网络病毒与防范培训ppt课件.ppt

第一节第一节 网络病毒及特征网络病毒及特征本章主要内容本章主要内容第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施一、网络病毒的概念一、网络病毒的概念二、网络病毒的主要特点二、网络病毒的主要特点三、典型的网络病毒介绍三、典型的网络病毒介绍第一节第一节 网络病毒及特征网络病毒及特征一一、网网络络病病毒毒的的概概念念（1 1）狭义的网络病毒）狭义的网络病毒: :即网络病毒应该是充分利即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或用网络的协议以及网络的体系结构作为其传播的途径或机制，同时网络病毒的破坏对象也应是针对网络的机制，同时网络病毒的破坏对象也应是针对网络的2 2）广义的网络病毒）广义的网络病毒: :只要能够在网络上传播并只要能够在网络上传播并能对网络产生破坏的病毒，不论它破坏的是网络还是能对网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，就可称为网络病毒联网计算机，就可称为网络病毒二二、网网络络病病毒毒的的主主要要特特点点1 1技术门坎低，任何人皆可撰写新病毒技术门坎低，任何人皆可撰写新病毒2 2蠕虫病毒和木马病毒是最大的威胁蠕虫病毒和木马病毒是最大的威胁 3 3愈来愈快的传播愈来愈快的传播“毒速毒速”4 4愈来愈短的攻击时间差愈来愈短的攻击时间差5 5不断创新的自我防御技术不断创新的自我防御技术 6 6令人眼花缭乱的庞大变种令人眼花缭乱的庞大变种7 7乱乱“件件”齐发的垃圾邮件齐发的垃圾邮件8 8有洞就钻有洞就钻 9 9混合式攻击混合式攻击 网络病毒的特征主要是相对于单机病毒来说网络病毒的特征主要是相对于单机病毒来说的，其特点主要表现在以下几个方面的，其特点主要表现在以下几个方面: :三三、网网络络病病毒毒实实例例几种典型的网络病毒：几种典型的网络病毒：2 2、木马病毒、木马病毒 3 3、蠕虫病毒、蠕虫病毒 4 4、网页脚本病毒、网页脚本病毒 1 1、宏病毒、宏病毒5 5、即时通讯病毒、即时通讯病毒 1 1宏病毒宏病毒 宏病毒是使用某个应用程序自带的宏编程宏病毒是使用某个应用程序自带的宏编程语言编写的病毒语言编写的病毒 。

宏病毒目前主要是针对应宏病毒目前主要是针对应用组件，类型分为二类：感染用组件，类型分为二类：感染WordWord系统的系统的WordWord宏病毒、感染宏病毒、感染ExcelExcel系统的系统的Exce1Exce1宏病毒和感染宏病毒和感染Lotus AmiProLotus AmiPro的宏病毒的宏病毒WordWord宏病毒具有以下的特征：宏病毒具有以下的特征：（1 1）危害性大危害性大2 2）感染数据文件感染数据文件3 3）多平台交叉感染多平台交叉感染4 4）容易制作容易制作5 5）传播方便快捷传播方便快捷6 6）检测、清除比较困难检测、清除比较困难三三、网网络络病病毒毒实实例例 宏病毒举例宏病毒举例三三、网网络络病病毒毒实实例例简单自制宏病毒发作表象2木马病毒木马病毒 将自己伪装成某种应用程序来吸引用将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数户下载或执行，并进而破坏用户计算机数据、造成用户不便或窃取重要信息的程序，据、造成用户不便或窃取重要信息的程序，称为称为“特洛伊木马特洛伊木马”或或“木马木马”病毒木马病毒有以下基本特征：木马病毒有以下基本特征：（1）隐蔽性）隐蔽性（2）自动运行性）自动运行性（3）欺骗性）欺骗性（4）具备自动恢复功能）具备自动恢复功能（5）能自动打开特别的端口）能自动打开特别的端口（6）功能的特殊性）功能的特殊性三三、网网络络病病毒毒实实例例 木马病毒举例（木马病毒举例（“落雪落雪”）三三、网网络络病病毒毒实实例例“落雪”病毒在系统文件夹中添加的文件它由它由VB语言编写，加的是语言编写，加的是nSPack3.1的壳，的壳，该木马文件图标一般是红色的，很像网络游戏该木马文件图标一般是红色的，很像网络游戏的登陆器。

