2019计算机病毒事故紧急救援系统.ppt

具有混合攻击能力的计算机病毒 如图所示： 具有混合攻击能力的计算机病毒 其它注册表键值 该键值由病毒添加，目的是通过修改注册表使得每次用户打开 TXT 文件时，病毒即可 自动运行 注册表键值如下： HKEY_CLASSES_ROOT\txtfile\shell\open\command @ C:\WINDOWS\NOTEPAD.EXE %1 winrpc.exe %1 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command @ C:\WINDOWS\NOTEPAD.EXE %1 winrpc.exe %1 具有混合攻击能力的计算机病毒 INI 文件 病毒会通过修改 Win.ini 文件的方式，使得自己可以自动运行 具有混合攻击能力的计算机病毒 网络传播 . – 病毒会通过网络共享将自身复制到具有读写权限的网络共享文件夹中 具有混合攻击能力的计算机病毒 感染后的其它特征： 在命令行模式下，运行 NETSTAT – A ，可观察到 10168 端口已 经被打开 MSBlaster.A - Details 病毒详细描述 自启动技术以及常驻内存检验 ? 在运行时，该蠕虫会在注册表中建立如下自启动项目 以使得系统启动时自身能得到执行： ? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\Run, Windows auto update = MSBLAST.EXE ? 然后检查自身是否已常驻内存，如果已在内存中运行 ，则停止继续运行。 ? 如果继续运行，则检查当前计算机是否有可用的网络 连接。如果没有连接，则休眠 10 秒然后再次检查 Internet 连接。该过程一直持续到一个 Internet 连接 被建立。 MSBlaster.A - Details 病毒详细描述 分布式拒绝服务攻击 在 Internet 连接建立的情况下，蠕虫开始检查系统日期，在满 足下列日期的情况下蠕虫发送对 的分 布式拒绝服务攻击 : 以下月份的 16 日至 31 日 : 一月 二月 三月 4 月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后，蠕虫开始尝试连接至其他目标系统的 135 端口。 MSBlaster.A - Details 病毒详细描述 A 变种 - 经 UPX 压缩 - 使用 MSBLAST.EXE 作为生成的文件名称 - 使用 睜湩潤獷愠瑵?灵慤整 作为注册表自启动项目名称 - 包含下列字符串 I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 2. .B 变种 - .A 变种的解压缩版本 - 使用 PENIS32.EXE 作为生成的文件名称 3. .C 变种 经 FSG 压缩 使用 teekids.exe 作为文件名称 使用 ?捩潲潳瑦?敮?灘 作为注册表自启动项目名称 包含下列字符串 Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock MSBlaster.A - Details 病毒详细描述 分布式拒绝服务攻击 在 Internet 连接建立的情况下，蠕虫开始检查系统日期，在满 足下列日期的情况下蠕虫发送对 的分 布式拒绝服务攻击 : 以下月份的 16 日至 31 日 : 一月 二月 三月 4 月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后，蠕虫开始尝试连接至其他目标系统的 135 端口。 内容介绍 趋势科技 EPS II 解决方案 利用趋势科技 EPS II 解决方案建立计算机病毒应 急救援中心 EPSII 解决方案 Outbreak Lifecycle Timeline Declared Yellow/Red Alert Au