《计算机病毒及防治》ppt.ppt

资源描述

计算机病毒及防治计算机病毒从它诞生之日起到现在已成为了当今信息社会的一个癌症它随着计算机网络的发展已经传播到信息社会的每一个角落并大肆破坏计算机数据改变操作程序摧毁计算机硬件给人们造成了重大损失为了更好地防范计算机及网络病毒必须了解计算机病毒的机制同时掌握计算机病毒的预防和清除办法计算机病毒的定义计算机病毒最早是由美国计算机病毒研究专家F Cohen博士提出的计算机病毒有很多种定义国外最流行的定义为计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码在中华人民共和国计算机信息系统安全保护条例中的定义为计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据影响计算机使用并且能够自我复制的一组计算机指令或者程序代码计算机病毒的发展历史 1 计算机病毒发展简史世界上第一例被证实的计算机病毒是在1983年出现了计算机病毒传播的研究报告同时有人提出了蠕虫病毒程序的设计思想 1984年美国人Thompson开发出了针对UNIX操作系统的病毒程序 1988年11月2日晚美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中该病毒程序迅速扩展造成了大批计算机瘫痪甚至欧洲联网的计算机都受到影响直接经济损失近亿美元计算机病毒的发展历史 2 计算机病毒在中国的发展情况在我国 80年代末有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题 1982年黑色星期五病毒侵入我国 1985年在国内发现更为危险的病毒生产机生存能力和破坏能力极强这类病毒有1537 CLME等进入90年代计算机病毒在国内的泛滥更为严重 CIH病毒是首例攻击计算机硬件的病毒它可攻击计算机的主板并可造成网络的瘫痪计算机病毒的发展历史 3 计算机病毒发展的10个阶段 1 DOS引导阶段 2 DOS可执行文件阶段 3 混合型阶段 4 伴随型阶段 5 多形型阶段 6 生成器变体机阶段 7 网络蠕虫阶段 8 Windows阶段 9 宏病毒阶段 10 Internet阶段计算机病毒的发展历史计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物其产生的过程可分为程序设计传播潜伏触发运行实行攻击究其产生的原因不外乎以下几种 1 一些计算机爱好者出于好奇或兴趣 2 产生于个别人的报复心理 3 来源于软件加密 4 产生于游戏 5 用于研究或实验而设计的有用程序 6 由于政治经济和军事等特殊目的计算机病毒的分类病毒种类众多分类如下按传染方式分为引导型文件型和混合型病毒按连接方式分为源码型入侵型操作系统型和外壳型病毒按破坏性可分为良性病毒和恶性病毒网络病毒返回本节计算机病毒的特点计算机病毒的特点 1 传染性自我复制能力 2 非授权性夺取系统控制权 3 隐蔽性 4 潜伏性 5 刻意编写人为破坏 6 不可预见性返回本节计算机病毒的隐藏之处和入侵途径 1 病毒的隐藏之处可执行文件引导扇区表格和文档 Java小程序和ActiveX控件 2 病毒的入侵途径传统方法磁盘光盘等 Internet 现代计算机病毒的流行特征现代计算机病毒的流行特征攻击对象趋于混合型反跟踪技术增强隐蔽性 1 避开修改中断向量值 2 请求在内存中的合法身份 3 维持宿主程序的外部特性 4 不使用明显的感染标志加密技术处理 1 对程序段动态加密 2 对显示信息加密 3 对宿主程序段加密病毒繁衍不同变种计算机病毒的破坏行为计算机病毒的破坏行为 1 攻击系统数据区 2 攻击文件 3 攻击内存 4 干扰系统运行使运行速度下降 5 干扰键盘喇叭或屏幕 6 攻击CMOS 7 干扰打印机 8 网络病毒破坏网络系统返回本节一个引导病毒传染的实例小球病毒假定用硬盘启动且该硬盘已染上了小球病毒那么加电自举以后小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段即97C0 