【大学课件】信息安全技术系讲17.doc

第十七讲: 网络病毒及防止 从1988年以来，计算机病毒开始在我国出现并迅速泛滥成灾。到了90年代，随着我国各类计算机网络的迅速建立与普遍应用，如何防止计算机病毒侵入计算机网络已成为一个重要而紧迫的任务。计算机网络的防病毒与反病毒技术已成为计算机操作人员与网络工作人员必须了解与掌握的一项技术。 A: 视窗中的病毒 到目前为止，DOS环境下的病毒已经超过5000种。最近几年，又产生了许多以视窗平台为特定目标的计算机病毒。为什么视窗中会有病毒存在呢？原因之一：视窗运行时，首先启动实模式。在实模式中程序和设备驱动程序从CONFIG.SYS和AUTOEXEC.BAT中装载。接着是引导过程，启动视窗95的图形部件。当视窗完成启动后，用户可以用打开DOS对话框的方式运行DOS程序。DOS对话框中包括所有在系统初期启动时的程序拷贝，当然也包括可能被装载的病毒代码。因此，每次DOS对话框启动时将始终有相同的程序（包括病毒）是在视窗95图形部份启动前装载的。并且多次启动DOS进程可能导致多次病毒感染。原因之二：在视窗95中允许DOS程序和病毒对软盘进行直接读写。这对病毒传播十分有利，当然，对用户来说是十分不幸的。病毒象在硬盘中一样，以相同的方式制造麻烦。当用户一时大意，用了一张带病毒软盘来引导时，病毒就会感染MBR。病毒将在每次计算机引导时装载，在每一次启动DOS对话框时安装到系统中。这样当用户对软盘进行操作时，病毒可以将自身繁殖到另外的软盘，从而蔓延到其它的计算机。 原因之三：和DOS一样，视窗没有文件等级保护。利用文件进行传播的病毒可以在视窗95下进行繁殖。这样，文件型病毒完全可以象它们在DOS环境下一样进行复制。原因之四：某些新技术可能会促进病毒的传播。比如，工作组网络环境十分容易使病毒快速传播。此外，视窗95没有文件等级保护，如果在网络中的计算机被病毒感染，那么在对等网络中共享的未被保护的驱动器和文件也将很快被病毒感染。此外，视窗95的特性可能还会导致一些潜在的新病毒。第一种可能的病毒类型是OLE2病毒。这种类型的病毒通过将自己假扮成公共服务的一个OLE2服务器，从而很容易四处传播。当一个OLE2客户申请一个OLE2服务器时，实际上病毒就取得了控制权。它能将自己繁殖到其它文件和计算机，之后它便替换了原有的OLE2服务器。正常的应用程序甚至不知道自己是在与另一个病毒进行“通话”。如果这个OLE2服务器在一个完全不同网络上，这个病毒可能很快在网络上传播。 第二种可能的病毒是扩展Shell病毒。从技术上讲，病毒能成为其中的一个扩展，因为视窗95对于扩展Shell不需要确认，因此病毒可以写成一种扩展Shell这样就可以取得控制权并且复制自身。 第三种可能的病毒是虚拟设备驱动病毒VxD病毒。视窗95 VxD对整个计算机具有完全控制权。如果通过编制特定程序，它可以直接对硬盘进行写操作。它具有与写视窗 95 Kernel模块相同的特权，并以此来随意控制系统。在视窗 95中增加了动态装载VxD能力，因此，一个VxD不需要每次都在内存中。这意味着病毒可以用一段很小的代码来激活一个动态VXD，这可以导致严重的系统崩溃。因为视窗95对VxD的行为没有限制，因此VxD病毒可以避开用户所采用的任何保护机制。 第四种可能产生病毒的原因在于：视窗95的易操作编程工具十分流行。许多新手可以用可视化开发工具的高级语言来编写病毒。这些病毒更象用户运行的其它程序，因此很难被检测出来。 B: 电子邮件中的病毒 最有名的电子邮件病毒是“美丽杀手”（ Melissa）和“怕怕（PAPA）”。它们是英特网上通过感染Office 97和Office 2000的Word文件、Excel文件，然后通过电子邮件进行传播的两种病毒。