五大计算机病毒简介.ppt
《五大计算机病毒简介.ppt》由会员分享,可在线阅读,更多相关《五大计算机病毒简介.ppt(26页珍藏版)》请在冰豆网上搜索。
常见计算机病毒简介nn震荡波震荡波nn冲击波nn蠕虫王nn求职信nn红色代码nn尼姆达震荡波震荡波nn2004年“五一”黄金周第一日,一个新的病毒“震荡波(Worm.Sasser)”开始在互联网上肆虐。
该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启。
其破坏程度有可能超过“冲击波”。
病毒特征nn该病毒会通过该病毒会通过FTPFTP的的55545554端口攻击电脑,一旦攻击失败,端口攻击电脑,一旦攻击失败,会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,会将文件自身传到对方机器并执行病毒程序,然后在功,会将文件自身传到对方机器并执行病毒程序,然后在C:
WINDOWSC:
WINDOWS目录下产生名为目录下产生名为avserveavserve.exe.exe的病毒体,的病毒体,继续攻击下一个目标,用户可以通过查找该病毒文件来判继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。
断是否中毒。
nn“震荡波震荡波”病毒会随机扫描病毒会随机扫描IPIP地址,对存在有漏洞的计算地址,对存在有漏洞的计算机进行攻击,并会打开机进行攻击,并会打开FTPFTP的的55545554端口端口,用来上传病毒文用来上传病毒文件,该病毒还会在注册表件,该病毒还会在注册表HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsSOFTWAREMicrosoftWindowsCurrentVersionCurrentVersionRunRun中建立:
中建立:
avserveavserve.exe=%windows%.exe=%windows%avserveavserve.exe.exe的病毒键值进行的病毒键值进行自启动。
自启动。
预防与清除nn建议用户立即到微软的站点去下载并安装该漏洞建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:
开个人防火墙屏蔽端口:
55545554和和10681068,防止名,防止名为为avserveavserve.exe.exe的程序访问网络。
的程序访问网络。
nn如已经感染,应立刻断网,手工删除该病毒文件,如已经感染,应立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级然后上网下载补丁程序,并升级杀毒杀毒软件或者下软件或者下载专杀工具。
手工删除方法:
查找该目录载专杀工具。
手工删除方法:
查找该目录C:
WINDOWSC:
WINDOWS目录下产生名为目录下产生名为avserveavserve.exe.exe的的病毒文件,将其删除。
病毒文件,将其删除。
冲击波2003nn2003年8月11日,一种名为“冲击波”(Worm.Blaster)的电脑蠕虫病毒席卷全球,瞬间造成大量电脑中毒,部分网络瘫痪。
“冲击波”病毒几乎能感染所有微软“视窗”(Windows)操作系统。
包括:
WindowsNT4.0、Windows2000、WindowsXP和Windows2003。
感染后的症状nn莫名其妙地死机或重新启动计算机;nnIE浏览器不能正常地打开链接;nn不能复制、粘贴;nn有时出现应用程序,比如Word异常;nn网络变慢;nn最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
专攻微软漏洞nn“冲击波冲击波”病毒是利用微软公司公布的病毒是利用微软公司公布的WindowsWindows操作系统操作系统RPCRPC(RemoteProcedureCallRemoteProcedureCall,远远程过程调用)漏洞进行攻击和传染的。
程过程调用)漏洞进行攻击和传染的。
RPCRPC是是WindowsWindows操作系统使用的一种远程过程调用协议,操作系统使用的一种远程过程调用协议,它提供了一种远程间交互通信机制。
通过这一机它提供了一种远程间交互通信机制。
通过这一机制,在一台电脑上运行的程序可以顺畅地执行某制,在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。
由于微软的个远程系统上的代码。
由于微软的RPCRPC部分在通部分在通过过TCP/IPTCP/IP处理信息交换时存在一个漏洞,远程攻处理信息交换时存在一个漏洞,远程攻击者可以利用这个漏洞以本地系统权限在系统上击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
执行任意指令。
预防与清除nnWindows2002补丁3sp3132MnnWindowsXP补丁la143Mnn“冲击波”Windows2000微软补丁nn“冲击波”WindowsXP微软补丁Xpsp1蠕虫王2003nn2003年1月25日,互联网遭遇到全球性的病毒攻击。
这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,导致全球范围内的互联网瘫痪,中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。
而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。
袭击对象nn此蠕虫病毒攻击微软此蠕虫病毒攻击微软WindowsWindows操作系统下操作系统下的的SQLServer2000SQLServer2000服务器,服务器,包括安装了如下程序的系统:
包括安装了如下程序的系统:
