计算机病毒分析与防范宣传手册Word格式文档下载.docx
《计算机病毒分析与防范宣传手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《计算机病毒分析与防范宣传手册Word格式文档下载.docx(17页珍藏版)》请在冰点文库上搜索。
2.利益驱动
网络黑客们通过技术手段将企业或个人的机密数据加密、删除,然后鼓吹只有黑客自己才能解密、恢复数据。
黑客们通过向受害者索要高额数据恢复费用的方式进行非法牟利。
这种病毒的危险程度最高。
因为黑客们由于利益驱动,都会使用最新的技术漏洞来编写他们的恶意代码。
由于杀毒软件病毒码总是慢一步,在各种防病毒软件杀毒码能识别这些病毒、木马之前,这些黑客已经得手了。
3.恶作剧
某些精通计算机技术的人为了炫耀自己的高超技术和智慧,凭借对软硬件的深入了解,编制一些特殊的程序,大多表现为播放一段音乐,显示一些动画,或在WORD文档打开时提一些智力问题等。
这类病毒传染性、破坏性都不高,但是也比较影响计算机正常的运行状态,如果源代码被别有用心的人利用,也会造成比较坏的影响。
4.用于特殊目的
某组织或个人为达到特殊目的,对政府机构、单位的特殊系统进行暗中破坏,窃取机密文件或数据。
二、病毒的分类
计算机病毒按破坏程度的大小可分为良性病毒和恶性病毒;
按传染的对象可分为引导型病毒、文件型病毒、复合型病毒和宏病毒;
按病毒所依赖的操作系统,可分为DOS病毒、Windows病毒、UNIX病毒和Linux病毒等;
按病毒的传媒可分为引导区病毒和网络病毒。
然而,目前最常用的一种分类方式是按病毒的感染传播特性划分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、破坏性程序和网页脚本病毒等。
(一)系统病毒
这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,通常主要感染Windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。
由于感染了操作系统,病毒在运行时,会用自己的程序片断取代操作系统的合法程序模块,并根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统进行破坏,甚至导致整个系统瘫痪。
CIH病毒就属于此类病毒。
(二)蠕虫病毒
这种病毒是一种通过网络或系统漏洞传播的恶性病毒,它除了具有一般病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(只存在于内存中),对网络造成拒绝服务,并与黑客技术相结合等。
蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,使用户不能通过网络进行正常的工作。
有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,而且这类的病毒往往会频繁大量的出现变种,一旦中毒往往会造成数据丢失、个人信息失窃、网络或系统运行异常等。
目前该类病毒主要的传播途径有电子邮件、系统漏洞、聊天软件等。
如“尼姆达”病毒、“冲击波”、“震荡波”等都属于蠕虫病毒。
(三)特洛伊木马
特洛伊木马通常也被认为是通过网络传播的一种病毒。
其特征主要是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,它一般具有一个可视化的用户界面,能对用户的电脑进行远程控制。
木马和黑客病毒往往是成对出现的,通常木马病毒负责侵入用户的电脑,而黑客病毒则通过该木马病毒来进行控制,以窃取用户的游戏账户、银行账户和信用卡、股票账户、个人通信及各种密码等方面信息。
如“QQ狩猎者”、“传奇窃贼”、“网游大盗”、“网银大盗”、“网络袅雄”、“黄金甲”等。
(四)破坏性程序病毒
这类病毒往往寄生于可执行程序之中,通过诱惑用户点击的方式来触发病毒代码的运行,这类病毒的运行会直接对用户计算机产生较大的破坏。
如格式化C盘、熊猫烧香等病毒都属于此类病毒。
(五)网页脚本病毒
脚本病毒依赖一种特殊的脚本语言(如VBScript、JavaScript等)起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。
脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行,它是主要通过网页进行传播的病毒。
脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒的机器可以有更多的控制力。
如红色代码(Script.Redlof)、欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
三、技术分析
(一)病毒的特点
1.感染性
感染性是病毒的根本属性,病毒具有把自身复制到其它程序中的特性。
在适当的条件下,计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
病毒一旦进入计算机并执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机染毒,如不及时处理,那么病毒就会在这台机器上迅速扩散,计算机中的大量文件会被感染、破坏甚至删除,与此同时,被感染的文件又成了新的传染源,在与其他机器进行通信或网络接触时,病毒再继续进行传染,感染并破坏它所能接触到的所有机器、这样的感染最终会形成一个恶性循环,并造成极坏的影响。
2.潜伏性
潜伏性是指病毒具有依附于其他媒体的寄生能力。
病毒通过修改其他程序而把自身的复制品嵌入到其他程序或磁盘的引导区寄生。
大多数病毒都采用特殊的隐藏技术,进入系统之后一般不会马上发作,而是等待特定的时间或者指令才发作。
例如有些病毒感染程序时会将原程序压缩,并嵌入病毒程序。
它可以在几周或者几个月内甚至几年内隐藏在合法文件中,一旦时机成熟,得到运行机会,就可以四处繁殖、扩散,继续为害,对其他系统进行传染,而不被人发现。
潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
3.可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;
如果不满足,使病毒继续潜伏。
4.破坏性
所有的计算机病毒都是一种存在破坏威胁的可执行程序。
对系统来说,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。
如果病毒设计的目的在于彻底破坏系统的正常运行的话,那么这种病毒对计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。
在特定的情况下,病毒甚至可以产生极其恶劣的破坏作用,它可以直接破坏你的硬件,让设备彻底报废,计算机所有的数据也会荡然无存。
5.衍生性
分析计算机病毒的结构可知,传染的破坏部分反映了设计者的目的。
但是,这可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种),这就是计算机病毒的衍生性。
这种特性为一些好事者提供了一种创造新病毒的捷径。
(二)计算机的易感文件
1.用户浏览器
根据国家计算机病毒应急处理中心每年发布的《全国信息网络安全状况与计算机和移动终端病毒疫情调查》来看,每年感染病毒的计算机设备中67%是由于浏览器访问网页时感染的,浏览器仍然是病毒、木马攻击计算机的最主要入口。
作为用户来说,浏览器是计算机与网络沟通的主要手段。
虽然用户没有鉴别网页是否被挂马,网页是否被重定向等专业判断的能力,但是作为普通用户可以做到的是,在访问网页之前确认正确的网址,添加到收藏夹,定期向上级业务人员询问、检查业务网址是否有变更,有变更后及时更新收藏夹网址,做到不用内网访问可信度低的各种网站等。
正规网站是由专业人员维护的,只要能保证我们访问网址的正确性,计算机感染病毒的可能性就会大大的降低。
2.用户程序
病毒的这种传染方式是病毒以链接的方式对应用程序进行传染。
这种病毒在一个受传染的应用程序执行时获得控制权,同时扫描计算机系统在硬盘或软盘上的另外的应用程序,若发现这些程序时,就链接在应用程序中,完成传染,返回正常的应用程序并继续执行。
这种病毒最常出现的情况是用户在网上下载了非官方发布的应用程序,这种非官方发布的或者是被破解过的程序经常存在被植入病毒、后门的情况,一旦程序被安装,病毒就会获得系统的管理员权限,然后通过各种后门、端口下载病毒、木马代码,并进一步窃取用户数据或者破坏用户数据。
用户在下载安装应用程序时,要谨慎谨慎再谨慎。
如果要下载设备驱动,请到设备的官方网站下载。
考虑到省内的软件使用需求,我们搭建了FTP文件下载服务器,专门用于常用软件下载,常见软件均可从服务器上下载。
