄生型病毒、诡秘型病毒、变型病毒(又称幽灵病毒、诡秘型病毒、变型病毒(又称幽灵病毒)毒)计算机病毒的种类计算机病毒的种类6按照病毒的破坏性分类:计算机病毒的种类6CIH2019年年4月月26:CIH 1.2 版本首次大范围爆版本首次大范围爆发发 全球超过六千万台电脑被不同程度破坏全球超过六千万台电脑被不同程度破坏2000年年4月月26:CIH 1.2 版本第二次大范围版本第二次大范围爆发,全球损失超过十亿美元爆发,全球损失超过十亿美元2019年年4月月26:CIH 第三次大范围爆发。仅第三次大范围爆发。仅北京就有超过六千台电脑遭北京就有超过六千台电脑遭CIH破坏破坏7CIH2019年4月26:CIH1.2版本首次大范围爆发 CIH病毒也称切尔病毒也称切尔诺贝利病毒,诺贝利病毒,属系统病毒,其别名有Win95.CIHWin95.CIH、SpacefillerSpacefiller、Win32.CIHWin32.CIH、PE_CIHPE_CIH,它主要感染Windows95/98下的可执行文件,会破坏用户系统上的全部信息。感染途径:盗版光盘、软盘、网络。8CIH病毒也称切尔诺贝利病毒,属系统病毒,其别名有Win99冲击波病毒冲击波病毒2019年夏爆发,数十万台计算机被感染,年夏爆发,数十万台计算机被感染,给全球造成给全球造成20亿亿-100亿美元损失。亿美元损失。10冲击波病毒2019年夏爆发,数十万台计算机被感染,给全球造成感染途径:网络、RPC漏洞。冲击波病毒,冲击波病毒,属蠕虫病毒,运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,使系统操作异常、不停重启、甚至导致系统崩溃。防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁。如震荡波病毒11感染途径:网络、RPC漏洞。冲击波病毒,属蠕虫病毒,I love you2000年年5月至今月至今,众多用户电脑被感染,众多用户电脑被感染,损失超过损失超过100亿美元以上亿美元以上。12Iloveyou2000年5月至今,众多用户电脑被感染 I love you,属于属于蠕虫病毒,又称情书或爱虫。通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。向MicrosoftOutlook通讯簿中的联系人发送自身,大肆复制自身覆盖音乐和图片文件,并在本机中大量搜索相关账号和密码,并发给开发者。感染途径:网络、电子邮件。不随意查看陌生邮件,尤其是带有附件的邮件。13Iloveyou,属于蠕虫病毒,又称情书或爱虫。通熊猫烧香熊猫烧香06年年底开始大规模爆发数百万台电脑受年年底开始大规模爆发数百万台电脑受攻击,造成损失达数百万美元攻击,造成损失达数百万美元。14熊猫烧香06年年底开始大规模爆发数百万台电脑受攻击,造成损失 “熊猫烧香熊猫烧香”,属于属于蠕虫病毒,它采用“熊猫烧香”头像作为图标。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程,删除扩展名为gho的文件被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。感染途径:主要通过下载的档案传染。平时要注意保护U盘等移动存储设备数据安全。尽量不要直接双击打开,应该先按右键后打开。不用时,及时从电脑上把U盘拔除。15“熊猫烧香”,属于蠕虫病毒,它采用“熊猫烧香”头像作为 木马木马是编写的一种远程控制恶意程序,木马会未经用户许可,记录用户的键盘录入,盗取用户银行账户,密码等信息,并将其发送给攻击者。现在木马有很多种,象“广外幽灵”,“蓝色火焰”,“网络神偷”以及国产木马程序“灰鸽子”等。从病毒种类的构成比例也可以看出,木马以85.4%的比例依然占据主流,而传统病毒仅占4.3%、蠕虫2.6%、后门程序7.7%。木马作为病毒集团“互联网转型”的主要工具,是黑客实现经济利益的最直接手段。16木马是编写的一种远程控制恶意程序,木马会未经用户连续3年的年度十大病毒、被反病毒专家称为最危险的后门程序。2019年2月21日,灰鸽子2019beta2版本发布。该版本可以对远程计算机进行如下操作:编辑注册表编辑注册表;上传下载文件上传下载文件;查看系统信查看系统信息、进程、服务息、进程、服务;查看操作窗口、记录键盘、查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等关闭、重启机器等。“灰鸽子灰鸽子”17连续3年的年度十大病毒、被反病毒专家称为最危险的后门程序。2019年上半年年上半年Top10恶意代码排名恶意代码排名排名病毒名称病毒特点比例1Trojan.Win32.Patched.ja“假补丁”变种ja是一个利用微软MS04-011漏洞进行传播的木马。41.9%2Trojan-PSW.Win32.Kykymber.AA“密室大盗”变种AA,一个专门盗取网络游戏帐号的盗号木马。14.8%3Trojan.Win32.MicroFake.bh释放文件,感染lpk.dll,在桌面右下角弹广告。