7C00处然后修改INT13H的中断向量使之指向病毒的传染模块以后一旦读写软磁盘的操作通过INT13H的作用计算机病毒的传染块便率先取得控制权它就进行如下操作 1 读入目标软磁盘的自举扇区 BOOT扇区 2 判断是否满足传染条件 3 如果满足传染条件即目标盘BOOT区的01FCH偏移位置为5713H标志则将病毒代码的前512字节写入BOOT引导程序将其后512字节写入该簇随后将该簇标以坏簇标志以保护该簇不被重写 4 跳转到原INT13H的入口执行正常的磁盘系统操作一个文件病毒传染的实例 VVV COM假如VVV COM 或 EXE 文件已染有耶路撒冷病毒那么运行该文件后耶路撒冷病毒的引导模块会修改INT21H的中断向量使之指向病毒传染模块并将病毒代码驻留内存此后退回操作系统以后再有任何加载执行文件的操作病毒的传染模块将通过INT21H的调用率先获得控制权并进行以下操作 1 读出该文件特定部分 2 判断是否传染 3 如果满足条件则用某种方式将病毒代码与该可执行文件链接再将链接后的文件重新写入磁盘 4 转回原INT21H入口对该执行文件进行正常加载计算机病毒的一般构成计算机病毒在结构上有着共同性一般由引导部分传染部分表现部分三部分组成 1 引导部分也就是病毒的初始化部分它随着宿主程序的执行而进入内存为传染部分做准备 2 传染部分作用是将病毒代码复制到目标上去一般病毒在对目标进行传染前要首先判断传染条件是否满足判断病毒是否已经感染过该目标等如CIH病毒只针对Windows95 98操作系统 3 表现部分是病毒间差异最大的部分前两部分是为这部分服务的它破坏被传染系统或者在被传染系统的设备上表现出特定的现象大部分病毒都是在一定条件下才会触发其表现部分的计算机病毒的传染过程计算机病毒的传染过程1 驻入内存 2 判断传染条件 3 传染返回本节计算机病毒的触发机制感染潜伏可触发破坏是病毒的基本特性目前病毒采用的触发条件主要有以下几种 1 日期触发许多病毒采用日期做触发条件日期触发大体包括特定日期触发月份触发前半年后半年触发等 2 时间触发时间触发包括特定的时间触发染毒后累计工作时间触发文件最后写入时间触发等 3 键盘触发有些病毒监视用户的击键动作当发现病毒预定的键人时病毒被激活进行某些特定操作键盘触发包括击键次数触发组合键触发热启动触发等 4 感染触发许多病毒的感染需要某些条件触发而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件称为感染触发它包括运行感染文件个数触发感染序数触发感染磁盘数触发感染失败触发等 5 启动触发病毒对机器的启动次数计数并将此值作为触发条件称为启动触发 6 访问磁盘次数触发病毒对磁盘I O访问的次数进行计数以预定次数做触发条件叫访问磁盘次数触发 7 调用中断功能触发病毒对中断调用次数计数以预定次数做触发条件 8 CPU型号主板型号触发病毒能识别运行环境的CPU型号主板型号以预定CPU型号主板型号做触发条件这种病毒的触发方式奇特罕见病毒使用的触发条件是多种多样的而且往往不只是使用上面所述的某一个条件而是使用由多个条件组合起来的触发条件计算机病毒的传染机制 1 计算机病毒的传染方式被动传染用户在进行拷贝磁盘或文件主动传染激活状态下自动传染 2 计算机病毒的传染过程拷贝和内存传染 3 病毒传染机理见前面的实例计算机病毒的破坏机制破坏机制在设计原则工作原理上与传染机制基本相同它也是通过修改某一中断向量入口地址一般为时钟中断INT8H 或与时钟中断有关的其他中断如INT1CH 使该中断向量指向病毒程序的破坏模块病毒破坏目标和攻击部位主要是系统数据区文件内存系统运行运行速度磁盘屏幕显示键盘喇叭打印机 CMOS 主板等计算机病毒的引导机制 1 病毒的寄生对象磁盘的引导扇区可执行文件2 病毒的寄生方式替代法引导扇区链接法可执行文件 3 病毒的引导过程驻留内存窃取系统控制权恢复系统功能中断与计算机病毒 1 中断基本概念什么是中断先打个比方当一个经理正处理文件时电话铃响了中断请求不得不在文件上做一个记号返回地址暂停工作去接电话中断并指示按第二方案办调中断服务程序然后再静下心来恢复中断前状态接着处理文件中断是CPU处理外部突发事件的一个重要技术它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理处理完成后又立即返回断点继续进行CPU原来的工作 