网站首页 全部信息          
□ 站 内 搜 索 □
请输入查询的字符串:


标题查询 内容查询

安全动态     
病毒预警     
解决方案     
WSUS服务     
专杀工具     
技术培训     

 
计算机病毒的分析与防范(2)
发布时间: 2013-6-20 14:58:34 被阅览数: 24 次 来源: 防病毒专栏
文字 〖 自动滚屏(右键暂停)

1.       基础知识——计算机病毒破坏行为

1)攻击系统数据区

2)干扰系统运行,使运行速度下降。

3)攻击文件

4)抢占系统资源

5)干扰I/O设备,篡改预定设置以及扰乱运行

6)导致系统性能下降

7)攻击存储器

8)破坏CMOS中的数据

9)破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。

2.       典型病毒举例

9.1蠕虫病毒——莫里斯

1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为蠕虫的电脑病毒送进了美国最大的电脑网络——互联网。

1988112下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。

冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。当感染了冲击波病毒的计算机中的冲击波病毒发作的时候,蠕虫病毒会给Windows2000WindowsXP系统带来非常不稳定、重新启动、死机等后果。

中了冲击波病毒,系统会出现一个提示框,指出由于远程过程调用(RPC)服务意外终止,Windows必须立即关闭。同时,消息框给出了一个倒计时,当倒计时完成时,计算机就将重新启动或者关闭

蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚,但是无论是传播的速度、传播范围还是破坏程度上都要比以往传统的病毒严重的多。

蠕虫病毒一般由两部分组成:一个主程序和一个引导程序。主程序的功能是搜索和扫描。它可以读取系统的公共配置文件,获得网络中的联网用户的信息,从而通过系统漏洞,将引导程序建立到远程计算机上。引导程序实际是蠕虫病毒主程序的一个副本,主程序和引导程序都具有自动重新定位的能力。

9.2蠕虫病毒的传播

利用微软的系统漏洞攻击计算机网络

利用电子邮件进行传播

蠕虫程序的工作流程

蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。

蠕虫程序进入被感染的系统,对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等

蠕虫程序生成多个副本,重复上述流程。

 

9.3蠕虫病毒的行为特征

自我繁殖:蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放(release)后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成。就自主性而言,这一点有别于通常的病毒。

利用软件漏洞:任何计算机系统都存在漏洞,这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。

造成网络拥塞:在扫描漏洞主机的过程中,蠕虫需要:判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在等等,这不可避免的会产生附加的网络数据流量。

消耗系统资源:蠕虫入侵到计算机系统之后,会在被感染的计算机上产生自己的多个副本,每个副本启动搜索程序寻找新的攻击目标。

留下安全隐患:大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后门。

9.4DOS病毒

DOS病毒是指针对DOS操作系统开发的病毒,它们是最早出现、数量最多、变种也最多的计算机病毒。由于Windows系统的普及,DOS病毒几乎绝迹

一部分DOS病毒可以在Win9x中进行传播和破坏,甚至在WindowsDOS窗口下运行。

毛毛虫病毒发作时在DOS系统的界面上。有一只毛毛虫不停的走动。毛毛虫经过的区域,屏幕上原来正常显示的内容被遮住了,同时DOS系统无法进行正常工作。

9.5引导型病毒

引导型病毒是指改写磁盘上的引导扇区信息的病毒。

引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区,在系统启动时,由于先行执行引导扇区上的引导程序,使得病毒加载到系统内存上。引导型病毒一般使用汇编语言编写,因此病毒程序很短,执行速度很快。

例如StoneBrainPingpangMonkey

小球病毒在系统启动后进入系统内存,执行过程中在屏幕上一直有一个小球不停的跳动,呈近似正弦曲线状。

9.6文件病毒

文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。

文件型病毒是数量最为庞大的一种病毒,它主要分为伴随型病毒、蠕虫型病毒和寄生型病毒几种。

例如CIH病毒、红色代码、蓝色代码。

9.7CIH

CIH病毒,又名切尔诺贝利,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了想纪念一下1986的灾难使反病毒软件公司难堪

