浅谈计算机病毒的防治.docx
《浅谈计算机病毒的防治.docx》由会员分享,可在线阅读,更多相关《浅谈计算机病毒的防治.docx(16页珍藏版)》请在冰豆网上搜索。
浅谈计算机病毒的防治
浅谈计算机病毒的防治
04届计算机系计算机应用技术专业
臧琨
2007-6-6
学校名称:
汇佳职业学院
院(系)名称:
计算机系
学号:
1040808047
论文题目:
浅谈计算机病毒的防治
学科、专业:
计算机应用技术
姓名:
臧琨
指导教师姓名:
张亮
汇佳职业学院计算机系评定委员会
2007年6月
摘要
本文介绍了当今网络世界的几种比较有代表性的病毒,以及病毒在各个领域的运用、传播方式、分类以及预防方法。
文章开篇写的是以熊猫烧香为首的几大病毒在网络上肆虐横行,我简单的分析了这些病毒的作用以及危害。
以下观点纯属个人看法,还请老师多多指导。
关键词:
计算机、网络、病毒、危害、防治
引言(目前计算机病毒……)…………………………………………1
一、计算机病毒的内涵、类型及特点…………………………………1
(1)熊猫烧香……………………………………………………………...1
(2)MSN性感相册……………………………………………………….2
(3)威金…………………………………………………………………...3
(4)U盘寄生虫……………………………………………………………4
(5)网银大盗II……………………………………………………………4
二、计算机病毒的技术分析……………………………………………5
(1)无线电方式…………………………………………………………...6
(2)“固化”式方法……………………………………………………….6
(3)后门攻击方式………………………………………………………..6
(4)数据控制链侵入方式………………………………………………..6
三、病毒的分类………………………………………………………….6
1.按病毒感染的对象分………………………………………………….6
(1)引导型病毒…………………………………………………………..6
(2)文件型病毒…………………………………………………………..6
(3)网络型病毒…………………………………………………………..6
(4)复合型病毒…………………………………………………………..6
2.按病毒的破坏程度分………………………………………………….6
(1)良性病毒……………………………………………………………...6
(2)恶性病毒……………………………………………………………..7
(3)极恶性病毒…………………………………………………………..7
(4)灾难性病毒…………………………………………………………..7
四、对计算机病毒攻击的防范的对策和方法………………………….7
(1)建立有效的计算机病毒防护体系…………………………………..7
(2)严把收硬件安全关…………………………………………………..7
(3)防治电磁辐射和电磁泄露…………………………………………..7
(4)加强计算机应急反应分队建设……………………………………..7
五、感谢及参考文献……………………………………………………7
浅谈计算机病毒的防治
目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。
为了确保信息的安全与畅通,因此,研究计算机病毒的防范措施已迫在眉睫。
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。
据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。
与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、科索沃战争、伊拉克战争、阿富汗战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。
可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
一、计算机病毒的内涵、类型及特点
计算机病毒是一组通过自身复制来感染其他软件的程序。
当程序运行时,嵌入的病毒也随之运行并感染其他程序。
一些病毒不带有恶意攻击性代码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,即可感染和破坏。
自上世纪80年代莫里斯编制的第一个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。
在最近几个月里,又产生了以下几种主要病毒:
(1)熊猫烧香(Worm.WhBoy.h)。
别名“武汉男生”,这是一个感染型的蠕虫病毒,它能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒运行后,会把自己拷贝到C:
\WINDOWS\System32\Drivers\spoclsv.exe。
然后添加系统自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare->C:
\WINDOWS\System32\Drivers\spoclsv.exe。
病毒每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword,并使用的键盘映射的方法关闭安全软件IceSword,中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe;病毒每隔18秒点击病毒作者指定的网页并用命令行检查系统中是否存在共享,共享存在的话就运行netshare命令关闭admin$共享;每隔10秒下载病毒作者指定的文件并用命令行检查系统中是否存在共享,共享存在的话就运行netshare命令关闭admin$共享;每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explor
-er\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00,删除以下服务navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvc;病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm、html、asp、php、jsp、aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZone;病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失,无法恢复系统。
“金猪报喜”是“熊猫烧香”的最新变种,但危害却在“熊猫烧香”之上,除了一样感染EXE文件外,还能感染RAR跟ZIP等格式文件。
中病毒后,会先检查客户机上有没有中熊猫烧香,如果有,则清理掉。
图标也就是一个小动物,可能因为马上要过新年的原因使他选择了猪作为新图标。
上图为“熊猫烧香”病毒及其变种“金猪报喜”病毒图标。
下图为“熊猫烧香”制作者李俊及“金猪报喜”制作者薛庆被捕时的照片。
(2)MSN性感相册(Worm/MSN.SendPhoto.a)。
这是一个蠕虫病毒,病毒运行后,将创建下列文件:
%WinDir%\photos.zip,479382字节、%SystemDir%\syshosts.dll,22016字节;病毒还在注册表中添加下列启动项:
[HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"={71b1b601-4599-40ff-a283-73fc3c7de863},已达到开机自启动的目的。
其中syshosts.dll文件会注入到当前所有进程中。
该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382字节的photos.zip病毒包,该压缩包里面包含名为photosalbum-2007-5-26.scr病毒文件,同时会随机向好友发送以下语句:
itsonlymyphotos!
(它只是我的照片!
)、Herearemyprivatepicturesforyou(这是我给你的私人照片)、Herearemypicturesfrommyvacation(这是我在休假时照的照片)、Myfriendtooknicephotosofme.youShouldseeemloL!
(我的朋友给我照了漂亮的照片,你看看!
)、Nicenewphotosofmeandmyfriendsandstuffandwheniwasyounglol...(我和我朋友年轻时的新照片)、Nicenewphotosofme!
