【正文】 計算機病毒的危害性 5. 計算機病毒分析 ★ 6. 其他惡意程序 A 計算機病毒的危害性 1. 攻擊系統(tǒng)數(shù)據(jù)區(qū) 攻擊部位包括硬盤主引導(dǎo)扇區(qū) 、 Boot扇區(qū) 、 FAT表 、 文件目錄 2. 攻擊文件 刪除 、 改名 、 替換內(nèi)容 、 丟失簇和對文件加密等 3. 攻擊內(nèi)存 內(nèi)存是計算機的重要資源 ， 也是病毒攻擊的重要目標(biāo) A 計算機病毒的危害性 4. 干擾系統(tǒng)運行 ， 使運行速度下降 如不執(zhí)行命令 、 打不開文件 干擾內(nèi)部命令的執(zhí)行 、 擾亂串并接口 、 虛假報警 、 強制游戲 內(nèi)部棧溢出 、 重啟動 、 死機 病毒激活時 ， 系統(tǒng)時間延遲程序啟動 ， 在時鐘中納入循環(huán)計數(shù) ，迫使計算機空轉(zhuǎn) ， 運行速度明顯下降 5. 干擾鍵盤 、 喇叭或屏幕 ， 適用戶無法正常操作 響鈴 、 封鎖鍵盤 、 換字 、 抹掉緩存區(qū)字符 、 輸入紊亂等 。 現(xiàn)在通過 Email、 3W的互聯(lián)能力及宏語言的進一步強化 ， 極大地增強了它的傳播能力 A ④宏病毒分析 ?宏病毒 傳染機理： 利用處理的文件可以內(nèi)嵌宏的功能 傳染目標(biāo)： doc、 dot、 xls、 ppt、 mdb等文件 （ Win） 傳染途徑： 各種存儲介質(zhì) 、 網(wǎng)絡(luò) 、 電子郵件 防治辦法 ? 使用具有實時監(jiān)控功能的殺毒軟件 ? 打開系統(tǒng)提供的宏保護功能 典型病毒 ? “七月殺手”病毒、“美麗莎”病毒 A ④宏病毒分析 ? 宏病毒 —— 工作機理 有毒文件 .doc 激活 autoopen宏 寫入 無毒文件 .doc 啟動 激活病毒 A ⑤蠕蟲病毒分析 ? 蠕蟲病毒 一個獨立的計算機程序 ， 不需要宿主 自我復(fù)制 ， 自主傳播 （ Mobile） 占用系統(tǒng)或網(wǎng)絡(luò)資源 、 破壞其他程序 不偽裝成其他程序 ， 靠自主傳播 ? 利用系統(tǒng)漏洞； ? 利用電子郵件（無需用戶參與） A ⑤蠕蟲病毒分析 ?蠕蟲病毒 傳染機理： 利用系統(tǒng)或服務(wù)的漏洞 傳染目標(biāo)： 操作系統(tǒng)或應(yīng)用服務(wù) 傳染途徑： 網(wǎng)絡(luò) 、 電子郵件 防治辦法 ? 使用具有實時監(jiān)控功能的殺毒軟件 ? 不要輕易打開郵件附件 ? 打最新補丁，更新系統(tǒng) 典型病毒 ? RedCode，尼姆達、沖擊波等 A ⑤蠕蟲病毒分析 ? 實例： 莫爾斯蠕蟲事件 發(fā)生于 1988年 ， 當(dāng)時導(dǎo)致大約 3000臺機器癱瘓 主要的攻擊方法 ? Rsh， rexec：用戶的缺省認(rèn)證 ? Sendmail 的 debug模式 ? Fingerd的緩沖區(qū)溢出 ? 口令猜測 A ⑤蠕蟲病毒分析 ? 實例 —— RedCode 是一種結(jié)合了病毒 、 木馬 、 DDOS機制的蠕蟲 2021年 7月中旬 ， 在美國等地大規(guī)模蔓延； 2021年 8月初 ， 出現(xiàn)變種 codered II， 針對中文版 windows系統(tǒng) ， 國內(nèi)大規(guī)模蔓延 特點： ? 通過 80端口傳播 ? 只存在于網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過文件載體 ? 利用 IIS緩沖區(qū)溢出漏洞（ 2021年 6月 18日發(fā)布） A ⑤蠕蟲病毒分析 ? 實例 —— RedCode I 主要影響 Windows NT系統(tǒng)和 Windows 2021 ? 主要影響國外網(wǎng)絡(luò) ? 據(jù) CERT統(tǒng)計，感染超過 25萬臺 主要行為 ? 利用 IIS 的 Index服務(wù)的緩沖區(qū)溢出缺陷進入系統(tǒng) ? 檢查 c:\notworm文件是否存在以判斷是否感染 ? 中文保護（是中文 windows就不修改主頁） ? 攻擊白宮！ A ⑥特洛伊木馬分析 ? 特洛伊木馬程序 名字來源：古希臘故事 通過 偽裝 成其他程序 、 有意隱藏自己惡意行為的程序 ， 通常留下一個遠程控制的 后門 沒有自我復(fù)制的功能 非自主傳播 ? 用戶主動發(fā)送給其他人 ? 放到網(wǎng)站上由用戶下載 A ⑥特洛伊木馬分析 ? 特洛伊木馬程序 傳播途徑 ? 通過網(wǎng)絡(luò)下載、電子郵件 防治辦法 ? 使用具有實時監(jiān)控功能的殺毒軟件 ? 不要輕易打開郵件附件 ?