它可以盗取包括魔兽世界、传奇世的登陆器它可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁它可以把木马克星和装备构成了极大的威胁它可以把木马克星和卡巴斯基自动禁用，卡巴斯基还可以手工启用，卡巴斯基自动禁用，卡巴斯基还可以手工启用，木马克星手工已无法启用即便是用户中毒之木马克星手工已无法启用即便是用户中毒之后将后将C盘的病毒杀干净了，一旦双击盘的病毒杀干净了，一旦双击D盘还会重盘还会重新感染落雪木马新感染落雪木马3 3蠕虫病毒蠕虫病毒 蠕虫（蠕虫（wormworm）病毒无论从传播速度、传播范围还）病毒无论从传播速度、传播范围还是从破坏程度上来讲，都是以往的传统病毒所无法比是从破坏程度上来讲，都是以往的传统病毒所无法比拟的，可以说是近年来最为猖獗、影响最广泛的一类拟的，可以说是近年来最为猖獗、影响最广泛的一类计算机病毒，其传播主要体现在以下两方面：计算机病毒，其传播主要体现在以下两方面：（1 1）利用微软的系统漏洞攻击计算机网络利用微软的系统漏洞攻击计算机网络。

红色代红色代码码”、“Nimda”“Nimda”、“Sql“Sql蠕虫王蠕虫王”等病毒都是属于这等病毒都是属于这一类病毒一类病毒2 2）利用）利用EmailEmail邮件迅速传播如邮件迅速传播如“爱虫病毒爱虫病毒”和和“求职信病毒求职信病毒” “ “蠕虫蠕虫”病毒由两部分组成：一个主程序和另病毒由两部分组成：一个主程序和另一个是引导程序一个是引导程序 主程序的主要功能是搜索和扫描，主程序的主要功能是搜索和扫描，这个程序能够读取系统的公共配置文件，这个程序能够读取系统的公共配置文件，获得与本机联网的客户端信息，检测到获得与本机联网的客户端信息，检测到网络中的哪台机器没有被占用，从而通网络中的哪台机器没有被占用，从而通过系统的漏洞，将引导程序建立到远程过系统的漏洞，将引导程序建立到远程计算机上计算机上 引导程序实际上是蠕虫病毒主程序引导程序实际上是蠕虫病毒主程序（或一个程序段）自身的一个副本，而（或一个程序段）自身的一个副本，而主程序和引导程序都有自动重新定位的主程序和引导程序都有自动重新定位的能力 三三、网网络络病病毒毒实实例例 蠕虫病毒举例（蠕虫病毒举例（“魔鬼波魔鬼波”蠕虫）蠕虫）三三、网网络络病病毒毒实实例例魔鬼波病毒发作时现象“魔鬼波魔鬼波”（Backdoor/Mocbot.b）蠕虫利用微）蠕虫利用微软软MS06-040漏洞，通过漏洞，通过TCP端口端口445进行传播。

进行传播其传播过程可以在用户不知情的情况下主动进其传播过程可以在用户不知情的情况下主动进行，可能造成行，可能造成services.exe崩溃等现象还可崩溃等现象还可通过通过AOL等即时通讯工具自动发送包含恶意链等即时通讯工具自动发送包含恶意链接的消息运行成功后，病毒会连接接的消息运行成功后，病毒会连接IRC服务服务器接收黑客命令器接收黑客命令通过黑客命令，通过黑客命令，“魔鬼波魔鬼波”蠕蠕虫可以运行下载任意程序，进行拒绝服务攻击虫可以运行下载任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控等活动，使得用户计算机完全被黑客控制4 4网页脚本病毒网页脚本病毒 脚本病毒是指利用脚本病毒是指利用.asp.asp、.htm.htm、.html.html、.vbs.vbs、.jsp.jsp类型的文件进行传播，基于类型的文件进行传播，基于VB VB ScriptScript和和Java ScriptJava Script脚本语言并由脚本语言并由Widows Widows Scripting HostScripting Host解释执行的一类病毒解释执行的一类病毒 脚本病毒具有如下特点：脚本病毒具有如下特点：（1 1）隐藏性强。

