第四讲-恶意代码.pptVIP

发展趋势 逐渐融合了各种病毒、蠕虫、木马 的技术和特点，无处不在，危害特 别巨大。 其会变得越来越普遍，越来越复杂。 功能越来越就有针对性和目的性。 自我隐藏技术则会越来越先进。 防范恶意代码 安装反病毒软件和防火墙 安装杀毒软件，更新病毒库 及时更新系统补丁、病毒库 对系统关键程序（如cmd.exe）作权限保护 不访问恶意网站 不运行来历不明文件（包括数据文件） 清除异常系统启动项与系统目录异常文件 防范恶意代码 为系统设置系统密码 关注异常进程、端口、服务、网络流量… 离开计算机时锁定计算机 定期备份与还原系统 不从不知名网站下载软件 关注系统启动项和系统目录中的可执行文件 移动存储设备的可写开关,养成安全的移动存储设备使用习惯 * * * * * 电子邮件病毒 电子邮件病毒是一种最近发展起来的恶意软件。 第一个广泛传播的电子邮件病毒是 Melissa病毒，它利用 Microsoft Word 的宏，嵌入到电子邮件的附件中。 如果收件人打开该附件，就会激活Word的宏。 之后： 1, 电子邮件病毒搜寻用户通讯录中的邮件列表，并将自身发送到邮件列表上的每一个邮箱中。 2. 病毒在本地进行一些破坏性操作。 * 电子邮件病毒 1999年底，互联网上出现了一种更为强大的电子邮件病毒。 只要用户打开含有这种病毒的电子邮件，就会激活该病毒，而不再等到打开附件之后。 这种病毒使用的电子邮件数据包支持的 Visual Basic脚本语言。 2.1 计算机病毒（续） 病毒发作现状？ 瑞星公司的统计、研究表明，目前“病毒的互联网化”趋势 已经非常明显，由于各种流行软件、浏览器插件、网站 的漏洞层出不穷，盗号木马数量暴增，由病毒产业链带 来的黑色利润惊人，木马盗号、挂马网站越来越猖獗， 传统杀毒软件已无法应对严峻的安全形势。 由于黑客产业链条的完善，其规模和效率大大提升。从 统计数据来看，2008年1月至10月，瑞星公司共截获新 病毒样本930余万个，其中绝大部分776万是盗号木马、 后门程序，专门窃取网游账号、网银帐号等虚拟财产， 具有极其明显的经济利益特征。 2.1 计算机病毒（续） 曾经出现的典型病毒？ CIH、美丽莎、爱虫、求职信、中国黑客、爱 情之门、熊猫烧香、AV终结者、机器狗、磁碟 机… 几种典型的计算机病毒 Internet的广泛应用，激发了病毒的活力。病 毒通过网络的快速传播和破坏，为世界带来了一次 一次的巨大灾难。 1998年2月，台湾省的陈盈豪，编写出了破坏性极 大的恶性病毒CIH-1.2版，并定于每年的4月26日 发作破坏 CIH介绍 陈盈豪：当时台湾的 一个大学生 1998年2月，1.2版 1998年4月26日，台 湾少量发作 1999年4月26日，全 球发作 破坏主板BIOS CIH特点 通过网络（软件下载）传播 全球有超过6000万台的机器被感染 第一个能够破坏计算机硬件的病毒 全球直接经济损失超过10亿美元 “美丽莎” 介绍 1999年2月，“美丽莎”病 毒席卷了整个欧美大陆 大卫.史密斯，美国新泽西 州工程师 在16小时内席卷全球互联 网 至少造成10亿美元的损 失！ 通过email传播 传播规模（50的n次方，n 为传播的次数） 爱虫病毒 2000年5月，在欧美又爆发了“爱虫”网络病 毒，造成了比“美丽莎”病毒破坏性更大的经 济损失。这个病毒属于vbs脚本病毒，可以 通过html，irc，email进行大量的传播。 爱虫病毒介绍 菲律宾“AMA”电脑大学 计算机系的学生 一个星期内就传遍5大 洲 微软、Intel等在内的 大型企业网络系统瘫 痪 全球经济损失达几十 亿美元 求职信病毒特征 “求职信”系列变种病毒利用微软系统的漏洞，可 以自动感染，无须打开附件，因此危害性很大。 可以“随机应变”地自动改换不同的邮件主题和内 容。 能够绕开一些流行杀毒软件的监控，甚至专门针 对一些杀毒软件进行攻击。 “中国黑客”介绍 2002年6月6日，“中国黑客”病毒出现，它发明 了全球首创的“三线程”技术。 病毒进程： 主线程： 执行病毒主体功能 分线程1： 监视注册表启动键值，一旦被修改则写回 外部进程： 分线程2： 远程线程，用于保护病毒进程，一旦被中止则重新启动 病毒出现如下趋势和共性 重自我复制而轻感染 实现自我启动（添加系统服务，修改注册表） 利用可移动磁盘进行传播 通过IM传播 盗取各种密码 可下载远程木马、后门执行 以获取经济利益为目的 加壳、免杀技术得到广泛应用 … 病毒传播手段多元化，网站、U盘等成为 新渠道 关于病毒升级 反病毒软件病毒库更新 VS 计算机病毒自身升级更新 病毒的传播途径 病毒的存在形式 静态存储： 寄生在可执行文件中 单独文件（exe,scr