11.3%4Trojan-Dropper.Win32.Vedio.dgs替换dsound.dll,记录键盘消息。6.1%5Trojan-PSW.Win32.OnLineGames.PFZ.Gen盗取网游帐号。4.9%6Trojan-PSW.Win32.OnLineGames.POT专门窃取在线游戏的帐号。4.8%7Net-Worm.Win32.Allaple.b自变形蠕虫病毒,在被感染系统中生成若干病毒副本,可通过系统弱口令系统漏洞等途径传播,发送DoS攻击。4.6%8Trojan-GameThief.Win32.OnLineGames.xtdg网游盗号类木马。4.2%9Trojan.Win32.Agent2.dery窃取魔兽争霸帐号。3.8%10Trojan-PSW.Win32.OnlineGames.PIA网游盗号类木马。3.6%182019年上半年Top10恶意代码排名排名病毒名称病毒特点以恶意点击器为代表的流氓广告程序、网游以恶意点击器为代表的流氓广告程序、网游盗号木马、盗号木马、QQ盗号木马、远程控制木马(控盗号木马、远程控制木马(控制制“肉鸡肉鸡”)、木马下载器、恶意脚本程序、)、木马下载器、恶意脚本程序、伪装文件(文件夹)类伪装文件(文件夹)类U盘病毒是感染量最高盘病毒是感染量最高的七大类木马病毒。的七大类木马病毒。其中,流氓广告程序是网民最常遇的一类木其中,流氓广告程序是网民最常遇的一类木马,它的主要危害是绑架浏览器首页和桌面马,它的主要危害是绑架浏览器首页和桌面图标,强制访问不良网址导航。在网民电脑图标,强制访问不良网址导航。在网民电脑遇到的各种安全问题中,流氓广告程序所占遇到的各种安全问题中,流氓广告程序所占的比例约为的比例约为70%。19以恶意点击器为代表的流氓广告程序、网游盗号木马、QQ盗号木马通过分析发现,现在病毒木马的的特性不再以破坏系统为主,转为盗取私人信息(包括:游戏、网银等帐号密码及密保。),传播恶意程序为主,即利益因素为现在病毒木马的主要目的。网络下载和聊天工具传文件是木马病毒最主要的传播途径,所占比例合计达到74%。盗号木马病毒在盗取帐号密码后会将这些信息发送到指定的地址,然后会由专门的工作室去洗这些帐号(将游戏里的虚拟财产转为现实中的货币);而现在手机产品中最火的android平台中恶意程序则以在后台定制扣费服务为主。伴随着电子商务的发展,在经济利益最集中的互联网应用领域,如网络购物,木马的危害会越来越大,因此木马仍然在未来几年病毒总数中占据绝对优势。20通过分析发现,现在病毒木马的的特性不再以破坏系统为主,转网络钓鱼网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。网络钓鱼传统意义上指的是利用伪造邮件的方式发送邮件诱导用户点击,窃取用户银行帐号的行为。现在的钓鱼网站广泛意义上讲,以牟利为目的的欺骗。比如QQ中奖。钓鱼网站也是目前为止黑客所采取的最直接的获取经济利益的手段。21网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来钓鱼网站最钟爱六大类欺诈内容,包括:各种抽奖(22%),购物类网站,如假淘宝(17%)、假彩票分析(13%)、非法的六和彩网站(8%),假腾讯网站(8%),假证券网站(15%)。而伴随着电子商务的发展,互联网上直接经济活动的增多,购物类钓鱼网站依然会不断增加。钓鱼欺诈网站是目前互联网黑色产业的主要攻击模式。而网络购物又是互联网上钱财最集中汇聚的地方,因此网购经济也在一定程度上催生了钓鱼网站的泛滥。22钓鱼网站最钟爱六大类欺诈内容,包括:各种抽奖(22%),购23232019年十大典型的钓鱼网站年十大典型的钓鱼网站序序号号钓鱼网站种类钓鱼网站种类占总钓鱼网站占总钓鱼网站比例比例相关钓鱼网站相关钓鱼网站数量数量访问人数统访问人数统计计1抽奖22%80万个1400万次2购物17%68万个1000万次3证券15%60万个900万次4彩票13%52万个870万次5假冒QQ中奖8%32万个762万次6六合彩8%32万个650万次7假药1%约4万个400万次8网游交易1%约4万个320万次9假信贷1%约4万个240万次10机票1%约4万个186万次注:数据来源于金山云安全监测平台242019年十大典型的钓鱼网站钓鱼网站种类占总钓鱼网站比例相关案例:2019上半年中国银行网站被大量模仿做钓鱼站,影响及大。比如:bociec.tk这个钓鱼站的页面与中国银行的几乎页面完全一样,正常的中国银行页面如图5.6,虚假的如图5.7。几乎仅仅在红框圈出来的地方不同。图5.6中国银行网站25案例:2019上半年中国银行网站被大量模仿做钓鱼站,影响及大图5.7仿中国银行网站钓鱼站不再仅仅申请免费域名进行中奖钓鱼,开始攻击正常网站修改页面,为高利益假冒银行的网站,这些都在利益的引导下有了越来越专业的一条龙流水线。26图5.7仿中国银行网站钓鱼站不再仅仅申请免费域防治网络钓鱼软件,应注意以下方面防治网络钓鱼软件,应注意以下方面:不要在网上留下可以证明自己身份的任何资料,包括手机号不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。