MicrosoftSQLServer2000SP2MicrosoftSQLServer2000SP2MicrosoftSQLServer2000SP1MicrosoftSQLServer2000SP1MicrosoftSQLServer2000DesktopEngineMicrosoftSQLServer2000DesktopEngineMicrosoftSQLServer2000MicrosoftSQLServer2000MicrosoftWindowsNT4.0SP6aMicrosoftWindowsNT4.0SP6aMicrosoftWindowsNT4.0SP6MicrosoftWindowsNT4.0SP6MicrosoftWindowsNT4.0SP5MicrosoftWindowsNT4.0SP5MicrosoftWindowsNT4.0MicrosoftWindowsNT4.0MicrosoftWindows2000ServerSP3MicrosoftWindows2000ServerSP3MicrosoftWindows2000ServerSP2MicrosoftWindows2000ServerSP2MicrosoftWindows2000ServerSP1MicrosoftWindows2000ServerSP1MicrosoftWindows2000AdvancedServerSP3MicrosoftWindows2000AdvancedServerSP3MicrosoftWindows2000AdvancedServerSP2MicrosoftWindows2000AdvancedServerSP2MicrosoftWindows2000AdvancedServerSP1MicrosoftWindows2000AdvancedServerSP1。
病毒特征nn该蠕虫攻击安装有MicrosoftSQL的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。
1434/udp端口为MicrosoftSQL开放端口。
该端口在未打补丁的SQLServer平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行并进一步传播。
防范nn安装微软的漏洞补丁或者安装MicrosoftSQLServer2000SP3。
nn在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。
nn如果由于DoS导致系统反映缓慢,可先断开网络连接,然后在Windows任务管理器里面强行终止进程SqlServr.exe,在做过相应的防范措施以后在SQLServer管理器里面重新启动此服务。
“求职信”病毒演变历程nn20012001年,年,年,年,1010月月月月“求职信求职信求职信求职信”第一版第一版“求职信求职信”病毒,利用微软邮件系统自病毒,利用微软邮件系统自动运行附件的安全漏洞,通过电子邮件传播,传动运行附件的安全漏洞,通过电子邮件传播,传染能力极强。
由于邮件中含有英文染能力极强。
由于邮件中含有英文“我必须找到我必须找到一份工作来供养我的父母一份工作来供养我的父母”的信息,故命名为的信息,故命名为“求职信求职信”病毒。
它传染可执行文件,定时搜索电病毒。
它传染可执行文件,定时搜索电脑中的所有文件,耗费大量系统资源,造成电脑脑中的所有文件,耗费大量系统资源,造成电脑运行缓慢直至瘫痪。
遇到单月运行缓慢直至瘫痪。
遇到单月1313日时会自动发作,日时会自动发作,将所有系统文件加长一倍,浪费大量硬盘空间。
将所有系统文件加长一倍,浪费大量硬盘空间。
nn20012001年,年,年,年,1111月月月月“求职信求职信求职信求职信”(b/c/db/c/d版)版)版)版)结构基本与第一版相同,只是增加了一些更具结构基本与第一版相同,只是增加了一些更具伪装性的邮件主题,破坏影响不大。
伪装性的邮件主题,破坏影响不大。
“求职信”病毒演变历程nn20022002年,年,年,年,11月月月月“求职信求职信求职信求职信”(e/f/ge/f/g版)版)版)版)“求职信求职信”病毒的多个变种(病毒的多个变种(KlezKlez.e.e、KlezKlez.f.f、KlezKlez.g.g)集体出击。
集体出击。
在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用户正在进行的正常操作、删除有用文件。
已呈现恶性病毒的雏形。
其户正在进行的正常操作、删除有用文件。
已呈现恶性病毒的雏形。
其中的中的ee版在每个单月版在每个单月66日这天爆发。
日这天爆发。
KlezKlez.e.e是有史以来互联网上传播速是有史以来互联网上传播速度最快的病毒之一。
度最快的病毒之一。
nn20022002年,年,年,年,22月月月月“求职信求职信求职信求职信”(h/ih/i版)版)版)版)保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可覆盖文件的类型。
覆盖文件的类型。
nn20022002年,年,年,年,44月月月月1616日日日日“求职信求职信求职信求职信”(j/kj/k版)版)版)版)具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性,具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性,由于该病毒程序存在缺陷,所以迅速转变为新的变种。
由于该病毒程序存在缺陷,所以迅速转变为新的变种。
nn20022002年,年,年,年,44月月月月1818日日日日“求职信求职信求职信求职信”(ll版)版)版)版)最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何级数直线上升。
全球各反病毒机构均发出最高等级的病毒警报。
级数直线上升。
全球各反病毒机构均发出最高等级的病毒警报。
预防与清除nn要阻止该网络蠕虫利用要阻止该网络蠕虫利用电子邮件电子邮件传播,用户必须安装相应传播,用户必须安装相应的补丁程序。
的补丁程序。
nn在在WINDOWS95/98/MEWINDOWS95/98/ME系系统统下的清除:
先运行在下的清除:
先运行在WINDOWS95/98/MEWINDOWS95/98/ME系系统统下的安
升级会员 