CIH病毒很多人会闻之色变,因为CIH病毒是有史以来影响最大的病毒之一。

19986月,从台湾出现之后,CIH病毒引起了持续一年的恐慌,因为它本身具有巨大的破坏性,尤其它是第一个可以破坏某些电脑硬件的病毒。

CIH病毒只在每年的426发作,其主要破坏硬盘上的数据,并且破坏部分类型主板上的Flash BIOS,是一种既破坏软件又破坏硬件的恶性病毒。

当系统的时钟走到了426日这一天,中了CIH病毒的计算机将受到巨大的打击。病毒开始发作时,出现蓝屏现象,并且提示当前应用被终止,系统需要重新启动

当计算机被重新启动后,用户会发现自己计算机硬盘上的数据被全部删除了,甚至某些计算机使用者主板上Flash ROM中的BIOS数据被清除。

虽然CIH病毒感染的是Windows95Windows98可执行文件的病毒,其威胁已经几乎退出了历史舞台,但是CIH病毒给当时计算机界带来的影响是巨大的,而且由于其首次实现了对硬件的破坏,对人们的心里造成的危害也是无法估量的。

红色代码病毒是一种网络传播的文件型病毒。该病毒主要针对微软公司的Microsoft IIS和索引服务的Windows NT4.0以及Windows2000服务器中存在的技术漏洞进行对网站的攻击。

 

服务器受到感染的网站将被修改。如果是在英文系统下,红色代码病毒会继续修改网页;如果是在中文系统下,红色代码病毒会继续进行传播。

9.8宏病毒

宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传染的目的。

Word为例,一旦病毒宏侵入WORD,它就会替代原有的正常宏,如FileOpenFileSaveFileSaveAs FilePrint等等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。

宏病毒的表现现象

尝试保存文档时,Word只允许保存为文档模板

Word文档图标的外形类似文档模板图标而不是文档图标

在工具菜单上选择并单击后,程序没有反应

宏列表中出现新宏

打开Word文档或模板时显示异常消息

如果打开一个文档后没有进行修改,立即就有存盘操作

9.9 Word文档杀手病毒

Word文档杀手病毒通过网络进行传播,大小为53248字节。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档,并试图用自身覆盖找到的Word文档,达到传播的目的。

病毒将破坏原来文档的数据,而且会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被发送。

Word文档杀手病毒运行后,将在用户计算机中创建图中所示的文件。

 

sys文件创建好后,Word文档杀手病毒将在注册表中添加下列启动项:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] “Explorer”=“%SystemDir%\sys.exe” 。这样,在Windows启动时,病毒就可以自动执行了。

  病毒运行后,当用户试图打开Word文档,则出现下图所示的消息框。

9.10 “武汉男生俗称熊猫烧香

2007年李俊制作该病毒。它是一个感染型的蠕虫病毒,它能感染系统中execompifsrchtmlasp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

3.       病毒的防范

10.1 文件型病毒的防范

对文件型病毒的防范,一般采用以下一些方法:

安装最新版本、有实时监控文件系统功能的防病毒软件。

 

及时更新病毒引擎,一般每月至少更新一次,最好每周更新一次,并在有病毒突发事件时立即更新。

经常使用防毒软件对系统进行病毒检查。

对关键文件,如系统文件、重要数据等,在无毒环境下经常备份。

在不影响系统正常工作的情况下对系统文件设置最低的访问权限。

引导型病毒的防范

尽量避免使用软盘等移动设备保存和传递资料,如果需要使用,则应该先对软盘中的文件进行病毒的查杀。

软盘用完后应该从软驱中取出。

避免在软驱中存有软盘的情况下开机或者启动操作系统。

10.2 宏病毒的防范

对宏病毒进行防范可以采取如下几项措施:

提高宏的安全级别。目前的高版本的Word软件可以设置宏的安全级别,在不影响正常使用的情况下,应该选择较高的安全级别。

删除不知来路的宏定义。

Normal.dot模板进行备份,当被病毒感染后,使用备份模板进行覆盖。

如果怀疑外来文件含有宏病毒,可以使用写字板打开该文件,然后将文本粘贴到Word中,转换后的文档是不会含有宏的

10.3 蠕虫病毒的防范

针对蠕虫病毒传播方式的特点,对其进行防范需要以下的一些措施:

给计算机的账户设置比较复杂的密码,防止被蠕虫病毒破译。

购买主流的网络安全产品,并随时更新。

提高防杀病毒的意识,不要轻易点击陌生的站点。

不要随意查看陌生邮件,尤其是带有附件的邮件。

对于网络管理人员,尤其是邮件服务器的管理人员,需要经常检测网络流量,一旦发现流量猛增,有可能在网络中已经存在了蠕虫病毒。

 

上两条同类新闻:
  • 计算机病毒的分析与防范(1)
  • 木马病毒介绍

    		•

    防病毒专栏   联系电话:5551