2 中断与计算机病毒与病毒有关的重要中断有 INT08H和INT1CH定时中断有些病毒利用它们的记时判断激发条件 INT09H键盘输入中断病毒用于监视用户击键情况 INT10H屏幕输入输出中断一些病毒用于在屏幕上显示字符图形表现自己 INT13H磁盘输入输出中断引导型病毒用于传染病毒和格式化磁盘 INT21HDOS功能调用包含了DOS的大部分功能已发现的绝大多数文件型病毒修改INT21H中断因此也成为防病毒的重点监视部位 INT24HDOS的严重错误处理中断文件型病毒常进行修改以防止传染写保护磁盘时被发现 8 2 1计算机病毒的检测检测病毒方法有特征代码法校验和法行为监测法软件模拟法 1 特征代码法国外专家认为特征代码法是检测已知病毒的最简单开销最小的方法特征代码法的实现步骤采集已知病毒样本抽取特征代码将特征代码纳入病毒数据库打开被检测文件搜索检查文件中是否含有病毒数据库中的病毒特征代码特征代码法的优点是检测准确快速可识别病毒的名称误报警率低依据检测结果可做解毒处理其缺点是不能检测未知病毒搜集已知病毒的特征代码费用开销大在网络上效率低在网络服务器上因长时间检索会使整个网络性能变坏特征代码法特点速度慢误报警率低不能检查多态性病毒不能对付隐蔽性病毒多态形型性病毒是指采用特殊加密技术编写的病毒这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密多形型病毒主要是针对查毒软件而设计的所以随着这类病毒的增多使得查毒软件的编写变得更困难并还会带来许多的误报 2 校验和法计算正常文件的内容校验和将该校验和写入文件中或写入别的文件中保存在文件使用过程中定期地或每次使用文件前检查文件现在内容算出的校验和与原来保存的校验和是否一致因而可以发现文件是否感染这种方法叫校验和法优点方法简单能发现未知病毒被查文件的细微变化也能发现缺点发布通行记录正常态的校验和会误报警不能识别病毒名称不能对付隐蔽型病毒校验和法特点既可发现已知病毒又可发现未知病毒不能识别病毒类不能报出病毒名称常常误报警影响文件的运行速度对隐蔽性病毒无效 3 行为监测法利用病毒的特有行为特征性来监测病毒的方法称为行为监测法有一些行为是病毒的共同行为而且比较特殊在正常程序中这些行为比较罕见当程序运行时监视其行为如果发现了病毒行为立即报警监测病毒的行为特征 A 占有INT13H 磁盘输入输出中断 B 改DOS系统为数据区的内存总量为了防止DOS系统将病毒覆盖 C 对COM EXE文件做写入动作D 病毒程序与宿主程序的切换优点可发现未知病毒可相当准确地预报未知的多数病毒缺点可能误报警不能识别病毒名称实现时有一定难度 4 软件模拟法它是一种软件分析器用软件方法来模拟和分析程序的运行主要用于检测多态性病毒作为特征代码法的补充 5 先知扫描法该技术是专门针对于未知的电脑病毒所设计的利用这种技术可以直接模拟CPU的动作来侦测出某些变种病毒的活动情况并且研制出该病毒的病毒码由于该技术较其他解毒技术严谨对于比较复杂的程序在比对上会耗费比较多的时间所以该技术的应用不那么广泛 6 实时I O扫描实时地对数据的输入输出动作做病毒码对比的动作希望能够在病毒尚未被执行之前就能够防堵下来理论上这样的实时扫描程序会影响到整体的数据传输速率 8 2 2异常情况判断计算机工作出现下列异常现象则有可能感染了病毒 1 屏幕出现异常图形或画面这些画面可能是一些鬼怪也可能是一些下落的雨点字符树叶等并且系统很难退出或恢复 2 扬声器发出与正常操作无关的声音如演奏乐曲或是随意组合的杂乱的声音 3 磁盘可用空间减少出现大量坏簇且坏簇数目不断增多直到无法继续工作 4 硬盘不能引导系统 5 磁盘上的文件或程序丢失 6 磁盘读写文件明显变慢访问的时间加长 7 系统引导变慢或出现问题有时出现写保护错提示 8 系统经常死机或出现异常的重启动现象 9 原来运行的程序突然不能运行总是出现出错提示 10 打印机不能正常启动 8 2 3计算机病毒的防治 1 建立健全法律和管理制度2 加强教育和宣传3 采取更有效的技术措施4 