9、网络病毒概述.ppt

《9、网络病毒概述.ppt》由会员分享，可在线阅读，更多相关《9、网络病毒概述.ppt（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、9、网络病毒概述、网络病毒概述主要内容主要内容 计算机病毒的定义计算机病毒的定义 计算机病毒发展史计算机病毒发展史 计算机病毒的特点计算机病毒的特点 计算机病毒分类计算机病毒分类 计算机病毒的发展趋势计算机病毒的发展趋势 计算机病毒实例计算机病毒实例 计算机病毒的防护计算机病毒的防护2006-20102006-2010年上半年同期新增病毒数量对比年上半年同期新增病毒数量对比 20092009与与20102010年上半年新截获各类病毒对比年上半年新截获各类病毒对比 20102010年上半年新截获各类病毒比例年上半年新截获各类病毒比例 网络安全防护体系构架网络安全防护体系构架网络安全防护体系构架网

2、络安全评估网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复一、计算机病毒的定义一、计算机病毒的定义 19941994年年2 2月月1818日，我国正式颁布实施了日，我国正式颁布实施了中华人中华人民共和国计算机信息系统安全保护条例民共和国计算机信息系统安全保护条例，在，在条例条例第二十八条中明确指出：第二十八条中明确指出： “ “计算机病毒，指编制或者在计算机程序中计算机病毒，指编制或者在计算机程序中插入的插入的破坏计算机功能或者破坏数据破坏计算机功能或者破坏数据，影响计算，影响计算机使用并且机使用并且能够自我复制能够自我复制 的的一组

3、计算机指令或一组计算机指令或者程序代码者程序代码 ” ”。 病毒：病毒：VirusVirus二、计算机病毒的发展史二、计算机病毒的发展史 1 1、计算机病毒的产生的思想基础、计算机病毒的产生的思想基础 2 2、实验室中产生、实验室中产生病毒的祖先（磁芯大战）病毒的祖先（磁芯大战） 3 3、计算机病毒的出现（、计算机病毒的出现（19831983年）年） 4 4、我国计算机病毒的出现、我国计算机病毒的出现 （19891989年）年）病毒的产生原因病毒的产生原因n 恶作剧（女鬼）恶作剧（女鬼）n 版权保护版权保护 （巴基斯坦病毒）（巴基斯坦病毒）n 报复心理报复心理 （CIHCIH）n 娱乐需要（磁

4、芯大战）娱乐需要（磁芯大战）n 政治、战争目的（海湾战争）政治、战争目的（海湾战争）计算机病毒的发展历程计算机病毒的发展历程1. DOS1. DOS引导阶段引导阶段2. DOS2. DOS可执行阶段可执行阶段3. 3. 伴随阶段伴随阶段4. 4. 多形阶段多形阶段5. 5. 生成器、变体机阶生成器、变体机阶段段6. 6. 网络、蠕虫阶段网络、蠕虫阶段7. 7. 视窗阶段视窗阶段8. 8. 宏病毒阶段宏病毒阶段9. 9. 邮件病毒阶段邮件病毒阶段10. 10. 手持移动设备病毒阶手持移动设备病毒阶段段 时代划分时代划分时间时间总结总结第一代：传统病第一代：传统病毒毒1986-1989DOS引导阶

5、段引导阶段DOS可执行阶段可执行阶段第二代：混合病第二代：混合病毒毒(超级病毒超级病毒)1989-1991伴随、批次型阶段伴随、批次型阶段第三代：多态性第三代：多态性病毒病毒1992-1995幽灵、多形阶段幽灵、多形阶段生成器、变体机阶段生成器、变体机阶段第四代：第四代：90年代中后年代中后宏病毒阶段宏病毒阶段网络、蠕虫阶段网络、蠕虫阶段计算机病毒的发展历程计算机病毒的发展历程典型的计算机病毒事件典型的计算机病毒事件时间时间名称名称事件事件1986BrainBrain 第一个病毒（软盘引导）第一个病毒（软盘引导）1987黑色星期五黑色星期五病毒第一大规模爆发病毒第一大规模爆发1988.11.2

