常见计算机病毒简介解析课件.ppt

《常见计算机病毒简介解析课件.ppt》由会员分享，可在线阅读，更多相关《常见计算机病毒简介解析课件.ppt（26页珍藏版）》请在三一办公上搜索。

1、常见计算机病毒简介,震荡波冲击波蠕虫王求职信红色代码尼姆达,震荡波,2004年“五一”黄金周第一日，一个新的病毒“震荡波(Worm.Sasser)”开始在互联网上肆虐。该病毒利用Windows平台的Lsass漏洞进行传播，中招后的系统将开启128个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启。其破坏程度有可能超过“冲击波”。,病毒特征,该病毒会通过FTP的5554端口攻击电脑，一旦攻击失败，会使系统文件崩溃，造成电脑反复重启；病毒如果攻击成功，会将文件自身传到对方机器并执行病毒程序，然后在C:WINDOWS目录下产生名为avserve.exe的病毒体，继

2、续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run中建立：avserve.exe=%windows%avserve.exe的病毒键值进行自启动。,预防与清除,建议用户立即到微软的站点去下载并安装该漏洞的补丁；立即升级反病毒软件的病毒数据库；打开个人防火墙屏蔽端口：5554和1068，防止名为avserve.exe的程序访问网络。如

3、已经感染，应立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。,冲击波2003,2003年8月11日，一种名为“冲击波”（Worm.Blaster）的电脑蠕虫病毒席卷全球，瞬间造成大量电脑中毒，部分网络瘫痪。“冲击波”病毒几乎能感染所有微软“视窗”（Windows）操作系统。包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003。,感染后的症状,莫名其妙地死机或重新启动计算机；IE浏览器不能正常地打开链接；不能复制、粘

4、贴；有时出现应用程序，比如Word异常；网络变慢；最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！,专攻微软漏洞,“冲击波”病毒是利用微软公司公布的Windows操作系统RPC（Remote Procedure Call ，远程过程调用）漏洞进行攻击和传染的。RPC是Windows操作系统使用的一种远程过程调用协议，它提供了一种远程间交互通信机制。通过这一机制，在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。由于微软的RPC部分在通过TCP/IP处理信息交换时存在一个漏洞，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。,预防与清除,Windo

5、ws 2002补丁3 sp3 132MWindows XP 补丁 la 143M“冲击波”Windows2000微软补丁“冲击波”WindowsXP微软补丁 Xp sp1,蠕虫王2003,2003年1月25日，互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm，病毒体极其短小,却具有极强的传播性，导致全球范围内的互联网瘫痪，中国80%以上网民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。,袭击对象,此蠕虫病毒攻击微软Windows操作系统下的SQL Serve

6、r 2000服务器，包括安装了如下程序的系统：Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000Microsoft Windows NT 4.0 SP6aMicrosoft Windows NT 4.0 SP6Microsoft Windows NT 4.0 SP5Microsoft Windows NT 4.0Microsoft Windows 2000 Server SP3Microsoft Wi

7、ndows 2000 Server SP2Microsoft Windows 2000 Server SP1Microsoft Windows 2000 Advanced Server SP3Microsoft Windows 2000 Advanced Server SP2Microsoft Windows 2000 Advanced Server SP1 。,病毒特征,该蠕虫攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打

8、补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行并进一步传播。,防范,安装微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3。在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。如果由于DoS导致系统反映缓慢，可先断开网络连接，然后在Windows任务管理器里面强行终止进程SqlServr.exe，在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务。,“求职信”病毒演变历程,2001年，10月 “求职信”第一版“求职信”病毒，利用微软邮件系统自动运行附件的安全漏洞，通过电子

9、邮件传播，传染能力极强。由于邮件中含有英文“我必须找到一份工作来供养我的父母”的信息，故命名为“求职信”病毒。它传染可执行文件，定时搜索电脑中的所有文件，耗费大量系统资源，造成电脑运行缓慢直至瘫痪。遇到单月13日时会自动发作，将所有系统文件加长一倍，浪费大量硬盘空间。2001年，11月 “求职信”（b /c /d版）结构基本与第一版相同，只是增加了一些更具伪装性的邮件主题，破坏影响不大。,“求职信”病毒演变历程,2002年，1月 “求职信”（e /f /g版）“求职信”病毒的多个变种（Klez.e、Klez.f、Klez.g）集体出击。在原病毒的基础上增加了更多的工作线程，可驻留系统、强行关闭

10、用户正在进行的正常操作、删除有用文件。已呈现恶性病毒的雏形。其中的e版在每个单月6日这天爆发。Klez.e是有史以来互联网上传播速度最快的病毒之一。 2002年，2月 “求职信”（h/i 版）保留了以前版本的所有破坏伎俩，可破坏所有硬盘和网络盘，增加可覆盖文件的类型。2002年，4月16日 “求职信”（j/k 版）具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性，由于该病毒程序存在缺陷，所以迅速转变为新的变种。2002年，4月18日 “求职信”（l 版） 最新变体，迅速在全球扩散，势头凶猛异常，导致受害用户呈几何级数直线上升。全球各反病毒机构均发出最高等级的病毒警报。,预防与清除,