网络计算机病毒的防治采取更有效的技术措施 1 系统安全 2 软件过滤 3 文件加密 4 过程控制 5 后备恢复 6 其他有效措施其他有效措施 1 重要的磁盘和重要的带后缀 COM和 EXE的文件赋予只读功能避免病毒写到磁盘上或可执行文件中 2 消灭传染源 3 建立程序的特征值档案 4 严格内存管理 5 严格中断向量的管理 6 强化物理访问控制措施7 一旦发现病毒蔓延要采用可靠的杀毒软件和请有经验的专家处理必要时需报告计算机安全监察部门特别要注意不要使其继续扩散 8 3宏病毒 8 3 1宏病毒的分类8 3 2宏病毒的行为和特征8 3 3宏病毒的特点8 3 4宏病毒的防治和清除方法返回本章首页 8 3 1宏病毒的分类 1 公共用宏病毒这类宏病毒对所有的Word文档有效其触发条件是在启动或调用Word文档时自动触发执行它有两个显著的特点 1 只能用 Autoxxxx 来命名即宏名称是用 Auto 开头 xxxx表示的是具体的一种宏文件名如AutoOpen AutoClose AutoCopy等 2 它们一定要附加在Word共用模板上才有公用作用通常在用户不规定和另行编制其他的公用模板时它们应是附加在Normal dot模板上或者首先要能将自己写进这样的模板才行 2 私用宏病毒私用宏病毒与公用宏病毒的主要区别是前者一般放在用户自定义的Word模板中仅与使用这种模板的Word文档有关即只有使用这个特定模板的文档该宏病毒才有效而对使用其他模板的文档私用宏病毒一般不起作用返回本节 8 3 2宏病毒的行为和特征宏病毒是一种新形态的计算机病毒也是一种跨平台式计算机病毒可以在Windows Windows95 98 NT OS 2 MacintoshSystem7等操作系统上执行病毒行为宏病毒的主要特征如下 1 宏病毒会感染 DOC文档和 DOT模板文件 2 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时激活宏病毒 3 多数宏病毒包含AutoOpen AutoClose AutoNew和AutoExit等自动宏通过这些自动宏病毒取得文档模板操作权 4 宏病毒中总是含有对文档读写操作的宏命令 5 宏病毒在 DOC文档 DOT模板中以BFF BinaryFileFormat 格式存放这是一种加密压缩格式每个Word版本格式可能不兼容 6 宏病毒具有兼容性返回本节 8 3 3宏病毒的特点 1 传播极快2 制作变种方便3 破坏可能性极大4 多平台交叉感染返回本节 8 3 4宏病毒的判断方法在打开宏病毒防护功能的情况下如果您的OFFICE文档在打开时系统给出一个宏病毒警告框那么您应该对这个文档保持高度警惕它已被感染的几率极大注意简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒 8 3 5宏病毒的防治和清除方法 1 首选方法用最新版的反病毒软件清除宏病毒 2 应急处理方法用写字板或Word6 0文档作为清除宏病毒的桥梁 3 如果已经感染了宏病毒可按下面的方法清除替换掉或删除通用模板Normal dot文件使用普通的杀毒软件对所有的Word文件进行杀毒 4 宏病毒的防范考虑到大部分Word用户使用的是普通的文字处理功能很少有人使用宏编程因此为了能及早发现该病毒避免不必要的损失平时可将一个干净的Normal dot文件和杀宏病毒软件保存在软盘中并加上写保护当发现通用模板已被感染时可用保存在软盘中的Normal dot文件替换已被感染的模板文件然后运行杀毒软件 8 4网络计算机病毒 8 4 1网络计算机病毒的特点8 4 2网络对病毒的敏感性8 4 3网络病毒实例电子邮件病毒返回本章首页 8 4 1网络计算机病毒的特点在网络环境中计算机病毒具有如下一些新的特点 1 传染速度快 2 传染面广 3 传染形式多 4 清除难度大 5 破坏性强返回本节 8 4 2网络病毒的传播方式具体地说其传播方式有 1 病毒直接从有盘站拷贝到服务器中 2 病毒先传染工作站在工作站内存驻留等运行网络盘内程序时再传染给服务器 3 病毒先传染工作站在工作站内存驻留在病毒运行时直接通过映像路径传染到服务器中 4 