6、蠕虫病毒蠕虫病毒 第第一个蠕虫计算机病毒一个蠕虫计算机病毒 1990. .1“4096”发现首例隐蔽型病毒，破坏数据发现首例隐蔽型病毒，破坏数据1991 病毒攻击应用于战争病毒攻击应用于战争 1991米开朗基罗米开朗基罗第一个格式化硬盘的开机型第一个格式化硬盘的开机型病毒病毒1992VCL- Virus Creation Laboratory病毒生产工具在美国传播病毒生产工具在美国传播时间时间名称名称事件事件1992年年9月月首例首例Windows病毒病毒1995FATFAT病毒、幽灵、变病毒、幽灵、变形金刚形金刚多态性（基于）多态性（基于）windows）1997宏病毒宏病毒 传播方式增加（

7、邮件等）传播方式增加（邮件等）1999CIH发现破坏计算机硬件病毒发现破坏计算机硬件病毒1999 Mellisahappy99邮件病毒邮件病毒2000红色代码红色代码黑客型病毒黑客型病毒2001Nimda集中了所有集中了所有蠕虫蠕虫传播途径传播途径2002SQLSPIDA.B第第一个攻击一个攻击SQL服务器服务器2003SQL_slammer利用利用SQL server数据库的漏洞数据库的漏洞2003.8.11冲击波冲击波集中了所有集中了所有蠕虫蠕虫传播途径传播途径典型的计算机病毒事件典型的计算机病毒事件20062006年十大病毒年十大病毒 20062006年出现的新病毒数量急剧增加，达到年出

8、现的新病毒数量急剧增加，达到234211234211个，几乎等于以往所有病毒数量的总和。个，几乎等于以往所有病毒数量的总和。 这些新病毒，这些新病毒，90%90%以上带有明显的利益特征，有窃以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。其中，窃取取个人资料、各种账号密码等行为。其中，窃取用户账号密码等个人虚拟财产信息的病毒共用户账号密码等个人虚拟财产信息的病毒共167387167387个，占到总病毒数量的个，占到总病毒数量的71.47%71.47%。这一年，。这一年，中国还出现了首个勒索病毒中国还出现了首个勒索病毒“进程杀手变种进程杀手变种”。20062006年十大病毒年十大病毒

9、序序号号病毒中文名病毒中文名累计感染计算机累计感染计算机 类型类型感染系统感染系统1 1“熊猫烧香熊猫烧香” ” 蠕虫蠕虫Win2000/XPWin2000/XP2 2威金蠕虫威金蠕虫 446450446450蠕虫蠕虫Win9X/2000/XP/NT/Me/2003Win9X/2000/XP/NT/Me/20033 3传奇窃贼传奇窃贼 739169 739169 木马木马Win9X/2000/XP/NT/Me/2003Win9X/2000/XP/NT/Me/20034 4敲诈者敲诈者 木马木马Win9X/2000/XP/NT/Me/2003Win9X/2000/XP/NT/Me/20035 5

10、QQQQ盗号木马盗号木马 615901 615901 木马木马Win9X/2000/XP/NT/Me/2003Win9X/2000/XP/NT/Me/20036 6龌龊虫龌龊虫 20351 20351 蠕虫蠕虫Win9X/2000/XP/NT/MeWin9X/2000/XP/NT/Me7 7灰鸽子后门灰鸽子后门 897592 897592 木马木马Win9X/2000/XP/NT/MeWin9X/2000/XP/NT/Me8 8工行钓鱼木马工行钓鱼木马 4283842838木马木马Windows 2000Windows 2000、Windows XPWindows XP9 9征途木马变种征途木