11、要阻止该网络蠕虫利用电子邮件传播，用户必须安装相应的补丁程序。在WINDOWS95/98/ME系统下的清除：先运行在WINDOWS95/98/ME系统下的安全模式，使用注册表编辑工具regedit将网络蠕虫增加的键值删除：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices要删除的注册表项目是wink_?.exe的键值。同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink_?.exe删除，注意还必须将回收站清

12、空。,清除方法,在Windows2000/XP系统下的清除。清除方法基本和Windows95/98/ME系统下的清除方法相同：先以安全模式启动计算机，运行注册表编辑工具，同样删除该网络蠕虫增加的键值：HKEY_LOCAL_MACHINESystemCurrentControlSetServices，要删除病毒增加的表项是：wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的)，然后在系统目录下将该文件删除。注意该文件是隐含的，您必须打开显示所有文件的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindow

13、sCurrentVersionRun。,红色代码,名称：Code Red 发现日期:2001/7/18别名：W32/Bady.worm2001年8月初，该病毒开始在我国互联网登陆并且迅速蔓延。这种集病毒、蠕虫、木马、黑客程序于一身的恶意代码，能主动搜索、感染和攻击安装IIS(一种微软的WEB服务器产品)系统的微软Windows 2000和NT操作系统，取得系统的控制权，进而泄漏系统中的文件并同时导致网络通信与网络信息服务的拥塞直至瘫痪。,病毒特征,该蠕虫感染运行Microsoft Index Server 2.0的系统，或是在Windows 2000、IIS中启用了Indexing Servi

14、ce(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播（未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变得不安全）。蠕虫只存在于内存中，并不向硬盘中拷贝文件。蠕虫的传播是通过TCP/IP协议和端口80，利用上述漏洞，蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区，蠕虫依次扫描WEB，以便能够感染其他的系统。一旦感染了当前的系统，蠕虫会检测硬盘中是否存在c:notworm，如果该文件存在，蠕虫将停止感染其他主机。,CodeRedII(红色代码II),Code Red蠕虫能够迅速传播，并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造

15、成的破坏主要是涂改网页,对网络上的其他服务器进行攻击，被攻击的服务器又可以继续攻击其他服务器。在2027日，向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于2001年7月19日首次爆发，7月31日该病毒再度爆发，但由于大多数计算机用户都提前安装了修补软件，所以该病毒第二次爆发的破坏程度明显减弱。 Code Red采用了一种叫做缓存区溢出的黑客技术，利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是WEB服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征：入侵IIS服务

16、器， Code Red会将WWW英文站点改写为“Hello! Welcome to www.W! Hacked by Chinese!”； 与其他病毒不同的是，Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其他的服务器。,预防方法,请尽快登陆微软网站下载相关补丁，为你的系统打补丁。,尼姆达,2001年9月18日出现一种破坏力较强的新型病毒尼姆达（W32.Nimda.Amm），它在互联网上开始蔓延，Worms.Nimda是一个新型蠕虫，也是一个病毒，它通过E-mail、共享网络资源、IIS服务器传播。同时它也是一个感染本地文

17、件的新型病毒。这个新型W32.Nimda.Amm蠕虫通过多种方式进行传播，几乎包括目前所有流行病毒的传播手段：通过E-mail将自己发送出去；搜索局域网内共享网络资源；将病毒文件复制到没有打补丁的微软（NT/2000）IIS服务器；感染本地文件和远程网络共享文件； 感染浏览的网页；,病毒特征,该蠕虫由JavaScript脚本语言编写，病毒体长度57,344字节，它修改在本地驱动器上的.htm, .html和 .asp文件。通过这个病毒，IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含。因此，不需要拆开或运行这个附件病毒就被执行。由于用户收

18、到带毒邮件时无法看到附件，这样给防范带来困难，病毒也更具隐蔽性。这个病毒降低系统资源，可能最后导致系统运行变慢最后宕机；它改变安全设置，在网络中共享被感染机器的硬盘，导致泄密；它不断地发送带毒邮件。,预 防,该微软漏洞补丁程序的下载地址在：http:/,清 除,如果用户硬盘装的系统是WINDOWS 98以下，也可使用干净DOS软盘启动机器；在SYSTEM.INI文件中将LOAD.EXE的文件改掉，如没有变，就不用改。正常的boot下的应该是shell=explorer.exe.必须修改该文件中的shell项目，否则清除病毒后，系统启动会提示有关load.exe的错误信息。为了预防该病毒在浏览该带毒信笺时可以自动执行的特点，必须下载微软的补丁程序。地址是：http:/ 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如/scripts等。对WINDOWS NT/2000系统，微软已经发布了一个安全补丁，可以从下列地址下载：http:/ 在WINDOWS的system目录下的文件riched20.dll将被删除，请从WINDOWS的安装盘上或在无毒机中拷贝一份干净的无病毒的该文件，否则，写字板和Office、Word等程序将不能正常运行。再将邮箱中的带毒邮件一一删除，否则又会重复感染。,