码、身份证号、银行卡号码等。不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播,这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息,除非得到权威途径的证明。不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、QQ等往往有人发布谣言,伺机窃取用户的身份资料等。不要在网站注册时透露自己的真实资料。不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。27防治网络钓鱼软件,应注意以下方面:27广告软件广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。防治广告软件,应注意以下方面防治广告软件,应注意以下方面:第一,不要轻易安装共享软件或第一,不要轻易安装共享软件或免费软件免费软件,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。第二,第二,有些广告软件通过恶意网站安装,所以,不要浏览不不要浏览不良网站。良网站。第三,采用安全性比较好的网络浏览器,第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞。28广告软件(Adware)是指未经用户允许,下载并安装或与其间谍软件间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些“后门程序”还能使黑客远程操纵用户的电脑。防治间谍软件,应注意以下方面防治间谍软件,应注意以下方面:第一,不要轻易安装共享软件或第一,不要轻易安装共享软件或“免费软件免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。第二,第二,有些间谍软件通过恶意网站安装,所以,不要浏览不不要浏览不良网站。良网站。第三,采用安全性比较好的网络浏览器第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞。29间谍软件(Spyware)是能够在使用者不知情的情况下,在用僵尸网络僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。30僵尸网络Botnet是指采用一种或多种传播手段,将大量主黑客(黑客(Hacker)例1:伪造一个登录界面,当用户在这个界面上输入用户名和密码时,程序将它们转移到一个隐蔽的文件中,然后提示错误,要求用户再输入一遍。程序这时再调用真正的登录界面让用户登录,于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。例2:查证信息。你可能在某天接到这样的信息:“我是*银行(用户的网上开户银行)会计部,我们的客户信息系统出现了一点故障,请将你的帐号密码填入下表后提交,以便我们审核”。请千万注意,遇到这种情况,应立即用电话跟你的开户行联系,决不要轻易填表。泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。31黑客(Hacker)例2:查证信息。你可能在某天接到这样的信案例:2019年的伊朗震网病毒事件,标志着电脑病毒作为一种武器正式登上战场2019年9月,伊朗称布什尔核电站部分员工电脑感染了一种名为“震网(Stuxnet)”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播,并对特定的西门子工业电脑进行破坏。万幸的是,这次电站主控电脑并未感染。32案例:2019年的伊朗震网病毒事件,标志着电脑病毒黑客的常用攻击手段:1、获取口令2、放置特洛伊木马程序 3、WWW的欺骗技术 4、电子邮件攻击 5、通过一个节点来攻击其他节点 6、网络监听 7、寻找系统漏洞 8、利用帐号进行攻击 9、偷取特权 33黑客的常用攻击手段:1、获取口令33 一、病毒木马呈现一、病毒木马呈现“互联网化互联网化”趋势,高度趋势,高度依赖联网传播依赖联网传播 1.计算机脱离互联网的机会越来越少计算机脱离互联网的机会越来越少 据CNNIC最新发布的第27次中国互联网络发展状况统计报告显示,截至2019年12月底,我国网民规模达到4.57亿,宽带普及率接近100%。主流计算机用户几乎已经通过各种渠道连接上了互联网。互联网安全威胁五大特征互联网安全威胁五大特征34一、病毒木马呈现“互联网化”趋势,高度依赖联网传播互2.据据2019年数据显示,病毒木马的传播途年数据显示,病毒木马的传播途径中,有径中,有93.2%直接依赖互联网完成,其中直接依赖互联网完成,其中有有82.2%是通过下载行为感染计算机。是通过下载行为感染计算机。3.