病毒, Go Away!.pdf

病毒 , Go Away！聊聊中毒那点事 ……今天会讲那些内容？• 我怎么知道我中毒没有• 中毒了我应该怎么办• 传授简单易学的手动杀毒方法• 如何避免再次中毒• 病毒是如何在 5分钟内做成的我中毒了中毒了会出现那些症状我中毒了• 机器变慢了• 时间总是不对了• 主页被修改了• 图标显示异常了• 杀 毒软件不工作了• 莫名其妙的安装了一堆我不认识的软件• 骚扰多了，垃圾邮件多了• 朋友说我发送了一些莫名其妙的东西，啥时发的我怎么不知道• 游戏装备没了 —— T_T 心都碎了• 网管说我攻击别人电脑，开什么完笑！电脑变慢了• 网络流量增大• DDOS攻击• IP扫描• 传播 病毒• 硬盘灯一直在频繁闪烁• 感染可执行文件• 毁坏数据文件• 应用程序反应缓慢• 监控用户的行为：截取显示信息和输入信息时间总是不对了• 病毒通过修改系统时间，使系统的杀毒软件过期失效图标不对了• 一些感染型的病毒会将修改系统内的可执行程序，从而导致被感染的程序的图标发生变化• Worm：熊猫烧香，威金• Virus： Kuku， virut主页被修改了• 制作病毒是出于某种目的• 有些病毒就是通过修改主页的方式刷流量来进行获利的杀毒软件工作异常• 小 伞一 直 处于红色• 杀 毒软件界面一闪就关闭• 杀 毒软件没了 (O_.*)骚扰和垃圾邮件多了• 病毒会利用你的电脑向外发送垃圾邮件。

• 盗取你的联系方式，并将其转卖向好友发送莫名其妙的消息• 病毒会借着你的名义向你的好友，发送含有诱骗信息：• 推荐浏览网站的• 诈骗网站• 挂 马网站• 发送照片文件的• 伪装成图片的可执行程序• 发送文档的（ doc， pdf）• 文档本身会触发漏洞执行有人偷了我的游戏装备• 病毒会盗取用户的游戏密码，并将游戏世界中的人物的装备变卖，从而谋取暴利攻击其它的电脑• 后门类型的病毒，会将利用中毒的病毒计算机，向其它的电脑发起攻击• 蠕虫类型的病毒，会利用向其它计算机传播自身该吃药了教你中毒自救的办法首先，需要判断中的是什么病毒• 非感染型病毒名字是 Trojan， Backdoor和 Adware等通常运行后就会消失运行没有反应或显示出图片• 感染型病毒名字带有 Virus， Worm或没有类型• Kuku病毒：• 瑞 星： win32.kuku.a• 诺顿： W32.Sality.AA• 卡巴： Virus.Win32.Sality.aa• 微软： Virus:Win32/Sality.AM运行一些正常文件时会报错其次，做好隔离保护措施• 非感染型病毒• 尽可能不进行敏感操作： 网 银交易 访问个人隐私数据 修改机要文件 使用通信工具（ ， Email）• 切断网络连接（特别是机器上有重要数据）• 感染行病毒• 关机• 卸载非系统卷• 断开网络连接• 拔掉外接存储设备之后，杀毒第一招• 用杀毒软件进行全盘扫描清理• 先清理系统盘，后清理其它磁盘。

• 杀完本机，要清理移动存储设备• 建议周边同学也进行病毒检查• 建议收到了病毒消息的朋友也检查一下杀毒第二招• 到根据病毒名到官方网站上，找相关的专杀工具进行清理• Duqu• STUTNET（网震）• FLAME（火焰）• TDSS（魔影）• CONFICKER（飞客）杀毒软件也有搞不定的时候 ……• 误区一，病毒出现了杀毒软件就能杀• 误区二，使用杀毒软件就能把病毒清理干净• 误区三，杀毒软件不用装，有病毒时再装也不迟• 误区四，监控关一会儿没事儿• 对于新出的病毒，杀毒软件查出率较低• 对于感染性病毒和有破坏性质的病毒是不能保证完全恢复的• 当病毒运行权高于杀毒软件时，杀毒软件就会失效• 漏掉一个就等于漏掉一片杀毒第三招 ，自己瞅瞅• 非感染型病毒• 查看运行中的进程• 检查系统启动运行项• 结束可疑进程• 删除可疑文件• 感染型病毒• 关机等专杀• 重做系统查看运行的进程• 工具名称： Process Explorer• 用于查看系统中运行的可疑进程• 什么是可疑进程？• 名字诡异：如随机的名称• 名字拼写错误： svchost->svchest• 版本含混：没版本，或有冒牌版本• 版本号非常低： 1.0.0.0• 存放位置隐蔽： System32• 属性为隐藏查看系统自启动项• 工具名称： Autoruns• 用于查看系统自启动项• 那些是可疑项？• 注册表： Run/RunOnce• 服务项：无描述，或瞎描述的• 计划任务：看路径和时间查看程序的运行痕迹• 工具名称： Process Monitor• 用于显示文件和注册表操作• 需要结合虚拟机进行操作• 看病毒都改了那些内容手动杀毒利器• 工具名： XueTr（ PcHunter）• 用于进行复杂删除清理工作• 强制终止进程和删除文件• 初学者不建议使用！• 系统会被自己搞的起不来 ……灰 鸽子木马• 灰鸽子木马 被专业 人士判定为最具危险性的 后门程序 ，并引发了安全领域的高度关注 。