11、马变种木马木马Win9X/2000/XP/NT/MeWin9X/2000/XP/NT/Me1010调用门调用门Rootkit Rootkit Win3X/9X/2000/XP/NT/Me/2003Win3X/9X/2000/XP/NT/Me/200320072007年十大病毒年十大病毒/ /木马木马数据来源：金山软件发布的数据来源：金山软件发布的2007年度中国电脑病毒疫情及互联网安全报告年度中国电脑病毒疫情及互联网安全报告（2008/1/17）计算机病毒的危害计算机病毒的危害 1 1、计算机病毒造成巨大的社会经济损失、计算机病毒造成巨大的社会经济损失 2 2、影响政府职能部门正常工作的开展、

12、影响政府职能部门正常工作的开展 3 3、计算机病毒被赋予越来越多的政治意义、计算机病毒被赋予越来越多的政治意义 4 4、利用计算机病毒犯罪现象越来越严重、利用计算机病毒犯罪现象越来越严重病毒演示CIH病毒病毒演示病毒演示彩带病毒彩带病毒病毒演示病毒演示白雪公主白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！病毒带来的威胁病毒带来的威胁三、计算机病毒的特征三、计算机病毒的特征 传染性传染性 破坏性破坏性 潜伏性和可触发性潜伏性和可触发性 非授权性非授权性 隐藏性隐藏性 不可预见性不可预见性病毒攻击的操作系统病毒攻击的操作系统 Microsoft DOSMicrosoft D

13、OS Microsoft Windows Microsoft Windows 95/98/ME95/98/ME Microsoft Windows Microsoft Windows NT/2000/XPNT/2000/XP Unix(Linux)Unix(Linux) 其他操作系统其他操作系统病毒的传播媒介病毒的传播媒介存储介质存储介质网络网络邮件邮件(SoBig)(SoBig)网页网页(RedLof)(RedLof)局域网局域网(Funlove)(Funlove)远程攻击远程攻击(Blaster)(Blaster)网络下载网络下载病毒的传播和感染对象病毒的传播和感染对象感染引导区感染引导区

14、感染文件感染文件可执行文件可执行文件OFFICEOFFICE宏宏网页脚本（网页脚本（ JavaJava小程序和小程序和ActiveXActiveX控件）控件）网络蠕虫网络蠕虫网络木马网络木马破坏程序破坏程序其他恶意程序其他恶意程序四、计算机病毒的分类四、计算机病毒的分类依据不同的分类标准，计算机病毒可以做不同依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：的归类。常见的分类标准有：1. 1. 根据计算机病毒依附的操作系统根据计算机病毒依附的操作系统2. 2. 根据计算机病毒的传播媒介根据计算机病毒的传播媒介3. 3. 根据计算机病毒的宿主分类根据计算机病毒的宿主分类引导型病毒

15、引导型病毒 引导型病毒生存循环引导型病毒生存循环小球病毒小球病毒 小球病毒是新中国成立以来发现的第一例电脑病毒（小球病毒是新中国成立以来发现的第一例电脑病毒（19861986年）。年）。 发作条件是当系统时钟处于半点或整点，而系统又在进行读盘操作。发作条件是当系统时钟处于半点或整点，而系统又在进行读盘操作。发作时屏幕出现一个活蹦乱跳的小圆点，作斜线运动，当碰到屏幕边发作时屏幕出现一个活蹦乱跳的小圆点，作斜线运动，当碰到屏幕边沿或者文字就立刻反弹，碰到的文字，英文会被整个削去，中文会削沿或者文字就立刻反弹，碰到的文字，英文会被整个削去，中文会削去半个或整个削去，也可能留下制表符乱码。其规律是，去

16、半个或整个削去，也可能留下制表符乱码。其规律是，ASCIIASCII码字码字符后符后3 3位为位为3(011)3(011)的，发生行反射；后的，发生行反射；后3 3位为位为5(101)5(101)的，发生列反射，的，发生列反射，其它字符不改变小球运动方向。小球病毒后期经过一些好事者的改造，其它字符不改变小球运动方向。小球病毒后期经过一些好事者的改造，后期的变种运动的规律开始逐渐复杂化。后期的变种运动的规律开始逐渐复杂化。 文件型病毒文件型病毒 文件型病毒的特点是附着于正常程序文件，成为程序文件文件型病毒的特点是附着于正常程序文件，成为程序文件的一个外壳或部件。的一个外壳或部件。 文件型病毒主要