网络畅通是病毒传播者获得非法利益的网络畅通是病毒传播者获得非法利益的必要前提必要前提病毒木马感染的最终目的是篡改浏览器、弹出广告、分发盗号木马、推广流氓软件来赚取推广分成;通过推广钓鱼欺诈网站来诱骗用户上当受骗;网购木马通过劫持篡改网购定单,强行将网民在线购物的款项转到自己的帐户。病毒程序要实现这些目的,必须要在网络畅通的情况下才可能做到。352.据2019年数据显示,病毒木马的传播途径中,有9病毒感染的目的病毒感染的目的联网时联网时断网时断网时1.篡改浏览器首页,为某些商业网站刷流量必须联网,才能令网民访问指定的首页浏览器打不开2.弹出钓鱼网站、广告网页联网时,才能按服务端的指令弹出指定的网址。必须联网,钓鱼网站弹出才会有内容。无法完成业绩3.网购木马篡改交易单必须联网,才能进行网上购物。只有购物之时,才可能发生交易劫持无法断网购物4.后台自动下载安装某些软件必须联网才能完成指定程序的下载无法断网下载。5.盗窃网民个人信息、盗窃网游帐号必须联网,才能将偷到的东西发到指定服务器。必须联网,才能登录网络游戏。不登录网游,木马不可能知道游戏帐号密码断网,无法游戏,更不能盗号。36病毒感染的目的联网时断网时1.篡改浏览器首页,为某些商业网站 二、二、80%的病毒传播渠道被病毒集团所操控,危的病毒传播渠道被病毒集团所操控,危害更深入害更深入 数据表明:十大病毒集团控制了互联网上数据表明:十大病毒集团控制了互联网上80%的的病毒下载通道。病毒下载通道。这些病毒集团传播的病毒,其主这些病毒集团传播的病毒,其主要破坏行为包括:为某些商业网站(主要是中小要破坏行为包括:为某些商业网站(主要是中小网址导航站、不良网站、盗版视频下载站)刷流网址导航站、不良网站、盗版视频下载站)刷流量;推广一些商业软件(这些软件往往捆绑了各量;推广一些商业软件(这些软件往往捆绑了各种插件,会篡改浏览器,弹出广告);推广钓鱼种插件,会篡改浏览器,弹出广告);推广钓鱼欺诈网站,使中毒者上当受骗;推广其它病毒欺诈网站,使中毒者上当受骗;推广其它病毒(主要是攻击热门网络游戏的盗号木马)。(主要是攻击热门网络游戏的盗号木马)。37二、80%的病毒传播渠道被病毒集团所操控,危害更深入3病毒木马通过网络下载传播的完整路径38病毒木马通过网络下载传播的完整路径38据2019年4月中国互联网络信息中心CNNIC和国家互联网应急中心CNCERT联合发布的2009年中国网民网络信息安全状况调查系列报告显示,2009年,年,52%的网民曾遭遇网络安全事件,网民的网民曾遭遇网络安全事件,网民处理安全事件所支出的相关服务费用共计处理安全事件所支出的相关服务费用共计153亿元亿元人民币。人民币。而这些病毒木马在给网民造成损失的同时,也在疯狂的获得非法利益,病毒产业的收益以百亿元计,这些总数不到50家的病毒集团获取的非法收益约占其中一半,领先的病毒集团一年可有数亿元的规模,令一般中小企业难望其项背。病毒集团的危害行为更加赤裸裸的以盗取经济利益病毒集团的危害行为更加赤裸裸的以盗取经济利益为目的为目的39据2019年4月中国互联网络信息中心CNNIC和国家互 三、网络购物人群成为入侵重点对象三、网络购物人群成为入侵重点对象随着网络购物的发展,针对网络购物的安全威胁已经成为影响互联网安全的重要形式。在2019年,有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。40三、网络购物人群成为入侵重点对象40 四、新型木马不断出现四、新型木马不断出现,破坏性超传统木破坏性超传统木 马马1010倍倍 以前,我们说到木马,大多是指那些盗号木马,盗号木马以窃取网游玩家的虚拟财产为目标。现在,随着互联网商业应用的不断拓展,病毒木马作者已经不屑于盗取虚拟财产。很多正常商业网站或商业软件的推广会提供丰厚的佣金,病毒木马传播者的目标就是强行修改用户系统配置,为这些商业网站带流量,或者使用流氓手段推广商业软件,再从商业公司赚取推广费。2019年,中国互联网新增了两大类木马:绑架型木马、网购木马。41四、新型木马不断出现,破坏性超传统木马10倍4 五、病毒木马与钓鱼网站相互五、病毒木马与钓鱼网站相互“勾结勾结”越发越发突出突出同欺诈下载一样,钓鱼网站也是一种低技术含量的威胁,但网站采用的骗术却能屡屡得手。而数字大盗病毒实现了病毒技术和钓鱼网站近乎完美的结合,给网购用户构成严重威胁。大量病毒木马会在用户桌面弹出钓鱼网站的广告页面,用低价、中奖等诱饵,令网民上当受骗。42五、病毒木马与钓鱼网站相互“勾结”越发突出42 病毒木马感染的最终目的病毒木马感染的最终目的是篡改浏览器、弹出广告、分发盗号木马、推广流氓软件来赚取推广分成;通过推广钓鱼欺诈网站来诱骗用户上当受骗;网购木马通过劫持篡改网购定单,强行将网民在线购物的款项转到自己的帐户。病毒传播的主渠道病毒传播的主渠道43病毒木马感染的最终目的是篡改浏览器、弹出广告、分发盗号木据据2019年数据显示,病毒木马有82.2%是通过下载行为感染计算机。统计数据表明,93.2%的病毒传播渠道直接与互联网有关。通过U盘等移动存储介质传播的占6.8%。而这些U盘病毒也是先通过网络感染计算机,再感染中毒计算机上使用过的U盘,实现局部反复传播。