如果远程工作站被病毒侵入病毒也可以通过通讯中数据交换进入网络服务器中 8 4 3网络病毒实例蠕虫病毒 1 蠕虫的定义Internet蠕虫是无须计算机使用者干预即可运行的独立程序它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播蠕虫与病毒的最大不同在于它不需要人为干预且能够自主不断地复制和传播 2 蠕虫的行为特征2 1蠕虫的工作流程蠕虫程序的工作流程可以分为漏洞扫描攻击传染现场处理四个阶段如图2所示蠕虫程序扫描到有漏洞的计算机系统后将蠕虫主体迁移到目标主机然后蠕虫程序进入被感染的系统对目标主机进行现场处理现场处理部分的工作包括隐藏信息搜集等同时蠕虫程序生成多个副本重复上述流程不同的蠕虫采取的IP生成策略可能并不相同甚至随机生成各个步骤的繁简程度也不同有的十分复杂有的则非常简单 2 2蠕虫的行为特征自我繁殖蠕虫在本质上已经演变为黑客入侵的自动化工具当蠕虫被释放 release 后从搜索漏洞到利用搜索结果攻击系统到复制副本整个流程全由蠕虫自身主动完成就自主性而言这一点有别于通常的病毒利用软件漏洞任何计算机系统都存在漏洞这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限使之进行复制和传播过程成为可能这些漏洞是各种各样的有操作系统本身的问题有的是应用服务程序的问题有的是网络管理人员的配置问题正是由于漏洞产生原因的复杂性导致各种类型的蠕虫泛滥造成网络拥塞在扫描漏洞主机的过程中蠕虫需要判断其它计算机是否存在判断特定应用服务是否存在判断漏洞是否存在等等这不可避免的会产生附加的网络数据流量同时蠕虫副本在不同机器之间传递或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量即使是不包含破坏系统正常工作的恶意代码的蠕虫也会因为它产生了巨量的网络流量导致整个网络瘫痪造成经济损失消耗系统资源蠕虫入侵到计算机系统之后会在被感染的计算机上产生自己的多个副本每个副本启动搜索程序寻找新的攻击目标大量的进程会耗费系统的资源导致系统的性能下降这对网络服务器的影响尤其明显留下安全隐患大部分蠕虫会搜集扩散暴露系统敏感信息如用户信息等并在系统中留下后门这些都会导致未来的安全隐患 3 蠕虫病毒与一般病毒的异同病毒类型普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机 4 蠕虫的破坏和发展趋势每一次蠕虫的爆发都会给社会带来巨大的损失目前蠕虫爆发的频率越来越快技术越来越新并与黑客技术相结合尤其是近两年来越来越多的蠕虫如冲击波振荡波等出现对蠕虫进行深入研究并提出一种行之有效的解决方案为企业和政府提供一个安全的网络环境成为我们急待解决的问题 5 企业防范蠕虫病毒措施企业防治蠕虫病毒的时候需要考虑几个问题病毒的查杀能力病毒的监控能力新病毒的反应能力推荐的企业防范蠕虫病毒的策略如下 1 加强网络管理员安全管理水平提高安全意识减少系统漏洞 2 建立病毒检测系统能够在第一时间内检测到网络异常和病毒攻击 3 建立应急响应系统将风险减少到最小 4 建立灾难备份系统对于数据库和数据系统必须采用定期备份多机备份措施防止意外灾难下的数据丢失对于局域网而言可以采用以下一些主要手段 1 在因特网接入口处安装防火墙式防杀计算机病毒产品将病毒隔离在局域网之外 2 对邮件服务器进行监控防止带毒邮件进行传播 3 对局域网用户进行安全培训 4 建立局域网内部的升级系统包括各种操作系统的补丁升级各种常用的应用软件升级各种杀毒软件病毒库的升级等等 6 对个人用户产生直接威胁的蠕虫病毒对于个人用户而言威胁大的蠕虫病毒采取的传播方式一般为电子邮件以及恶意网页等等即以各种各样的欺骗手段诱惑用户点击的方式进行传播威胁最大难以根除造成的损失也更大恶意网页确切的讲是一段黑客破坏代码程序它内嵌在网页中当用户在不知情的情况下打开含有病毒的网页时病毒就会发作常常采取vbscript和javascript编程的形式个人用户对蠕虫病毒的防范措施 1 安装合适的杀毒软件赛门铁克公司的Norton系列杀毒软件瑞星 kv系列等杀毒软件 2 经常升级病毒库杀毒软件对病毒的查杀是以病毒的特征码为依据的 