17、以感染文件扩展名为文件型病毒主要以感染文件扩展名为、.exe.exe和和.bat.bat等等可执行程序为主。可执行程序为主。 大多数的文件型病毒都会把它们自己的代码复制到其宿主大多数的文件型病毒都会把它们自己的代码复制到其宿主文件的开头或结尾处。文件的开头或结尾处。 根据文件型病毒寄生在文件的不同方式可分为：覆盖型文根据文件型病毒寄生在文件的不同方式可分为：覆盖型文件病毒、依附型文件病毒和伴随型文件病毒件病毒、依附型文件病毒和伴随型文件病毒 世纪末的幽灵世纪末的幽灵 计算机病毒计算机病毒视频视频宏病毒宏病毒 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计宏病毒是一种新形态的计算机病毒，也是

18、一种跨平台式计算机病毒。可以在算机病毒。可以在WindowsWindows、Windows 95/98/NTWindows 95/98/NT、OS/2OS/2、Macintosh Macintosh 等操作系统上执行病毒行为。等操作系统上执行病毒行为。 宏病毒的主要特征如下：宏病毒的主要特征如下： 1 1）宏病毒会感染）宏病毒会感染.DOC.DOC文档和文档和.DOT.DOT模板文件。模板文件。 2 2）宏病毒的传染通常是）宏病毒的传染通常是WordWord在打开一个带宏病毒的文档或在打开一个带宏病毒的文档或模板时，激活宏病毒。模板时，激活宏病毒。 3 3）多数宏病毒包含）多数宏病毒包含Aut

19、oOpenAutoOpen、AutoCloseAutoClose、AutoNewAutoNew和和AutoExitAutoExit等自动宏，通过这些自动宏病毒取得文档（模板）等自动宏，通过这些自动宏病毒取得文档（模板）操作权。操作权。 4 4）宏病毒中总是含有对文档读写操作的宏命令。）宏病毒中总是含有对文档读写操作的宏命令。5 5）宏病毒在）宏病毒在.DOC.DOC文档、文档、.DOT.DOT模板中以模板中以BFFBFF（Binary File Binary File FormatFormat）格式存放，这是一种加密压缩格式，每个）格式存放，这是一种加密压缩格式，每个WordWord版本版本格

20、式可能不兼容。格式可能不兼容。6 6）宏病毒具有兼容性。）宏病毒具有兼容性。 宏病毒的特点宏病毒的特点 1 1传播极快传播极快 2 2制作、变种方便制作、变种方便 3 3破坏可能性极大破坏可能性极大 4. 4. 宏病毒感染数据文件宏病毒感染数据文件MELISSA/MELISSA/梅利莎病毒梅利莎病毒 19991999年年3 3月月2727日，一种隐蔽性、传播性极大的、名为日，一种隐蔽性、传播性极大的、名为MelissaMelissa（又名（又名“美丽杀手美丽杀手”）的）的WORD97WORD97、WORD2000WORD2000宏病毒出现宏病毒出现 在网上，并以几何级数的速度在因特网上飞速传播

21、，在网上，并以几何级数的速度在因特网上飞速传播，仅在一天之内就感染了全球数百万台计算机，引发了一场前所未有仅在一天之内就感染了全球数百万台计算机，引发了一场前所未有 的的“病毒风暴病毒风暴”。 MelissaMelissa病毒最初是在一个成人新闻组里出现，并为来访用户提供色情网站清单及其访病毒最初是在一个成人新闻组里出现，并为来访用户提供色情网站清单及其访问密码。问密码。 这个病毒专门针对这个病毒专门针对 微软的电子邮件服务器和电子邮件收发软件，它隐藏在一微软的电子邮件服务器和电子邮件收发软件，它隐藏在一个个WORD97WORD97格式的文件里，以附件的方式通过电子邮件传播，善格式的文件里，以