下载地址为http:
//10.74.1.250:
1234如果你所需软件不在文件服务器上,可以联系省中心信息局,信息局可以协助下载官方版软件使用。
3.感染操作系统文件
病毒的这种传染方式是通过与操作系统中所有的模块或程序链接来进行传染。
由于操作系统的某些程序是在系统启动过程中调入内存的,所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存。
由于操作系统管理员级别才是计算机管理的最高权限,病毒感染的首选目标自然是各种系统文件,只有感染了系统文件,病毒才能有权限自我复制、传播。
所以在日常计算机配置当中,尽量少的允许程序更改系统文件夹下的东西,尤其是c:
/windows。
尽量避免操作这个文件夹里面的内容。
不给病毒感染留机会。
4.感染磁盘引导扇区
这种病毒的传染方式,实质上是利用引导区进行传染的病毒。
这种病毒是在系统启动的时候进入内存中,并取得控制权,在系统运时监视着系统中使用的新磁盘。
当一片新的磁盘插入系统进行第一次读写时,病毒就将其传输出该盘的零扇区中,而后将传染下一个使用该盘的系统。
通过U盘对传播是这种病毒传染的主要途径。
对付这种病毒的最好方法是及时升级计算机杀毒软件的病毒库,如果长期不升级病毒库,对最新的病毒就会失去免疫力,当你把U盘插入已感染病毒的计算机上时,病毒就会感染U盘,这时你的U盘就变成了传染源,插到哪台机器,哪台机器就会感染病毒。
全省之所以要求省内信息网全部封闭U口,就是为了防范这种类型的病毒,因为很多终端配置较低,安装杀毒软后会运行卡顿,所以未安装杀毒软件,导致计算机对这类病毒免疫力极低,为避免这里病毒传播,如果有文件拷贝需求,请使用内外网传输工具进行拷贝。
(三)病毒入侵计算机的方式
计算机系统的脆弱性,为计算机病毒的产生和传播提供了机会;
互联网的迅速发展,为计算机病毒创造了实施的空间;
新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。
计算机系统的组成部分、接口界面、第三方工具条、BHO插件、ActiveX对象等,都存在着不少漏洞和薄弱环节,使得计算机病毒侵入成为可能。
从技术分析来看,病毒注入主要有以下五种方式:
1.无线入侵
主要是通过无线通信把病毒码部署到无线系统中,以完成潜伏或直接作用。
所以在连接无线WiFi的时候,一定要注意WiFi的名字是不是你要连的,很多人习惯于WiFi一直打开,自动连接。
如果有人故意架设不加密WiFi,然后在WiFi系统内部架设恶意软件,很容易就能获取你的各种密码以及聊天消息。
所以连接无线一定要注意。
2.有线入侵
主要通过网络的途径注入。
由于网络的广域连接性,使得病毒有机可乘。
3.固化注入方式
这种方式十分隐蔽,是把病毒事先装入硬件和软件中,使病毒直接传染给对方系统,在需要时将其激活,从而达到攻击目的。
这就是说你在下载软件时候,一定(QQ、微信、360等等)要从官方网站或者正规的软件站来下载,避免下载到被改写过的程序。
4.后门攻击
计算机要访问网络必然要通过各种端口进行通信,这也算是计算机安全系统中的一个小洞,允许知道其存在的人绕过正常安全防护措施进入系统,计算机入侵者常常通过后门进行攻击。
5.数据控制链侵入
随着互联网技术的广泛应用,也使计算机病毒通过计算机系统的数据控制链侵入成为可能。
使用远程修改技术,可以很容易地改变数据控制链的正常路径。
四、病毒危害的表现
1、病毒激发对计算机数据信息的直接破坏作用
大部分病毒在激发的时候直接破坏计算机的重要信息数据,格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。
2、占用磁盘空间和对信息的破坏
寄生在磁盘上的病毒总要非法占用一部分磁盘空间。
一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。
而且被覆盖的扇区数据永久性丢失,无法恢复。
3、抢占系统资源,影响计算机运行速度
大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。
病毒抢占内存,导致内存减少,软件能用的内存就会减少,导致不能运行。
除占用内存外,病毒还抢占CPU,干扰系统运行。
4、计算机病毒的兼容性对系统运行的影响
兼容性是计算机软件的一项重要指标,病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。