3 提高防杀毒意识不要轻易点击陌生的站点有可能里面就含有恶意代码将IE安全级别改为高 4 不随意查看陌生邮件尤其是带有附件的邮件升级IE和OE程序及常用的其他应用程序 8 4 4网络病毒实例特洛伊木马特洛伊木马是一个包含在一个合法程序中的非法的程序一种黑客程序本身不破坏数据黑客利用其远程操纵受害计算机一般的木马都有客户端和服务器端两个执行程序通过各种途径放置木马程序 8 4 5网络病毒实例电子邮件病毒 1 电子邮件病毒的特点 1 邮件格式不统一杀毒困难 2 传播速度快传播范围广破坏力大2 电子邮件病毒的防范措施1 首先不要轻易打开陌生人来信中的附件文件 2 对于比较熟悉了解的朋友们寄来的信件如果其信中夹带了程序附件但是他却没有在信中提及或是说明也不要轻易运行 3 给别人发送程序文件甚至包括电子贺卡时一定要先在自己的计算机中试试确认没有问题后再发以免好心办了坏事 4 不断完善网关软件及病毒防火墙软件加强对整个网络入口点的防范 5 使用优秀的防毒软件对电子邮件进行专门的保护 6 使用防毒软件同时保护客户机和服务器 7 使用特定的SMTP杀毒软件返回本节 8 5反病毒技术 8 5 1计算机病毒的检测8 5 2计算机病毒的防治8 5 3计算机感染病毒后的修复返回本章首页防范计算机网络病毒的一些措施 1 在网络中尽量多用无盘工作站不用或少用有软驱的工作站 2 在网络中要保证系统管理员有最高的访问权限避免过多地出现超级用户 3 对非共享软件将其执行文件和覆盖文件如 COM EXE OVL等备份到文件服务器上定期从服务器上拷贝到本地硬盘上进行重写操作 4 接收远程文件输入时一定不要将文件直接写入本地硬盘而应将远程输入文件写到软盘上然后对其进行查毒确认无毒后再拷贝到本地硬盘上 5 工作站采用防病毒芯片这样可防止引导型病毒 6 正确设置文件属性合理规范用户的访问权限 7 建立健全网络系统安全管理制度严格操作规程和规章制度定期作文件备份和病毒检测 8 目前预防病毒最好的办法就是在计算机中安装防病毒软件这和人体注射疫苗是同样的道理采用优秀的网络防病毒软件如LANProtect和LANClearforNetWare等 9 为解决网络防病毒的要求已出现了病毒防火墙在局域网与Internet 用户与网络之间进行隔离返回本节 8 5 3计算机感染病毒后的修复 1 修复引导记录病毒 1 修复感染的软盘 2 修复感染的主引导记录 3 利用反病毒软件修复 2 修复可执行文件病毒即使有经验的用户也会认为修复文件病毒感染很困难一般要先用杀病毒软件杀毒再用未感染的备份拷贝代替它这是修复被感染程序文件的最有效途径如果得不到备份反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件如果文件被非覆盖型病毒感染那么这个程序很可能会被修复返回本节 8 6软件防病毒技术返回本章首页 1 防杀毒软件的选购指标 1 查杀病毒数量多安全可靠 2 要有实时反病毒防火墙技术 3 内存占有量要低 4 恢复数据能力 5 扫描速度快识别率高 6 病毒清除测试 2 常用的防杀毒软件诺顿 NortonAntiVirus 瑞星系列江民KV系列金山毒霸系列网络版 8 7典型病毒实例 CIH病毒介绍 8 7 1CIH病毒8 7 2CodeRedII病毒8 7 3RedLof病毒8 7 4FunLove病毒8 7 5求职信病毒8 7 6尼姆达病毒返回本章首页 8 7 1CIH病毒 CIH病毒是一种文件型病毒又称Win95 CIH Win32 CIH PE CIH 建立在WINDOW95 98平台其宿主是Windows95 98系统下的PE格式可执行文件即 EXE文件返回本节 CIH病毒具有以下特点受感染的 EXE文件的文件长度没有改变 DOS以及WIN3 1格式 NE格式的可执行文件不受感染并且在WinNT中无效用资源管理器中工具查找文件或文件夹的高级包含文字查找 EXE特征字符串 CIHv 在查找过程中显示出一大堆符合查找特征的可执行文件若4月26日开机显示器突然黑屏硬盘指示灯闪烁不停重新开机后计算机无法启动病毒的危害主要表现在于病毒发作后硬盘数据全部丢失甚至主板上的BIOS中的原内容被会彻底破坏主机无法启动只有更换BIOS 