病毒入侵后的主要破坏,如网游盗号、弹广告、篡改浏览器、下载流氓软件必须依赖于互联网的畅通。病毒传播的主渠道病毒传播的主渠道传播渠道的互联网化传播渠道的互联网化44据2019年数据显示,病毒木马有82.2%是通过下载行为感染根据金山毒霸拦截网络威胁数据统计显示,诸如网购用户、网游爱好者、视频达人等人群是病毒团伙的主要目标,尤其是直接关乎经济利益的网络购物等上网行为更是成为了黑客的首要目标。病毒主要侵害的高危人群病毒主要侵害的高危人群互联网热门应用成主要目标互联网热门应用成主要目标45根据金山毒霸拦截网络威胁数据统计显示,诸如网购用户、网因网购木马的特殊攻击方式,导致网购受害用户呈现总体数量小,但成功率高,经济损失严重的现象。根据目前截获的网购木马分析显示,病毒木马传播者为求自身安全,并没有使用可以让病毒短时间大面积传播的渠道,而是大多利用QQ或淘宝旺旺一对一的行骗,这种行骗方式成功率非常高,若本地安全软件没能及时拦截,受害者多半会遭受经济损失。另外,网购达人是钓鱼网站最主要的受害者。骗子往往先骗倒淘宝店主,再用店主的ID登录淘宝店,继续欺骗更多买家。网购类人群网购类人群数量小成功率数量小成功率高,经济损失严重高,经济损失严重46因网购木马的特殊攻击方式,导致网购受害用户呈现总体数量小,但(1)网络视频爱好者)网络视频爱好者这些网民喜欢看在线视频,有热门大片上映一定要先睹为快。与此同时,一部分专门分享盗版电影、热门影视剧、进口大片的网站成为毒源。这些在线视频网站,会利用热门视频或不良视频分享为诱饵,吸引这部分网民上勾。在这些网站下载视频,无一例外,会被推荐安装一些专用播放器,这些专用播放器中,捆绑病毒的概率接近100%。同时,在这些网站上,还会提供与视频浏览相匹配的大量广告链接,广告链接直接指向病毒下载地址。下载类用户下载类用户覆盖面最广的覆盖面最广的受害用户群体受害用户群体47(1)网络视频爱好者这些网民喜欢看在线视频,有热门大片上映4848(2)盗版游戏爱好者、游戏外挂使用者)盗版游戏爱好者、游戏外挂使用者游戏玩家的数量仍然庞大,盗号木马的传播主要依赖网页挂马这个通道,当网页挂马基本无效之后,盗号集团将传播渠道转移到那些伪装成游戏外挂的软件下载站或网盘中。病毒传播者会利用游戏相关论坛、贴吧以及游戏内的聊天频道,传播外挂、插件有关的消息,吸引玩家下载。部分外挂插件下载站的经营者也非常狡猾,这些站点在多数时间提供正常软件下载,但会在某个特定的时间将下载链接替换成病毒下载。49(2)盗版游戏爱好者、游戏外挂使用者游戏玩家的数量仍然庞大5050 (3)热门软件爱好者)热门软件爱好者这部分网民对系统有较多的理解,能够主动寻找和尝试新软件,特别是一些破解、盗版的商业软件。但提供这些软件的下载站往往暗藏陷阱,提供非法软件下载的网站上,广告收入几乎是网站唯一的收入来源,这些网站的广告成为重要的病毒发布通道。小型软件下载站的广告位,几乎被病毒传播者所占据,一不留神点击到广告链接,下载的就是病毒。51(3)热门软件爱好者这部分网民对系统有较多的理解,能够(4)电子书爱好者)电子书爱好者一些提供电子书下载的网站有稳定的流量和访客,某些热门下载可能被人为植入木马进行传播。52(4)电子书爱好者一些提供电子书下载的网站有稳定的流量和访统计数据表明,在学校机房、文印室、机关单位这些场景,U盘病毒的危害高于一般网民。著名的conficker病毒、超级工厂病毒,U盘、移动硬盘均为其重要传播媒介。但伴随着安全软件U盘保护等安全功能的推出,U盘用户感染病毒的几率也在不断下降。偏好使用偏好使用U盘交换文件的用户盘交换文件的用户数量在逐步减少数量在逐步减少53统计数据表明,在学校机房、文印室、机关单位这些场景,U盘病毒互联网安全趋势预测互联网安全趋势预测54互联网安全趋势预测54 一、网购木马将集中爆发一、网购木马将集中爆发伴随着病毒集团“互联网转型”的加速,互联网最集中的经济交易平台,同时,网购市场自身也在高速增长,这个领域必然成为黑客显而易见的攻击目标。二、针对社交网络的攻击呈现上升趋势二、针对社交网络的攻击呈现上升趋势新浪微博、腾讯微博、人人网、QQ社区等等,这些社交网络包含了众多隐私信息,普遍支持分享短链接,短链接很可能被利用来传播恶意信息。社交网络又具有传播非常快速的特点,若某个社交网络被黑客发现有漏洞可以利用,将会在极短的时间内影响庞大的用户群。55一、网购木马将集中爆发伴随着病毒集团“互联网转型”的 三、针对移动互联网的攻击加剧三、针对移动互联网的攻击加剧手机平台由于其封闭型以及操作系统的分散性,给病毒木马传播制造了一定的门槛。据中科院调研报告显示:当前68.6%的手机用户正面临移动安全威胁,存在恶意扣费行为的“扣费”类手机病毒已累积感染手机250万部以上,成为影响用户手机安全的主要威胁。在中国,用户为应用商店付费的意愿较低,一些手机病毒经常伪装成有正常功能的盗版软件诱骗用户下载,并通过彩信、短信中内嵌链接进行扩散,给广大用户的个人隐私及财产安全带来极大隐患。56三、针对移动互联网的攻击加剧手机平台由于其封闭型以计算机病毒的预防计算机病毒的预防57计算机病毒的预防571.养成良好的上网习惯,不要访问一些内容不健康的小网站;2.