22、附件的方式通过电子邮件传播，善 于侵袭装有于侵袭装有WORD97WORD97或或WORD2000WORD2000的计算机。它可以攻击的计算机。它可以攻击WORD97WORD97的注册器并修改其预防宏病毒的安全设置，的注册器并修改其预防宏病毒的安全设置，使它感染的文件使它感染的文件 所具有的宏病毒预警功能丧失作用。当打开感染了该病毒的所具有的宏病毒预警功能丧失作用。当打开感染了该病毒的wORD97wORD97、WORD2000WORD2000文档时，该病毒首先感染通用模板：文档时，该病毒首先感染通用模板：Nor_ mal.DOTNor_ mal.DOT文件，并修改文件，并修改WindowsWin

23、dows注注册表项：册表项： HKEY_CURRENTUSERSoftwareMicrosoftOfficeHKEY_CURRENTUSERSoftwareMicrosoftOffice，将其增加表项：，将其增加表项： Melis_ sa?Melis_ sa?，并给其赋值为：并给其赋值为：by Kwyjiboby Kwyjibo，在，在OUTLOOKOUTLOOK电子邮件程序启动的情况下，将自动给地址电子邮件程序启动的情况下，将自动给地址簿的前簿的前5050名发送信件，名发送信件， 该该 信件的主题是：信件的主题是：“Important Message From Important Messa

24、ge From ，该用户名为地，该用户名为地址簿里的已经存放的用户名，址簿里的已经存放的用户名， 信件的内容信件的内容 是：是：Here is that document you asked Here is that document you asked for.donshow anyone elsefor.donshow anyone else；- -），并将该信件附加一个带毒文件，名为：），并将该信件附加一个带毒文件，名为： list.DOClist.DOC，该文，该文档包含大量色情网址。档包含大量色情网址。 由于是熟悉的人发送的，因此容易被人们忽视。同时，该由于是熟悉的人发送的，因此容易

25、被人们忽视。同时，该病毒还会自动重复以上的动作，由此连锁反应，会在短时病毒还会自动重复以上的动作，由此连锁反应，会在短时 间内，造成邮件服务器的大量阻塞，直至间内，造成邮件服务器的大量阻塞，直至“淹没淹没”电子邮电子邮件服务器，严重影响人们的正常网络通讯。据计算，如果件服务器，严重影响人们的正常网络通讯。据计算，如果Mel_ issaMel_ issa能够按照理论上的速度传播，只需能够按照理论上的速度传播，只需5 5次就可以让次就可以让全世界所有的网络用户都收到一份。全世界所有的网络用户都收到一份。 由于病毒自动进行自由于病毒自动进行自我复制，我复制， 因而属于蠕虫类病毒。因而属于蠕虫类病毒。

26、MelissaMelissa的作者显然对此的作者显然对此颇为得意，他在病毒代码中写道：颇为得意，他在病毒代码中写道：“蠕虫类？宏病毒？蠕虫类？宏病毒？WORD97WORD97病毒？病毒？ 还还 是是WORD2000WORD2000病毒？您们自己看着办病毒？您们自己看着办吧！吧！” MELISSA/MELISSA/梅利莎病毒梅利莎病毒 宏病毒的发现与防御宏病毒的发现与防御发现：发现：在自己使用的在自己使用的wordword中打开中打开“工具工具”中的中的“宏宏”菜单，选择通用模板，若发现有菜单，选择通用模板，若发现有“AutoOpen”AutoOpen”等自动宏、等自动宏、“FileSave”F

27、ileSave”等文件操作宏或一些怪名字的宏，而自等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，就有可能是中了宏病毒。己又没有加载特殊模板，就有可能是中了宏病毒。打开一个文档，未经任何改动立即有存盘操作，也有可能是打开一个文档，未经任何改动立即有存盘操作，也有可能是wordword带有病毒带有病毒打开打开DOCDOC为后缀的文件，在为后缀的文件，在“另存为另存为”菜单中只能以模板方式存盘，而此时通菜单中只能以模板方式存盘，而此时通用木板中含有宏，有可能是文件带了病毒用木板中含有宏，有可能是文件带了病毒防御：防御：设置设置Microsoft OfficeMicrosoft Office