!
:
p(我的漂亮新照片!
!
)、Checkoutmysexyboobs:
D(接收我的性感照片)。
病毒以此来引诱用户点击,当用户接收该ZIP压缩包后,如果双击运行里面的文件,就会成为一个新的病毒传播源。
中毒电脑将会连接远程的IRC服务器,接收黑客远程控制,成为僵尸网络。
(3)威金(Worm.Viking)。
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型蠕虫病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程会感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe;运行被感染的文件后,病毒将病毒体复制到以下文件:
%SystemRoot%\logo_1.exe;同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll;病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini(文件属性:
系统、隐藏。
);病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件;病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run]"load"="C:
\\WINNT\\rundl132.exe"[HKEY_CURR-
ENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load"="C:
\\WINNT\
\rundl132.exe";病毒运行时尝试查找窗体名为:
"RavMonClass"的程序,查找到窗体后发送消息关闭该程序;枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe、Eghost.exe、
Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe;同时病毒尝试利用以下命令终止相关杀病毒软件:
netstop"KingsoftAntiVirusService";发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染;感染用户机器上的exe文件,但不感染以下文件夹中的文件:
System、system32、windows、documentsandsettings、systemVolumeInformation、Recycled、winnt、ProgramFiles、WindowsNT、WindowsUpdate、
WindowsMediaPlayer、OutlookExpress、InternetExplorer、ComPlusApplications、Net-
Meeting、CommonFiles、Messenger、MicrosoftOffice、InstallShieldInstallationInformation、
MSN、MicrosoftFrontpage、MovieMaker、MSNGamingZone;枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer、Iexplore,找到符合条件的进程后随机注入以上两个进程中的其中一个;当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http:
//www.17**.com/gua/zt.txt保存为c:
\1.txt、http:
//www.17-
**.com/gua/wow.txt保存为c:
\1.txt、http:
//www.17**.com/gua/mx.txt保存为c:
\1.txt、http:
//
www.17**.com/gua/zt.exe保存为%SystemRoot%Sy.exe、http:
//www.17**.com/gua/wow.exe保存为%SystemRoot%\1Sy.exe、http:
//www.17**.com/gua/mx.exe保存为%SystemRoot%\
2Sy.exe,注意:
三个程序都为木马程序;病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[bootloader]
\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[bootloader]timeout=30[operatingsystems]multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"/////";
中止大部分的杀毒软件进程,诺顿可以隔离,但是结果是EXE文件全部执行不了;在共享的打印机上不停的打印,内容为当天日期;在C:
\winnt或是windows生成Logo1_.exe,rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe会变成此应用程序的图标;在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径;被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个_desktop的记事本文件,内容为当前日期。
(4)U盘寄生虫(Checker/Autorun)。
Checker/AutorunU盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。
“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。
autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
(5)网银大盗Ⅱ(Trojan/KeyLog.Dingxa)。
这是一个盗取计算机用户银行帐号密码的木马。
该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。
其涉及银行之多,范围之广是历来最严重的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。
具体技术特征如下:
病毒盗取的相关银行11个、 目标网页21个、 目标帐户类型13种;病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身;在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Runonce中创建:
“svch0st.exe” = “%SystemDir%\svch0st.exe” 、“taskmgr.exe” = “%SystemDir%\svch0st.exe” ;病毒运行后会每隔10毫秒查看用户是否在操作IE或Netscape浏览器,进而根据窗口标题判断用户是否在浏览上文列出的网上银行页面,一旦确认,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz
1!
2@3#4$5%6^7&8*9(0){BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}{Esc}{空格}
{End}{Home}{Left}{Right}{Up}{Down}{Insert}{Delete};:
=+,<-_.>/?
`~][{\|]}'{Del}{F1}{F2}
{F3}{F4}{F5}{F6}{F7}{F8}{F9}{F10}{F11}{F12}{NumLock}{ScrollLock}{PrintScreen}
{PageUp}{PageDown};病毒每隔1分钟检查是否已经成功盗取了用户信息,如果是,则通过GET方式把截取的用户按键提交给http:
//*****.com/****/get.asp。
其格式如下:
http:
//
*****.com/****/get.asp?
txt=<银行帐户类型>:
<截获的按键>银行帐户类型共有13种。
归纳起来,计算机病毒有以下特点:
一是攻击隐蔽性强。
病毒可以无声无息地感染计算机系统而不被察觉,待发现时往往已造成严重后果。
二是繁殖能力强。
电脑一旦染毒,可以很快“发病”。
目前的三维病毒还会产生很多变种。
三是传播途径广。
可通过网络、硬件设备、移动存储设备等多渠道自动侵入计算机中,并不断蔓延。
四是潜伏期长。
病毒可以长期潜伏在计算机系统而不发作,待满足一定条件后,就激发破坏。
五是破坏力大。
计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪。
六是针对性强。
计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。
二、计算机病毒的技术分析
长期以来,人们设计计算机的目的主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则不够重视。
计算机系统的各个组成部分,接口方面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。
硬件设计缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。
计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机。
全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间,新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。
实施计算机病毒入侵的核心技术是解决病毒的有效注入。
其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。
从病毒技术研究现状来看,病毒注入方法主要有以下几种:
(1)无线电方式。
主要是通过无线电把病毒码发射到对方电子系统中。
此方法是计算机病毒注入的最佳方式,同时技术难度也最大。
可能的途径有:
①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。
②冒充合法无线传输数据。
根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码。
③寻找对方信息系统保护最差的地方进行病毒注放。
通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
(2)“固化”式方法。
即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。
这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。
目前,我国很多计算机组件依赖进口,因此,很容易受到芯片的攻击。
(3)后门攻击方式。
后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。
攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标