下载安装软件尽量到官方网站进行下载,或者到正规的大的下载站点进行下载;3.安装个人防病毒软件、个人防火墙软件,设置相应的访问规则,过滤不安全的站点访问;4.及时安装系统补丁;5.不随意打开来历不明的电子邮件及附件,不随意安装来历不明的插件程序;6.定期对电脑做安全检查,使用如360安全卫士、瑞星杀毒软件等进行恶意软件查杀,对电脑进行全方位诊断;7.经常去安全网站转一转,以便及时了解一些新病毒(木马)的底细;8.外来软盘/U盘/移动磁盘等要先查杀病毒后再使用;9不随意打开陌生人传来的页面链接,谨防恶意网页中隐藏的木马程序;10.不使用盗版的游戏软件。计算机病毒的预防措施:581.养成良好的上网习惯,不要访问一些内容不健康的小网站;2“震荡波”病毒发作时在“windows任务管理器”的“进程”选项卡下找到的病毒程序的进程,机器出现的异常关机提示。59“震荡波”病毒发作时在“windows任务管理器”的“进程”计算机病毒的清除计算机病毒的清除1 1)使用杀毒软件)使用杀毒软件 金山毒霸金山毒霸 瑞星杀毒软件瑞星杀毒软件 诺顿防毒软件诺顿防毒软件 江民杀毒软件江民杀毒软件2 2)使用病毒专杀工具)使用病毒专杀工具6060计算机病毒的清除6060瑞星:瑞星采用最新杀毒引擎,能够快速查杀大小各种病毒,病毒库更新比较及时。但是瑞星的网络监控能力稍弱,最好再加上瑞星防火墙弥补缺陷;系统资源较大。金山毒霸:是金山公司推出的电脑安全产品,监控、杀毒全面、可靠,自我防护能力较强。与系统、程序兼容性稍差;占用系统资源较大。江民:是一款老牌的杀毒软件。它具有良好的监控系统,独特的主动防御使不少病毒望而却步,江民的监控效果非常出色,尤其是网页监控,占用资源不是很大。但本身稳定性稍弱,有时比较卡,病毒库更新稍慢。61瑞星:瑞星采用最新杀毒引擎,能够快速查杀大小各种病毒,病毒库目前来看,国产的杀毒软件杀毒能力要弱于国外杀毒软件的杀毒能力,对比较智能、隐藏比较深,破坏力较强的病毒查杀能力,还是欠缺,尤其是一些病毒针对国产杀毒软件,一旦中毒,杀毒软件就被破坏,不能正常使用。62目前来看,国产的杀毒软件杀毒能力要弱于国外杀毒软件的杀毒能力推荐使用范围:(一)电脑配置较高,推荐使用Kaspersky(卡巴斯基),其强大杀毒与监控能力,使你安全使用电脑,上网,误杀问题基本可以忽略。(二)电脑配置中等,推荐使用AviraAntiVir(小红伞),对病毒的反应敏捷,占用系统资源小,病毒库升级及时,监控能力很强,可以放心使用电脑,报警频繁可以忽略(三)电脑配置较低,可以使用国产杀毒软件,比如瑞星等,比较容易使用,查杀简便,升级也比较轻松(四)笔记本电脑,推荐使用ESETNod32,体积小,占用资源小,扫描快63推荐使用范围:633 3)手动清除病毒)手动清除病毒 手动清除方法适用于对计算机的操作相当熟练,具有一手动清除方法适用于对计算机的操作相当熟练,具有一定计算机专业知识的用户。定计算机专业知识的用户。利用病毒程序自启动的特点,可以在利用病毒程序自启动的特点,可以在“开始开始/运行运行”下下输入输入“regedit”“regedit”打开注册表编辑程序,查看打开注册表编辑程序,查看“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurre“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”ntVersionRun”目录下是否有非法自动运行的程序,有的目录下是否有非法自动运行的程序,有的话就可以手动删除这些病毒程序项,并找到对应的病毒文件话就可以手动删除这些病毒程序项,并找到对应的病毒文件手动将其物理删除。手动将其物理删除。64643)手动清除病毒6464例例如如“新新欢欢乐乐时时光光(VBS.KJVBS.KJ)”,该该病病毒毒在在系系统统的的System32System32文文件件夹夹中中生生成成 inet.vxd inet.vxd 和和 setup.txtsetup.txt 两两个个文文件件,在在所所有有检检测测到到的的文文件件夹夹下下生生成成Desktop.iniDesktop.ini和和Folder.httFolder.htt 两两个个具具 有有 隐隐 藏藏 属属 性性 的的 文文 件件,在在%Windows%web%Windows%web和和%Windows%System32%Windows%System32文文 件件 夹夹 下下 生生 成成 kjwall.gifkjwall.gif,在在%Windows%System%Windows%System文文 件件 夹夹 下下 生生 成成 Kernel.dllKernel.dll或或Kernel32.dllKernel32.dll文文件件。该该病病毒毒主主要要通通过过电电子子邮邮件件或或文文件件进进行行传传播播。病病毒毒发发作作后后将将消消耗耗大大量量系系统统资资源源,使使机机器器的的运运行行速速度变慢。度变慢。