或是向固定在主板上的BIOS中重新写入原来版本的程序才能解决问题病毒的检测和清除目前检测和清除CIH病毒的程序已有很多 KV 瑞星 NortonAntiviurs 这些杀病毒工具都非常有效 8 7 2CodeRedII病毒又称红色代码II 属蠕虫病毒别名Worm CodeRedII 红色代码通过微软公司IIS系统漏洞进行感染它使IIS服务程序处理请求数据包时溢出导致把此数据包当作代码运行病毒驻留后再次通过此漏洞感染其它服务器使用服务器的端口80进行传播红色代码2 是红色代码的改良版可以在遭到攻击的机器上植入特洛伊木马与其它病毒不同的是红色代码不同于以往的文件型病毒和引导型病毒并不将病毒信息写入被攻击服务器的硬盘它只存在于内存传染时不通过文件这一常规载体而是借助这个服务器的网络连接攻击其它的服务器直接从一台电脑内存传到另一台电脑内存手动检测及清除方法 1 断开网络以避免重复感染和感染其它机器 2 立即停止IIS服务 3 按Ctrl Alt Delete 选择任务管理器选择进程标签检查是否进程中有两个exploer exe 如果您找到两个 exploer exe 说明木马已经在您的机器上运行了您应当立刻杀掉木马程序否则说明您还没有执行木马程序您可以转到第 5 步 4 在任务管理器菜单中选择查看选定列线程计数按确定这时您会发现显示框中增加了新的一列线程数检查两个 exploer exe 显示只有一个线程的 exploer exe 就是木马程序您应当立刻结束这个进程清除 5 重新启动系统运行cmd 在cmd窗口中运行以下命令以删除蠕虫病毒留下的后门 C CDC ATTRIB h s rexplorer exeDelexplorer exeDelC inetpub scripts root exeDelC progra 1 Common 1 System MSADC Root exeD CDD Attrib h s rexplorer exeDelexplorer exeDelD inetpub scripts root exeDelD progra 1 Common 1 System MSADC Root exe忽略其中任何错误清除 6 修改被蠕虫改动过的注册表运行regedit选择 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services W3SVC Parameters VirtualRoots选择 C 选择删除选择 D 选择删除选择 MSADC 将217换为201 选择 scripts 将271换为201 对于Windows2000系统需要打开 HKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion WinLogon将SFCDisable改为0 7 重新启动系统 8 执行步骤4 给系统打补丁 8 7 3RedLof病毒此病毒可以在Windows9X Windows2000 WindowsXP等操作系统环境下正常运行它感染脚本类型的文件运行时全盘查找脚本类型的文件 vbs htm html等如果找到则将病毒自身加入这些文件的尾部完成感染该病毒还会疯狂感染文件夹会在感染的文件夹下产生两个文件一个名为 desktop ini的目录配置文件一个名为 folder htt的病毒体文件当用户双击鼠标进入被感染的文件夹时病毒就会被激活由于病毒每激活一次就会在内存中复制一次所以当用户多次进入被感染的文件夹时病毒就会大量进入内存造成计算机运行速度越来越慢而且该病毒还会随着信件模板进行网络传播查杀方法 1 用最新版杀毒软件在杀毒过程中要关闭所有WINDOWS窗口禁止使用WEB方式浏览资源管理器或我的电脑等 2 在Windows操作系统环境下要打开文件监控功能先查杀内存然后在查杀所有硬盘文件 3 在杀完毒之后应立即重新启动计算机 4 如果用户在Windows操作系统环境下不能完全地清除此病毒请到纯DOS操作环境下进行杀毒将此病毒全部清除掉 8 7 4FunLove病毒感染Win9X NT 2000操作系统病毒侵入NT操作系统后会产生一个Flcss