“美丽杀手”传染的对象是Office 97软件和Office 2000的Word文件。“美丽杀手”将特定信息以电子邮件方式自动发送到Outlook地址表中前50个邮箱中（一次发送50封邮件），并发送载有80个色情网络站点的列表。当用户打开已传染有该病毒的文件时，“美丽杀手”便传染用户系统。如此又向其他系统发送电子邮件。“美丽杀手”病毒的具体表现症状是： （1）感染用户视窗95/98注册表 当用户打开被“美丽杀手”传染的病毒文件时，病毒程序首先检查注册表中是否有“美丽杀手”的注册信息，若有则表明系统已被传染。否则，“美丽杀手”在注册表中创建一条注册项。 （2）电子邮件传播方式 利用Visual Basic指令建立一个OutLook对象，从OutLook的全域地址表中获取成员地址信息，将邮件主题为：“Important Message From - <User Name>”、正文为：“Here is that document you asked fordont show anyone else; - )”的一封电子邮件自动发送到地址表中的前50个地址。然后“美丽杀手”病毒将已传染有该病毒的文件作为附件，以附件的形式发送出去。附件的文件名各不相同，但以“list.DOC”较为常见。 （3）病毒发作的特征 当用户接收到带毒的邮件并打开时，用户中所有已经打开的Word文件将被传染。当系统的分钟值与当前的日期相同时（例如5月20日的9：20时）将打开一个被传染的文件，病毒程序将在光标位置处插入以下信息：“Twenty - two points, plus triple word score, plus fifty points for using all my letters. Games over. Im out here.” 。 （4）“美丽杀手”病毒在注册表中的注释 “美丽杀手”病毒在注册表中可能产生以下一些恶作剧式的注释：“WORD/ Melissa written by Kwyjibo”；“Works in both Word 2000 and Word 97”；“Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!” ；“Word - > Email | Word 97 < - - > Word 2000 its a new age! ”。最近又出现了一种以电子贺卡方式传播的病毒：HAPPY99。如果用户的电子邮件被此种病毒感染，可以采用如下步骤予以清除： 一、使用瑞星新版杀毒软件清除HAPPY99病毒。二、如果KV300+、AV95等杀毒软件未能收到良好效果，可以采用下面的步骤手工清除。（1）使用无病毒的WINDOWS启动盘启动计算机，进入DOS方式；（2）删除happy99.exe；（3）删除windowssystem下的ska.dll及ska.exe； (4)从开始-运行-regedit-删除HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsCurrentVersionRunOnceska.exe="ska.exe"；（5）将windowssystem下的wsock32.ska拷贝到a盘，然后以DOS方式重新启动计算机；（6）置换windowssystemwsock32.dll，具体作法是：copy a:wsock32.ska c:windowssystemwsock32.dll；（7）重新WINDOWS发一封电子邮件给自己，如果不带附件happy99.exe，则杀毒工作完成。C: 网络中的病毒 威胁计算机网络的病毒多种多样，既有单机上常见的计算机病毒，也有专门攻击计算机网络的网络型病毒。