下面是手工清除该病毒的方法:下面是手工清除该病毒的方法:单单 击击“开开 始始|运运 行行”,输输 入入 regeditregedit命命 令令 打打 开开 注注 册册 表表 编编 辑辑 器器,找找 到到HKEY_LOCAL_MACHINESoftwareWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareWindowsCurrentVersionRun 中中 的的 Kernel32 Kernel32 项并将其删除,使病毒无法随系统自动启动;项并将其删除,使病毒无法随系统自动启动;删除系统中删除系统中System32System32文件夹中的文件夹中的 inet.vxd inet.vxd 和和 setup.txt setup.txt 两个文件。两个文件。删除在删除在SystemSystem文件夹中的文件夹中的Kernel.dllKernel.dll或或Kernel32.dllKernel32.dll文件。文件。利利用用系系统统中中的的“搜搜索索”工工具具找找到到所所有有隐隐藏藏的的“desktop.ini”desktop.ini”和和“folder.htt”folder.htt”文件并将其彻底删除。文件并将其彻底删除。65例如“新欢乐时光(VBS.KJ)”,该病毒在系统的Syste66计算机安全技术计算机安全技术6666计算机安全技术66 1.黑客攻防技术黑客攻防技术 黑客攻击的一般步骤:黑客攻击的一般步骤:1 1)信息收集:)信息收集:用SNMP协议来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可到达等。2 2)探测分析系统的安全弱点:)探测分析系统的安全弱点:使用Telnet或FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务。其次使用Internet安全扫描程序ISS(Internet Security Scanner)或网络安全分析工具SATAN等来对整个网络或子网进行扫描,寻找系统的安全漏洞,获取攻击目标系统的非法访问权。3 3)实施攻击:)实施攻击:在受到攻击的目标系统安装探测器软件,如特洛伊木马程序,在目标系统中建立新的安全漏洞或后门,收集黑客感兴趣的一切信息,如账号与口令等敏感数据。67671.黑客攻防技术6767 黑客的攻击方式:1)密码破解一般采用字典攻击、假登录程序和密码探测程序等来获取系统或用户的口令文件。2)IP嗅探(Sniffing)与欺骗(Spoofing)嗅探又叫网络监听,通过改变网卡的操作模式让它接受流经该计算机的所有信息包,这样就可以截获其他计算机的数据报文或口令。欺骗:即将网络上的某台计算机伪装成另一台不同的主机,目的是欺骗网络中的其他计算机误将冒名顶替者当作原始的计算机而向其发送数据或允许它修改数据。如IP欺骗、路由欺骗、DNS欺骗、ARP欺骗以及Web欺骗等。3)系统漏洞。利用系统中存在的漏洞如“缓冲区溢出”来执行黑客程序。4)端口扫描。了解系统中哪些端口对外开放,然后利用这些端口通信来达到入侵的目的。6868黑客的攻击方式:6868 防止黑客攻击的策略1)数据加密:提高了数据传输的安全性。)数据加密:提高了数据传输的安全性。2 2)身份认证:只对确认了身份的用户给予相应的)身份认证:只对确认了身份的用户给予相应的访问权限访问权限 。3 3)建立完善的访问控制策略:设置入网访问权限、)建立完善的访问控制策略:设置入网访问权限、网络共享资源的访问权限、目录安全等级控制、网网络共享资源的访问权限、目录安全等级控制、网络端口和结点的安全控制、防火墙的安全控制等。络端口和结点的安全控制、防火墙的安全控制等。4 4)审计:记录与安全有关的事件,保存在日志文)审计:记录与安全有关的事件,保存在日志文件以备查询。件以备查询。5 5)其他安全防护措施:)其他安全防护措施:不随便从不随便从Internet上下载软件上下载软件不运行来历不明的软件不运行来历不明的软件不随便打开陌生人发来的邮件附件不随便打开陌生人发来的邮件附件不随意去点击具有欺骗诱惑性的网页超级链接不随意去点击具有欺骗诱惑性的网页超级链接 6969防止黑客攻击的策略69692.防火墙技术防火墙技术 防火墙是设置在被保护的内部网络和外防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合,对内部网络之间的软件和硬件设备的组合,对内部网络和外部网络之间的通信进行控制,通部网络和外部网络之间的通信进行控制,通过监测和限制跨越防火墙的数据流,尽可能过监测和限制跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的结构、信息和运行地对外部屏蔽网络内部的结构、信息和运行情况。情况。70702.防火墙技术7070“Windows防火墙”,这是windowsxp操作系统自带的防火墙,可以限制从其他计算机上发送来的信息,更好地控制自己计算机上的数据,这样就对那些未经允许而尝试连接的用户或程序(包括病毒和蠕虫)提供了一道屏障。“天网个人防火墙”,属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,能够有效地提高计算机的抗攻击能力。