exe文件位于 system 目录下如windows system windows system32 winnt system 然后给NTOSKRNL EXE和NTLDR打上补丁取得admininstrator的控制权再将自己生成为NT的一个服务名称为FLC 然后开始复制传染到所有可达目录及子目录下的EXE OCX SCR文件中复制完成后通过搜索网络上其它机器试图感染之这就是我们为什么会发现计算机不管有没有设共享目录就有用户联上来的原因但如果该机器没有可写的共享目录或可写共享目录是设了口令的病毒是无法感染它的查杀方法 1 取消共享 2 确认NT操作系统是否被感染通过查控制面板服务中是否有FLC服务确认病毒是否已进入内存通过查找 flcss exe文件是否存在判断病毒是否已破坏了NT 3 停止FLC服务删除flcss exe病毒体修补被FunLove破坏的NTOSKRNL EXE和NTLDR文件夺回控制权 4 用杀毒软件查杀 8 7 5求职信病毒又名Worm klez 蠕虫病毒通过邮件和可执行文件传播七大特征 1 求职信系列变种病毒利用微软系统的漏洞可以自动感染无须打开附件因此危害性很大 2 变种具有很强的隐蔽性可以随机应变地自动改换不同的邮件主题和内容瓦解邮件接收者的警惕性 3 在邮件内部存放发送信息的一部分这些变种病毒会伪造虚假信息掩盖病毒的真实来源 4 能够绕开一些流行杀毒软件的监控甚至专门针对一些杀毒软件进行攻击 5 除开可以在网络上利用邮件进行传播外这些变种病毒还可以利用局域网上的共享文件夹进行传染其传播特点类似尼姆达病毒因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件这将意味着在网络环境下根本无法彻底清除病毒 6 目前已经开始在网络上出现的一些求职信变种的专杀工具由于无法适用于所有的变种因此在杀除一些变种病毒时会连病毒带文件一同删除结果造成杀病毒把电脑一起杀死的情况 7 传统杀毒软件清除该病毒需要在DOS系统下进行查杀方法安全模式下删除注册表项目是wink exe的键值还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink exe删除注意还必须将回收站清空打补丁用专杀工具进行查杀 8 7 6尼姆达病毒 Worms Nimda是一个新型蠕虫通过email 共享网络资源 IIS服务器传播同时它也是一个感染本地文件的新型病毒通过多种方式进行传播几乎包括目前所有流行病毒的传播手段通过email将自己发送出去搜索局域网内共享网络资源将病毒文件复制到没有打补丁的微软 NT 2000 IIS服务器感染本地文件和远程网络共享文件感染浏览的网页该病毒降低系统资源可能最后导致系统运行变慢最后宕机它改变安全设置在网络中共享被感染机器的硬盘导致泄密它不断的发送带毒邮件查杀方法 1 打开进程管理器查看进程列表 2 结束其中进程名称为 xxx tmp exe 以及 Load exe 的进程其中xxx为任意文件名 3 切换到系统的TEMP目录寻找文件长度为57344的文件删掉它们 4 切换到系统的System目录寻找名称为Riched20 DLL的文件 5 查看Riched20 DLL的文件大小系统的正常文件大小应该在100K以上而Concept病毒的副本大小为57344字节如果有长度为57344字节的Riched20 DLL 删掉它 6 继续在系统的System目录下寻找名称为load exe 长度为57344字节的文件删掉它 7 在C D E 三个逻辑盘的根目录下寻找Admin DLL文件如果在根目录下存在该文件则删除它 8 打开System ini文件在 load 中如果有一行 shell explorer exeload exe dontrunold 则改为 shell explorer exe 9 如果是WinNT或者Win2000以及WinXP系统则打开控制面板用户和密码将Administrator组中的guest帐号删除 10 打开共享文件夹管理将共享 C 去除该共享为本地C 的完全共享上机操作杀毒软件的安装及配置瑞星2004 下载安装配置查杀病毒

展开阅读全文