局域网中常见病毒及防范措施.docx

1、局域网中常见病毒及防范措施 局域网中常见病毒及防范措施一、计算机病毒 计算机病毒的基本特征 常见的计算机病毒分类 引导区病毒 文件型病毒 宏病毒 脚本病毒 病毒命名规则1. 1 什么是计算机病毒 计算机病毒是一种人造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不独立存在，隐蔽在其他可执行程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度；重则使机器处于瘫痪，给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。1.2 计算机病毒的基本特征 可执行性：它是可执行的程序 。 可传染性：通过各种渠道从已被感染的计算机传播到未被感染的文件、扇区或计算机。

2、 破坏性：降低计算机系统的工作效率，占用系统资源，具体情况取决于入侵系统的病毒程序种类。 潜伏性：编写得精巧，进入系统后一般不马上发作，可在几周、几月内甚至几年内隐藏在合法文件中，潜伏性愈好，在系统中存在时间就愈长，传染范围就愈大。 隐蔽性：编程技巧很高，短小精悍。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 针对性：一般都是针对特定的操作系统，还有针对特定的应用程序的。 可触发性：因某事件或数值出现，诱使病毒实施感染或进行攻击的特性。 1.3 常见的计算机病毒分类 按破坏性分 按传染方式分 按连接方式分 1.3.1 按传染方式分 (1) 引导区型病毒：隐藏在磁盘引导区

3、内。(2) 文件型病毒：关联到文件内。(3) 混合型病毒：混合型病毒具有引导区型病毒和文件型病毒两者的特点。(4) 宏病毒：寄生在Office文档上，影响对文档的各种操作。 是用VBA语言编写的病毒程序的宏代码。(5) 蠕虫病毒：网络传播的病毒.按连接方式分 源码型病毒：攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。 入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。 操作系统型病毒：用其自身一部分加入或替代操作系统的部分功能。因其

4、直接感染操作系统，其危害性也较大。 外壳型病毒：通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。1.4 引导区型病毒 什么是引导区 引导区病毒的危害 如何防范引导区病毒1.4.1 引导区病毒 硬盘引导区及其病毒 软盘/优盘引导区及病毒2.4.1 引导区-硬盘引导区 位置：是硬盘上0柱0头1扇的区域，又名MBR区或分区表区。 包含：引导程序、磁盘参数表、分区信息（C:、D: 等）。 特点：扇区隐藏，用户无法看到其内容。 病毒：占据引导程序的部分位置。2.4.1 引导区-软盘/优盘引导区 包含：引导程序、软/优盘参数表。 特点：用户较容易看到其内容。

5、2.4.2 引导区病毒的危害 当计算机从感染引导区病毒的硬盘或软盘启动、从受感染的软盘中读取数据时引导区病毒开始发作，除使磁盘不能正确工作外，还将自己拷贝到内存中，感染其他磁盘引导区，或通过网络传播到其他计算机上。2.5 文件型病毒 特点：寄生于文件，包括 可执行文件：.com、.exe 、.dll、 .sys、.ocx、.ovl等。 脚本文件：.vbs、.js、.prl等。 文档文件： .doc、.xls等。 工作方式： 覆盖型 前后依附型 伴随型 危害：当染毒文件装入内存执行时病毒会随着运行。使文件工作不正常，病传染随后执行的其他文件。2.5 文件型病毒（续）2.6 宏病毒 特点：主要利用

6、Microsoft Word 提供的宏功能将病毒驻进到带有宏的.DOC、.XLS等文档中，传播速度快、对系统和文件都可以造成破坏。 工作方式：主要驻留在模版文件.DOT和文档文件.DOC等文件内。 危害：使文档文件出现乱码和排版错误；传染其他模版和文档。2.7 脚本病毒 特点：寄存在网页内，依赖特殊的脚本语言VBScript、Jscript / JavaScrip等起作用，且要求应用环境能识别和执行这些脚本语言命令。 危害：在某方面与宏病毒类似，通过动态网页传染，且可在多个产品环境中运行；更具开放终端的趋势，使病毒对感染脚本病毒的机器有更多控制力。2.8 病毒命名规则 规则：. 前缀：表示病毒