“瑞星企业级防火墙RFW-100”,一种混合型防火墙,集状态包过滤、应用层专用代理、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身,可根据用户的不同需求,提供强大的访问控制、信息过滤、代理服务和流量统计等功能。71常见的防火墙“Windows防火墙”,这是wind72 数据加密就是将被传输的数据转换成表面上杂乱无章的数据,合法的接收者通过逆变换可以恢复成原来的数据,而非法窃取得到的则是毫无意义的数据。明文:没有加密的原始数据;密文:加密以后的数据;加密:把明文变换成密文的过程;解密:把密文还原成明文的过程;密钥:一般是一串数字,用于加密和解密的钥匙;3.数据加密技术7272数据加密就是将被传输的数据转换成表面上杂乱无章的数据 密码学中根据密钥使用方式的不同一般分为“对称密钥密码体系”和“非对称密钥密码体系”732)非对称密钥密码体系 1)对称密钥密码体系 73密码学中根据密钥使用方式的不同一般分为“对称密钥密“替换加密法”,就是用新的字符按照一定的规律来替换原来的字符。如用字符b替换a,c替换b,依此类推,最后用a替换z,那么明文“secret”对应的密文就是“tfdsfu”,这里的密钥就是数字1,加密算法就是将每个字符的ASCII码值加1并做模26的求余运算。对于不知道密钥的人来说,“tfdsfu”就是一串无意义的字符,而合法的接收者只需将接收到的每个字符的ASCII码值相应减1并做模26的求余运算,就可以解密恢复为明文“secret”。74“替换加密法”,就是用新的字符按照一定的规律来替换原来的字符4.4.数字签名技术数字签名技术数字签名数字签名(Digital Signature):通过密码技术:通过密码技术对电子文档形成的签名,类似现实生活中的手对电子文档形成的签名,类似现实生活中的手写签名,但数字签名并不是手写签名的数字图写签名,但数字签名并不是手写签名的数字图像化,而是加密后得到的一串数据。像化,而是加密后得到的一串数据。加密发送字符串加密发送字符串“TONGJITONGJI”(对应的十六进制(对应的十六进制表示为表示为“544F4E474A49544F4E474A49”)的签名示例图:)的签名示例图:75754.数字签名技术7575 在实际应用中,对电子文档添加了数字签名以后,在实际应用中,对电子文档添加了数字签名以后,用户并不能看到自己的签名数据,签名的过程由应用户并不能看到自己的签名数据,签名的过程由应用程序自动完成。例如在用程序自动完成。例如在“Outlook Express”中添中添加数字签名用户只需执行加数字签名用户只需执行“工具工具|数字签名数字签名”即可即可(前提是用户已经拥有自己的数字证书),用户看(前提是用户已经拥有自己的数字证书),用户看不到签名的数据,但是应用程序会给出提示信息,不到签名的数据,但是应用程序会给出提示信息,下面就是添加了数字签名的新邮件:下面就是添加了数字签名的新邮件:76数字签名标志数字签名标志76在实际应用中,对电子文档添加了数字签名以后,用户并不能看收到添加了数字签名的邮件时系统给出的收到添加了数字签名的邮件时系统给出的提示:提示:7777收到添加了数字签名的邮件时系统给出的提示:77775.数字证书数字证书数字证书就是包含了用户的身份信息,由权威认证中数字证书就是包含了用户的身份信息,由权威认证中心(心(CACA)签发,主要用于数字签名的一个数据文件,相当)签发,主要用于数字签名的一个数据文件,相当于一个网上身份证。于一个网上身份证。1 1)数字证书的内容:)数字证书的内容:申请者的信息申请者的信息 颁发者的信息颁发者的信息 证书序列号证书序列号颁发者的名称颁发者的名称 证书主题证书主题 颁发者的数字签名颁发者的数字签名 证书的有效期限证书的有效期限 签名所使用的算法签名所使用的算法 证书所有人的公开密钥证书所有人的公开密钥 2 2)数字证书的作用)数字证书的作用(1)(1)用于数字签名用于数字签名 (2)(2)用于保密传输用于保密传输 785.数字证书申请者的信息颁发者的信息证书序列号颁发者4)查看证书信息:查看证书信息:打开打开IE浏览器,单击浏览器,单击“工具工具|Internet选项选项|内容内容|证书证书”,如如下图所示下图所示:79794)查看证书信息:797980证书信息:8080证书信息:80 个人客户数字证书的申请、使用和数字签名的实个人客户数字证书的申请、使用和数字签名的实现:现:1)银行审核用户提交的身份证和银行卡后,用户可获得一个)银行审核用户提交的身份证和银行卡后,用户可获得一个USB接接口的数字证书介质以及客户证书的密码。口的数字证书介质以及客户证书的密码。2 2)插入)插入USB接口卡并安装相应的驱动程序,登录工行指定网站接口卡并安装相应的驱动程序,登录工行指定网站https:/mybank.icbc/icbc/perbank,下载数字证书。,下载数字证书。813 3)添加数字签名)添加数字签名81个人客户数字证书的申请、使用和数字签名的实现:813)添九章节互联网安全与病毒课件
展开阅读全文