隐藏性强2 2）传播性广传播性广3 3）病毒变种多病毒变种多可以采用下面的步骤来避免该类病毒的入侵：可以采用下面的步骤来避免该类病毒的入侵：（1 1）用）用regsvr32 scrrun.dll /uregsvr32 scrrun.dll /u命令禁止文件系统对象命令禁止文件系统对象（2 2）卸载）卸载Windows Scripting HostWindows Scripting Host项 （3 3）删除）删除VBSVBS、VBEVBE、JSJS、JSEJSE文件后缀名与应用程序的链接文件后缀名与应用程序的链接 （4 4）更改或者删除）更改或者删除WindowsWindows目录中，目录中，WScript.exeWScript.exe（5 5） 将将“Internet “Internet 选项选项”中所有中所有“ActiveX“ActiveX控件及插件控件及插件” ” 设为禁用设为禁用 （6 6）将安全级别设置至少为）将安全级别设置至少为“中等中等”7 7）禁止）禁止IEIE的自动收发邮件功能的自动收发邮件功能8 8）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，并及时更新杀毒软件并及时更新杀毒软件 三三、网网络络病病毒毒实实例例4 4网页脚本病毒网页脚本病毒三三、网网络络病病毒毒实实例例网页脚本病毒对IE属性的修改5 5即时通讯病毒即时通讯病毒即时通讯病毒具有以下几个特点：即时通讯病毒具有以下几个特点：（1 1）更强的隐蔽性。

更强的隐蔽性2 2）攻击更加便利攻击更加便利3 3）更快的传播速度更快的传播速度 目前，袭击即时通讯软件的病毒主要分三类：目前，袭击即时通讯软件的病毒主要分三类： 第一类是第一类是只以只以、MSN等等即时通讯即时通讯软件为传软件为传播渠道的播渠道的病毒病毒第二类为第二类为专门针对专门针对即时通讯即时通讯软件本身软件本身的窃取用的窃取用户帐号、户帐号、密码的密码的病毒病毒第三类是第三类是不断给用不断给用户发消息户发消息的骚扰型的骚扰型病毒病毒三三、网网络络病病毒毒实实例例即时通信病毒举例（即时通信病毒举例（MSNMSN性感鸡）性感鸡）三三、网网络络病病毒毒实实例例“MSN性感鸡”病毒在系统盘根目录下释放的小鸡图片 针对前面讲的内容，我们该怎么做好网络病毒的防范工作呢？思 考第一节第一节 网络病毒及特征网络病毒及特征第七章第七章网络病毒与防范网络病毒与防范第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施 如何有效地在网络环境下防治病毒是一个比如何有效地在网络环境下防治病毒是一个比较新的课题，各种方案、技术很多，我们认为最较新的课题，各种方案、技术很多，我们认为最重要的是应当先研究网络防治病毒的基本原则和重要的是应当先研究网络防治病毒的基本原则和策略，在这方面业内人士已基本达成共识。

这些策略，在这方面业内人士已基本达成共识这些基本原则的策略归纳起来可以分为以下几条：基本原则的策略归纳起来可以分为以下几条： 第二节第二节 网络反病毒原则与策略网络反病毒原则与策略一、防重于治一、防重于治 防重在管防重在管二、综合防护二、综合防护 三、最佳均衡原则三、最佳均衡原则 四、管理与技术并重四、管理与技术并重 五、正确选择网络反毒产品五、正确选择网络反毒产品 六、多层次防御六、多层次防御 七、注意病毒检测的可靠性七、注意病毒检测的可靠性 一一、防防重重于于治治 防防重重在在管管 一般来讲，计算机病毒的防治在于完善操一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制在网络环境下，作系统和应用软件的安全机制在网络环境下，可相应采取新的防范手段，网络防病毒最大的可相应采取新的防范手段，网络防病毒最大的优势在于网络的。