28、中宏的安全级别为高中宏的安全级别为高修改修改Normal.dotNormal.dot文件属性为只读文件属性为只读使用防病毒软件，启动该软件的实时扫描的功能使用防病毒软件，启动该软件的实时扫描的功能尽量不打开提示有尽量不打开提示有“是否启用宏是否启用宏”的文档的文档实例实例-宏病毒宏病毒视频视频蠕虫病毒蠕虫病毒 通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。蠕虫病毒与其他病毒的区别蠕虫病毒与其他病毒的区别普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式 寄存

29、文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运行主动攻击主动攻击传染目标传染目标本地文件本地文件网络计算机网络计算机蠕虫病毒的特点蠕虫病毒的特点 破坏性强破坏性强 传染方式多传染方式多 一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的, 主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。 传播速度快传播速度快 清除难度大清除难度大实例：实例：20032003蠕虫王蠕虫王 蠕虫病毒视频介绍蠕虫病毒视频介绍熊猫烧香熊猫烧香小浩小浩冲击波冲击波计算机病毒引起的异常情况计算机病毒引起的异常情况 计算机系统运行速度明显降低计算机系统运行速度明显降低 系统容易死机系统

30、容易死机 文件改变、破坏文件改变、破坏 磁盘空间迅速减少磁盘空间迅速减少 内存不足内存不足 系统异常频繁重启动系统异常频繁重启动 频繁产生错误信息频繁产生错误信息 计算机反病毒技术计算机反病毒技术计算机病毒诊断技术计算机病毒诊断技术1 1特征代码法特征代码法2 2校验和法校验和法3 3行为监测法行为监测法4 4虚拟机技术（软件模拟法）虚拟机技术（软件模拟法）网络病毒的特点网络病毒的特点网络病毒的传播方式网络病毒的传播方式五、网络病毒预防基础知识五、网络病毒预防基础知识 安装防病毒软件安装防病毒软件 定期升级防病毒软件定期升级防病毒软件 不随便打开不明来源不随便打开不明来源 的邮件附件的邮件附件

31、 尽量减少其他人使用你的计算机尽量减少其他人使用你的计算机 及时打系统补丁及时打系统补丁 从外面获取数据先检察从外面获取数据先检察 建立系统恢复盘建立系统恢复盘 定期备份文件定期备份文件 综合各种防病毒技术综合各种防病毒技术STOP!客户端防毒防毒集中管理器STOP!STOP!MAIL SERVERSTOP!全方位的网络病毒防护体系全方位的网络病毒防护体系STOP!MEB SERVER FILE SERVERSTOP!v 全网统一配置防毒策略全网统一配置防毒策略v 全网统一查杀病毒全网统一查杀病毒, ,没有死角没有死角v 全网统一升级版本统一全网统一升级版本统一v 全网防毒状况一目了然全网防毒

32、状况一目了然v 跨平台技术，全方位防病毒跨平台技术，全方位防病毒v 全网防毒工作轻松简单：自动安装、自动维护、自动更新全网防毒工作轻松简单：自动安装、自动维护、自动更新单机版与网络版的区别单机版与网络版的区别单机防毒网络防毒选择防毒软件的标准选择防毒软件的标准 病毒查杀能力病毒查杀能力 对新病毒的反应能力对新病毒的反应能力 病毒实时监测能力病毒实时监测能力 快速、方便的升级能力快速、方便的升级能力 只能安全感、远程识别只能安全感、远程识别 管理方便、易于操作管理方便、易于操作 对资源的占用情况对资源的占用情况 系统兼容性与可融合性系统兼容性与可融合性六、常用的防病毒软件六、常用的防病毒软件六、常用的防病毒软件六、常用的防病毒软件