• 2004年、 2005年、 2006年， 灰鸽子木马 连续三年被国内各大杀毒厂商评选为年度十大 病毒• 可以操控用户电脑，监控用户行为，开启摄像头，窃取账号、照片文件等重要信息• 参考 我们公司最近来了个美女，我偷偷拍了张照片发给你！• 我最近出去玩了，和朋友拍了几张照片，发给你瞅瞅• 附件中是我的简历，请查收灰鸽子等类型的木马有啥特征• 文件名称充满诱惑性• 运行完就自行删除• 运行没有反应• 存在于系统目录下• 技术细节：• 鸽子是一个反向链接的后门程序• 当鸽子启动后会每 30秒链接一下控制中心的 IP• 鸽子的制作十分简单• 虽然古老但变种不断杀鸽子！• 找鸽子的服务• 描述比较诡异，描述和名称对不上• 所指向的文件路径为系统目录• Windows 或 System32• 停止鸽子服务• 使用服务管理器停止服务• 杀掉傀儡 进程• 删除鸽子的文件• 找到文件后右键删除即可盗号木马• 有盗取 帐号的 木马 病毒• 有盗取网游密码的木马病毒• 还有盗取银行信息的木马病毒怎么清除盗号木马• Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks指向的 CLSID的值对应的 dll在哪里？• Software\Microsoft\Windows\Currentversion\Run• 快捷方式指向的文件飞客病毒（ MS08-067）• 2008年 11月 20日被 发现， 目前全球已有超过 1500万台电脑受到 感染。

• 具有 蠕虫病毒和下载者病毒的多重属性• 利用 MS08-067漏洞传播 ，甚至能够利用 U盘、网络共享等方式 传播• 自动 搜索局域网内有漏洞的其他电脑 ，利用漏洞进行 远程感染 • 参考： 在 system32下使用如下命令• dir /ah• 如果看到有随机名称的 dll• 如 : asvjt.lz• 存在大量的相同名称的计划任务• 进程中有 rundll32.exe的进程• 如 rundll32.exe asvjt.lz,woqio怎么杀飞客病毒• 删除计划任务 /启动项• 删除恶意的 dll• 删除所有磁盘上的 Autorun.inf文件• 重启计算机• 安装系统补丁• 关闭共享• 修改系统管理员密码该反省了如何避免再次中毒什么触发了病毒• 查看了一些诱惑性的邮件的附件• 点击了 IM消息的网络连接• 查看文档时编辑器突然崩溃• 使用过其它人的 U盘• 同网 段的人有发生过中毒事件还有那些因素• 用户密码是否足够复杂• 当前用户和 Administrator用户• 是否 及时安装补丁• 系统补丁• MsOffice, Adobe(pdf,swf)• EMET• 浏览器是不是安全的• Chrome• 防火墙是否处于打开状态• 能关的服务和共享都要关闭用的 U盘是否是干净的？• 尽可能不适用被人的 U盘，如果需要使用前杀毒• 在自己的 U盘下，创建Autorun.inf目录，可以有效预防通过 U盘传播的病毒偶 是坏孩子病毒是如何在 5分钟内做成的需要哪些工具• 灰 鸽子 远 控软件• 文件捆绑 工具• 美女照片• 网络空间（支持 Http和 Ftp访问）• 受害者 email地址列表1. 部署自动上线 WEB服务器• 创建目录 c:\wwwroot• 创建并开启 WEB服务器2. 部署自动上线服务器地址列表• 创建并开启 FTP服务器• 更新 ip.txt到 FTP空间3. 配置生成服务端程序• 选择安装成功后自动删除• 指定自动上线服务器 IP• 生成服务端程序4. 伪装服务端程序成图片• 添加照片 mmpic.jpg• 添加命令 %temp%\mmpic.jpg• 添加服务端程序 server.exe• 设置捆绑后的图标为 jpg图标• 设置捆绑后自动删除• 生成捆绑后文件• 重命名为：照片 .jpg+n*[空格 ]+.exe5. 发病毒邮件给受害人• 编写诱惑性的邮件内容• 把邮件发给你想谋害的人Bingo，中招了！能得到什么？• 肉鸡 0.5~0.8元每只• 得到受害者隐私信息• 照片 /文件• 和 MSN账号密码• 隐私生活• 《 中华人民共和国计算机信息系统安全保护条例 》• 第二十三 条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以 5000元以下的罚款、对单位处以 15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至 3倍的罚款。

谢谢！真爱生命，远离病毒。