五、病毒感染案例
案例一、勒索病毒事件
案例回顾:
2017年5月12日下午,一场大规模、全球性的计算机病毒事件悄然来到了。
安全公司开始不断接到用户求救电话,用户的计算机不能开机,无法正常工作。
而且越来越多的用户已经开始遭受计算机病毒袭击,受害者电脑会被黑客锁定,计算机屏幕会弹出提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁的弹窗。
在一些遭受攻击的医院里,手术被迫取消,可能导致病人无辜死去。
电脑被加密锁闭,银行的ATM提款机“罢工”了,加油站的电脑“停业”了,学校即将答辩学生的论文被加密了,机场预告飞机到达的屏幕“红屏”了,出入境大厅的计算机“休息”了,车管所服务大厅贴出了故障的告示…
经事后统计发现,此次勒索病毒发作十分迅速,据了解,在病毒发作5个小时内,包括英国、俄罗斯,甚至整个欧洲在内诸多国家以及我国多个高校校内网、大型企业内网和政府机构专网接连中招,两天后病毒已蔓延到150多个国家、上千家企业及公共组织。
病毒爆发一天内,全世界各大安全厂商立即投入资源开始研发各种防范工具,病毒爆发三天后,已经有30万台电脑感染病毒,与此同时在各大安全厂商和政府机构共同努力下,病毒才开始止住疯狂蔓延的趋势,一个星期之后,病毒的威胁才开始减轻。
据推算,高峰期时的病毒每小时能够感染3600台电脑,大约每秒一台。
案例分析:
后来经过对病毒的分析验证发现,此病毒最早来源于NSA,美国国家安全局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。
NSA开发了很多的网络武器,此次的勒索病毒就是来源于从NSA泄露的许多代码中的一部分,病毒编写者通过改造。
升级代码制作出了勒索病毒。
在此之前,大多数病毒需要诱导用户主动点击附有病毒代码的附件,或者是相关链接才能中招,勒索病毒的可怕之处是,无需用户做任何操作,只要你开放445文件共享端口的Windows设备处于开机上网状态,它就可以在同一个网络的计算机之间传播并且进行复制,形成链条式的传播扩散,病毒就能在电脑和服务器中植入勒索软件、远程控制、虚拟货币挖矿机等恶意程序。
更为麻烦的是,以往的病毒,多数是阻塞网络,蓝屏死机,无非就是给添乱而已;
这次是加密文件,拿钱来换。
不给钱,安全厂家们好像无解;
给钱,对方是谁在哪里都不知道,钱给出去了,就一定能解吗?
虽然病毒操作者们说得信誓旦旦,却基本上是听天由命。
案例总结:
此次勒索病毒的突出特点一是传染性大,在用户不做任何操作的情况下病毒都能自行传播。
二是传播速度极快,能达到每秒一台的速度。
从处理结果来看,我省信息网内网并没有发生勒索病毒爆发事件。
总结来看,主要是因为我省内网外网分离,病毒没有直接渠道感染到内网中来。
给我们升级杀毒软件和免疫手段争取了时间。
再者是由于我省部署了统一的杀毒软件,并要求软件必须保持实时在线。
据反映省内很多石油石化加油站其实也部署了杀毒软件,但由于软件不在线,升级不了病毒库,杀毒软件就成了摆设,计算机设备就成了勒索病毒的牺牲品。
案例二某国央行巨款网络盗窃案
2016年2月孟加拉国中央银行在美国纽约联邦储备银行开设的账户在2月遭黑客攻击,失窃8100万美元。
孟加拉国央行怀疑,黑客成功入侵该国央行的一台打印机,并植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。
孟加拉国警方针对此案启动刑事调查,据孟加拉国和菲律宾方面调查,赃款已经流入菲律宾境内赌场。
经事后案情还原发现,黑客在试图入侵该国央行系统时,并未发现可入侵漏洞,后来无意间发现该行内网一台打印机开启了共享,随后黑客成功入侵该打印机,继而成功入侵系统并成功提权。
银行员工2月5日发现一台用于自动打印电汇记录的打印机发生“故障”,而且前一天的交易记录也没有打印,于是尝试手动打印,却失败了。
当天是周五,孟加拉国双休日的第一天,其他员工稍后决定等到第二天再修。
技术人员直到2月6日才修好那台打印机,而纽约联邦储备银行2月5日已就4笔可疑转账来函询问,却无法及时打印。
信息传递系统不正常后,孟加拉国央行2月6日试图通过电子邮件、传真和电话联系纽约方面,要求中止交易。
然而,他们没能联系上纽约方面,因为当天是周六,纽约那边休息。
央行高级官员祖拜尔·
本·
胡达在报告中说:
“这种故障以前发生过,所以我们当时以为只是跟平时一样的常见打印机故障。
”
