【文章內容簡介】 蟲病毒，目前已經有 100多個變種。網絡天空病毒家族的特性都差不多，病毒運行時會將自身隱藏在系統(tǒng)目錄，刪除一些反病毒軟件的注冊表項，使它們無法正常工作，病毒發(fā)作時，會產生大量的垃圾郵件，并在傳播的過程中阻塞網絡，造成用戶上網速度變慢。 幾個病毒實例 41/50 6. “灰鴿子”病毒 灰鴿子是國內一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。 幾個病毒實例 42/50 幾個病毒實例 7. “威金（ ）” 病毒為 Windows平臺下集成可執(zhí)行文件感染、網絡感染、下載網絡木馬或其它病毒的復合型病毒，病毒運行后將自身偽裝成系統(tǒng)正常文件，以迷惑用戶，通過修改注冊表項使病毒開機時可以自動運行，同時病毒通過線程注入技術繞過防火墻的監(jiān)視，連接到病毒作者指定的網站下載特定的木馬或其它病毒，同時病毒運行后枚舉內網的所有可用共享，并嘗試通過弱口令方式連接感染目標計算機。運行過程過感染用戶機器上的可執(zhí)行文件，造成用戶機器運行速度變慢，破壞用戶機器的可執(zhí)行文件，給用戶安全性構成危害。病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。 43/50 44/50 ?反病毒軟件的掃描法 這恐怕是絕大數(shù)人首選，也恐怕是唯一的選擇，現(xiàn)在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟件開發(fā)商帶來挑戰(zhàn)。但隨著計算機程序開發(fā)語言的技術性提高、計算機網絡越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件產品也是越來越多了。 45/50 ?觀察網絡連接發(fā)包數(shù)量 這一方法一般用在發(fā)現(xiàn)是否中了蠕蟲病毒 ,如網絡連接的數(shù)據(jù)包 發(fā)送 比 接收 多了一倍以上 ,則計算機發(fā)包異常 46/50 ?注冊表觀察法 這類方法一般適用于近來出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的，一般是在如下幾個地方實現(xiàn)： [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion 47/50 ?系統(tǒng)配置文件觀察法 這類方法一般也是適用于黑客類程序，這類病毒一般在隱藏在 、 （ Win9x/WinME）和啟動組中，在 件中有一個 shell=項，而在 load= 、 run= 項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行 Win9x/WinME中的。 48/50 ? 查看任務管理器中是否有可疑進程 ,如占用內存或CPU資源比較大的進程 . 常用工具 IceSword Procexp86 卡卡助手 49/50 50/50 Sniffer網絡分析案例 蠕蟲病毒流量分析 ? 環(huán)境介紹 －－－對某網絡系統(tǒng)中廣域網部分的日常流量分析，我們在其廣域網鏈路上采用 Sniffer進行流量捕獲，并把產生流量最多的協(xié)議 HTTP協(xié)議的網絡流量過濾出來加以分析，分析過程及結果如下。 51/50 Sniffer網絡分析案例 ?分析的第一步，找出產生網絡流量最大的主機，產生網絡流量越大，對網絡造成的影響越重 ?Sniffer的 Host Table 52/50 Sniffer網絡分析案例 同樣，我們可以發(fā)現(xiàn)，如下 IP地址存在同樣的問題： IP地址 發(fā)包數(shù)量 收包數(shù)量 300 0 243 30 221 0 189 0 147 0 129 4 109 13 109 0 53/50 分析這些主機的網絡流量 首先我們對 IP地址為 絡流量進行過濾，然后查看其網絡流量的流向，下面是用 Sniffer的 Matrix看到的其發(fā)包目標。 Sniffer網絡分析案例 54/50 通過 Sniffer的解碼（ Decode）功能，我們來了解這臺主機向外發(fā)出的數(shù)據(jù)包的內容，如圖。 Sniffer網絡分析案例 55/50 通過以上的分析，我們能夠非?？隙ǖ臄喽ǎ?IP地址為 異常網絡流量。該主機發(fā)出的網絡流量是某種軟件自動發(fā)出的，很可能是感染了某種采用 HTTP協(xié)議傳播的病毒，不斷在網絡中尋找 HTTP服務器，從而進行傳播。 Sniffer網絡分析案例 56/50 常見病毒的傳播方式及防范建議 57/50 流行病毒傳播方式 ?通過郵件附件傳播病毒 ， 如 Happy99等郵件病毒； ?通過無口令或者弱口令共享傳播病毒，如 Nimda、Mumu、 Lovegate等； ?利用操作系統(tǒng)或者應用系統(tǒng)漏洞傳播口令，如沖擊波蠕蟲、 Sqlslammer蠕蟲等。 ?通過優(yōu)盤或者軟盤引導區(qū)傳播的病毒 58/50 針對利用系統(tǒng)漏洞傳播的病毒防范建議 ?目前通過系統(tǒng)漏洞傳播的病毒的危害最嚴重。這種病毒是目前防毒廠商比較難于處理的。一方面，傳統(tǒng)防毒廠商對系統(tǒng)漏洞的研究不夠深入，往往不能及時地拿出全面的根本解決方案；另一方面，這種病毒的傳播速度很快，對網絡負載也有較大的影響，使得網絡防毒產品也無法及時進行更新。 59/50 針對利用系統(tǒng)漏洞傳播的病毒防范建議 ?日常工作中，強制要求配置 Windows Update自動升級（僅對 Windows 2022/XP、且能夠與互聯(lián)網聯(lián)通的系統(tǒng)有效） ?日常工作中，定期通過漏洞掃描產品查找存在漏洞的主機（但是部分漏洞無法通過這種方式進行確定），對發(fā)現(xiàn)存在漏洞的用戶，要求定時升級，否則進行斷網或者記錄。 60/50 通過共享和弱口令傳播的病毒防范建議 ?嚴格來說，通過共享和弱口令傳播的蠕蟲大多也利用了系統(tǒng)漏洞。這類病毒會搜索網絡上的開放共享并復制病毒文件，更進一步的蠕蟲還自帶了口令猜測的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對于采用這種方式傳播的病毒，需要技術和管理手段并行的方式進行。 61/50 通過共享和弱口令傳播的病毒防范建議 ?定期對網絡中的登錄口令進行破解嘗試，可以使用一些免費工具進行檢查，發(fā)現(xiàn)可能存在的弱口令。存在弱口令的主機必須及時通知使用者修改，未及時關閉者將限制網絡訪問。 工具 Xscan 62/50 63/50 “美女游戲 .exe”病毒處理方法 『 故障現(xiàn)象 』 計算機感染了此類病毒后，瑞星殺毒軟件、瑞星防火墻軟件、瑞星卡卡上網安全助手等都無法使用。并且此病毒禁用了注冊表編輯器和系統(tǒng)配置實用程序等命令，同時還會修改系統(tǒng) Hosts文件，使計算機無法訪問反病毒網站，并且導致用戶無法升級殺毒軟件。瑞星命名該病毒為 .*（其中 *為變種名稱）。 64/50 【 中毒癥狀 】 可能存在下面一種或多種癥狀： 無法打開瑞星主程序、瑞星監(jiān)控，無法升級； 部分與瑞星相關的網頁無法打開，如產品升級頁面、用戶注冊頁面、卡卡安全助手頁面等等，提示“無法顯