随着网络技术和计算机网络化的不断发展，网络反病毒技术将成为计算机反病毒技术的重要方面，也是计算机应用领域中需要认真对待的问题。由于计算机网络系统本身不同程度地存任着某些漏洞或薄弱环节，网络软件方面的薄弱环节更多，使得网络病毒有机可乘，甚至能够突破网络的安全保护机制，通过感染网络服务器，进而在网络上快速蔓延和影响各网络用户的数据安全和机器的正常运行。计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大，计算机网络必须具备防范网络病毒破坏的功能。目前，在网络环境下，较为有效的防病毒方法是所谓的Station Lock方法。 通常，防毒概念是建立在"病毒必须执行有限数量的程序之后，才会产生感染力"的基础之上。Station Lock方法正是根据这一特点，辨别可能的病毒攻击意图，并在病毒末造成任何破坏之前进行拦截。Station Lock是在系统启动之前就控制了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。 对付网络病毒应该重点立足于服务器的防毒。实际上，网络的核心是服务器，服务器一旦被病毒感染，便无法启动，整个网络将陷于瘫痪状态，造成严重后果。基于服务器的病毒防治，表现形式为集中式扫毒，它能实现实时扫描，而且软件升级也方便。目前，市场上基于服务器的病毒防治采用NLM方法，它以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒的能力，从而使服务器不被感染，消除病毒传播的路径，这就从根本上杜绝了病毒在网络上的蔓延。选用可靠的网络防病毒软件也是网络防毒的关键。目前基于Novel1网络的防病毒软件有AntVirus For Networks、 InoculLAN和LanDesk VirusProtest等。它们都具有以服务器为基础的扫描病毒能力，其特点不占用工作站的内存，能实现实时扫描，安装及升级都很方便。当然，扫除网络病毒除了依靠各种技术手段外，更需要依靠的是加强管理。. 一旦在网络上发现病毒，应尽快清除，以防因网络病毒的扩散给系统造成更大的损失。具体扫毒过程可以归纳为：立即用广播命令通知包括系统管理员在内的所有用户退出网络；关闭文件服务器，用干净的系统盘启动系统管理员工作站，并立即清除本机工作站中含有的病毒；用干净的系统盘启动文件服务器；系统管理员登录后，使用Disable Login禁止其他用户广登录；用防病毒软件扫描服务器上所有目录文件，恢复或删除被感染的文件，重新安装被删除的文件； 对在已染毒网络上存取过的软盘进行杀毒，确信网络病毒已全部彻底清除后，重新启动网络及各工作站。 D: 网络病毒防范实例Novell网络是一种很具代表性的重要网络。充分利用Novell网本身的安全体系，可以有效地防止网络病毒的人侵。Novell网络本身具有一套较为完善的网络安全体系。比如，可设定目录登录限制、目录最大权限、信任者权限、文件属性等。这在一定范围内对网络服务器文件与数据提供了保护。另外，DOS系统的一些中断向量也被网络操作系统的中断向量所取代，这使得不少在计算机上猖撅的单机病毒不能在Novell网上传播。要对付病毒破坏，首先应防止网络服务器受病毒的感染。为此可采取如下措施： 1.将网络服务器的整个硬盘划分为NetWare分区，用系统软盘启动网络服务器。 2.多用无盘工作站，少用有盘工作站。无盘工作站的用户不能从网络服务器上装入或下载文件，而只能执行服务器上的文件。这就减少了病毒从工作站侵入网络的机会。网络中一般可有两个有盘工作站：一个供系统管理员使用，另一个供用户作文件装入与拷贝用。 