可以看出,这个事件的发生有很多的偶然,如果黑客没有注意到那台打印机,这个事故不会发生。
如果负责该打印机的员工负责任一点,加班一个小时,将打印机修好,那么事故也不会发生。
如果事故发生在工作日,银行之间可以正常沟通,那么这个事故也不会发生。
一连串的偶然拼凑成了事故的必然。
反过来看,如果这个流程中的任何一个人都负责任一点,这样的事故就不会发生。
打印机是人们在生活和办公中经常使用的电子设备,家庭、办公室、公司、政府单位、医院、学校……,几乎每一个单位和机构都会使用打印机。
从安全的角度来看,由于打印设备部署于内部网络,通过它们可以直接访问到机密报告、合同或病历等敏感信息,比较关键。
在美国,绝大部分政府机构和大型企业都有专门的文印室,平时需要打印和复印的东西一般都交给他们处理,这样就不会导致信息的泄密。
国内政府部门也开始有这样的意识,比如搞网络隔离,涉密资料不能通过接入网络共享打印机来打印,关键部门的打印设备不联外网,复印设备完全独立运营,电脑和打印机之间采用有线连接方式。
不管黑客们入侵到内网能获得多少资料,这些资料小到个人隐私,大到企业核心机密,如果被人为泄露出去,对于企业无疑是巨大的隐患,很有可能会带来无法估计的损失。
六、病毒的防范
计算机病毒可以通过可移动存储介质(软盘、硬盘、光盘、U盘、移动硬盘等)、互联网等多种方式传播,仅互联网的传播方式又包括电子邮件、网页浏览、ICQ聊天、FTP下载、BBS论坛等等。
由于接入互联网的任何计算机都可以相互进行通信,这使计算机病毒的传播变得及其方便。
然而病毒的侵入会对系统资源构成威胁,即使是良性病毒,至少也要占用一定的系统空间影响系统的正常运行,特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。
因此,要求用户提高自我安全意识,主动防范,因为防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。
(一)防毒方法
对于计算机病毒,采用已有的杀毒软件,可以顺利地清除一部分已知病毒。
但是,由于病毒的衍生性,也由于杀毒软件和任何其他软件一样,不可避免地带有某些缺陷甚至错误,特别是在同时被两种或更多种病毒感染的情况下,杀毒软件有时无法正确清除病毒。
因此,单靠杀毒是不够的,更重要的是在日常工作中建立科学的防范制度,尽可能减少自己的计算机感染病毒的机会,为病毒造成破坏后的补救工作做好充分准备。
1.制作应急盘
制作一张无毒的系统应急引导盘是非常必要的,最好还将一个反病毒软件和一些你认为比较实用的工具软件复制到这个盘上,然后关上写保护。
一旦系统受“病毒”侵犯,就可以使用该盘引导系统,然后进行检查、杀毒等操作。
2.勤打补丁
系统漏洞让病毒更容易入侵,一般来说,一个操作系统被发现漏洞以后,大概在十五天以内相关的病毒就会出现,因此有必要随时关注自己所使用的操作系统的补丁升级情况,养成经常查看补丁升级情况的习惯。
这里的补丁不光包括操作系统自身的,也包含程序服务的补丁。
3.备份重要数据
对于重要数据应该至少每周进行一次备份,而且最好是进行异地备份(备份到电脑之外的存储设备,比如软盘或移动硬盘),这样当电脑内的文件万一被病毒破坏后,它们就派上用场了,当然在此之前一定要确认备份文件是无毒的。
4.安装杀毒工具
安装杀毒软件和防火墙对于预防病毒是十分重要的。
杀毒软件只推荐安装一个,如果有多个杀毒软件,交替使用效果较为理想,但不宜安装过多,多个杀毒软件易出现冲突,而且占用系统资源。
另外,防火墙要设置好,它对于防止外面不明数据流入很有效,但是设置不当,会使有些程序不能访问网络,甚至会使有些网址不能访问。
使用杀毒软件和防火墙一定要经常升级,更新病毒特征码,那样才能对付大部分新出的病毒。
对于访问互联网的计算机,可根据个人喜好安装杀毒软件,对于内网的计算机,只能安装趋势杀毒,并保持趋势为在线状态。
5.关注流行病毒
一些普通杀毒软件往往对最新的病毒无能为力,因而需要专杀工具来对这部分病毒进行查杀,为了安全和及时防止病毒的扩展,很多杀毒软件商的官方网站都免费提供专杀工具的下载。
因此经常留意官方所公布的新种类病毒,及时下载相应的专杀工具,对于查杀较新的病毒是很有必要的。
6.留心观察
平时使用电脑时一定要留心观察它的表现,如果发觉有异常症状出现,比如速度变得非常缓慢、内存经常不够、突然增加一些从未见过的文件、系统或自己熟悉的文件长度有所增减等,此时就要进行病毒的查杀,否则损失
升级会员 