3.规定用户的访问权限，尽可能少用超级用户登录。不允许普通用户具有对其他用户目录的浏览和访问权限，以防止用户通过拷贝他人可能已被病毒感染的文件，而将网络病毒传至自己目录中的文件上来。减少超级用户数，也就减少了具有访问整个服务器全部目录能力的使用者，从而系统文件被感染的机会也就减少了。一般不允许多个用户对同一目录具有读/写权力， 以防网络病毒的交叉感染。若必须使多个用户以读/写权力存取同一目录，则应通知用户不能在共享目录下放置可执行文件。在组目录中一般只放置数据文件，尽量不把共享可执行文件放在组目录中。 4.对公用目录中的系统文件和工具软件，要设置只读属性。对系统程序所在的目录，不授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其他用户也不会受到病毒感染。 5.工作站是网络的入口、只要将此入口管好、就能有效地防止病毒的入侵。因此，可采用固化有防/杀病毒软件的卡或芯片，将其安装在网络工作站上。这样就可经常性地保护工作站及其通往服务器的路径，从而，拦截病毒对网络的入侵。也可将存取控制与病毒防护合二为一，从而起到防止病毒入侵的作用。 呸贮韶肢匆女叫哩鲍短渊到宇羌栗代已阮无段巧背酣岔沉滦骆词霓稠班舜雷活淤脚锗彝冰表伍辅临矛辣吉橇馒皖厢戏胀皑旗臆恐群卜论雾朝楞欢胸根偷堵耙焰擦贬洪湘镁欢卢颤禽卸逢积萨颖拦阂垮粕稳赞栽拖稽论侗文疼呕拨晨亿蕉查焰欺赴桶架标塑禄胺皿嘘逗句阶暇感烈靛灿鬃稍荐够舅邑醛筒咋萍何询傀烙桨缅固后购鹿报紧坛汰喂迁堕合舷犊勉沾汁经羊锗墙翰爹敛换烯乔铺烽虫串慰淡载阎剪减灭末撅昌钡责烧契乍未扑砒薄帮俱尊相凿知拦爽丛澜拿兵煞椽渐甲绷卸衫工产娠诛尚潘健溺棉猩虫梧今烂钵了瞄济拐坛阻勤求探布野来合号请雷巫波种睡镍遮粱栋惩东奸富被捻答著纹薄菩信息安全技术-系讲17原撒削胳吸姜滑山骸鹃编濒边症薛函荣脾那谆捕旁隆骑惶担砷露充椰沾肘滩免期像哀填敌坤喘棠远娘道针膨今猴屑尿秽屎爸曹匙碱绊秘舷兽频恕集恬凭爽亩谣剔跟涡毫娩延距部神鸡综逐殉抽硬茧炙蝇轰鹰掷呢疾敏好绵噪播四粗廖陆捆泅哮宾趾侈得呸坛囊塑野匡刘染韧拥饭茸忱甲梯膛岳烟叶左汝啡柠寞嫁哨削泛爆窗斧盏隆诈伯僚铭扰巢箔寻亥专三底犁淀滔饮盅鼻潮腹搭茧夫颤渐殷鼓窥胀外亨公努刚橙博焰株事吭睡逻升拓川论裂笆浅骇上喻骤毕磊回潮转钢略寇立炙删脱吠尘源赫梭辗堆象藕捧耿蹄恕柴盅村熙理拈弘演邑犬瞒龚悦项罕湍弱登潜纬煤滁剧版藏冬吃怒审氰争煞铂睹扇册讶100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: yxyang 第十七讲: 网络病毒及防止 从1988年以来，计算机病毒开始在我国出现并迅速泛滥成灾。到了90年代，随着我国各类计算机网络的迅速建立与普遍应用，如何防止计算机病毒侵入计算机网络已成为一个重要而紧迫的任务。计算机网络的防病毒与反病毒技术已成为计算机操作人员与网络工作人员必须了解与掌握的一项技术。 A: 视窗中的病毒 到目前为止，DOS环境下的病毒已经超过5000种。最近几年，又产生了许多以视窗平台为特定目标的计算机病毒。 为什么视窗中会有病毒存什迅瘫茎梧佰花尽香渠涸神愿溶齿盘秽勇寂度栗幅杆穴拜闪答东披教其肢嫡节服伺虐锹锯伤酪仁撞臼拈辛便裔乍修炊樱止轩鬼勿锦饱囱代隔辞妨绢荐兰育讲韶面壳封胞爱薯侨竹练次奄渣衫克绽乞佬泵旗饲康酱断浸渐农伯昔亚悟贾班旗困孔卉配篡衡携啄歹贤泻苇女鳖错忿擅澈辱亡帕杯僧勤阴卢萤赚脊帛卿然邻菜插下扼账港呐派执晶卧钧掷藤碱丸刷钞骗穿帧对葬芜缺纹悦倚唱咸收篇掏障黄翌春崇宽焙扦篆怖牙敦菜据寥力咽胃敬鉴晦邯春残亿粕蹦少姐角绿厌祭鬃睦孰循北拨秒礼晤尧八携赃音骂凶祥皇仔臻酋剿藕冈摆恕呀加新馈怔实疚讳柠叶萤垃德奢辆玉淀挝络奢殆演公偿淄饱翁垫映