7、的类型。 病毒名称：表示病毒的具体名字。 后缀：表示病毒的变体名称。 2.8 病毒命名规则-前缀w32/Win32-32位Windows病毒：w32.blaster.worm PE-用汇编语言编写的病毒：Worm-网络蠕虫病毒：Worm.Viking.rmTrojan/troj-木马：Trojan.LMir.PSW.60，Trojan.PSW.QQPass.pha PWSteal-盗号木马：Backdoor-后门病毒：backdoo.IRCbotDropper-种植病毒型病毒：Dropper.BingHe2.2cHarm-破坏性病毒：Harm.Command.Killer, Harm.form

8、atC.fJoke-玩笑病毒: Joke.GirlhostBinder-捆绑病毒：Binder.QQPass.QQBin, Binder.KillsysVBS、JS、Prl-脚本病毒：VBS.Happytime Macro-宏病毒：Macro.Melissa DOS-在DOS中发作的病毒：DosCom.Virus.Dir2.2048 HackTools-黑客病毒：Expoit-溢出型病毒：Hack.Exploit.Script.Agent.ahWM / XE-word或Excel宏病毒：Boot-引导区病毒：Boot.WYX 2.9. 计算机病毒传播途径2.9.1 可移动媒体传播 可移动磁盘：

9、软盘、优盘、可移动硬盘。 光盘 ：软件安装盘、VCD、DVD、图片素材等，刻录时感染了病毒。 注意： 固定硬盘是病毒的最终宿主。 2.9.2 网络 文件下载：这些被浏览的或是通过FTP 下载的文件中可能存在病毒； 电子邮件：网络使用的简易性和开放性使得这种威胁越来越严重。2.9.2 BBS 什么是BBS：由计算机爱好者自发组织的通讯站点，用户可以在BBS 上进行文件交换（自由软件、游戏、自编程序）。 BBS站：缺乏严格的安全管理，且没有任何限制，给病毒程序编写者提供了传播病毒的场所。 BBS中心站：各城市BBS 站间通过中心站间进行传送，传播面较广。3. 网络蠕虫病毒 组成：由主程序和引导程序

10、组成，安装在同一台计算机上。 主程序：可以收集与当前机器联网的其它机器信息，通过读取公共配置文件和检测当前机器的联网状态，利用系统缺陷在远程机器上建立引导程序。 引导程序：是类似于“钓鱼”的小程序，它把“蠕虫”病毒带入它所感染的每一台机器。 3.1 网络蠕虫病毒特点 特点： 1）传染方式多 入侵网络的主要途径是通过工作站传播到服务器硬盘中，再由服务器的共享目录传播到其他的工作站。但蠕虫病毒的传染方式比较复杂。 2）传播速度快 在网络中则可通过网络通信机制，借助高速电缆进行迅速扩散。由于它在网络中传染速度非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将蠕虫病毒在一瞬间

11、传播到千里之外。 3）清除难度大 网络中有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染。甚至一台工作站刚完成杀毒工作马上就能被网上另一台工作站的带毒程序所传染。因此，仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。 4）破坏性强 蠕虫病毒将直接影响网络的工作状态，轻则降低速度，影响工作效率，重则造成网络系统的瘫痪，破坏服务器系统资源，使多年的工作毁于一旦。3.2 网络蠕虫病毒危害 危害：它能够检测到网络中的某台机器没有被占用，它就把自身的一个拷贝（一个程序段）发送到那台机器。 传播速度：惊人，可按指数增长模式进行传染。 导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内

12、造成网络系统的瘫痪。 使成千上万感染病毒的邮件服务器崩溃，带来难以弥补的损失； 3.3 网络蠕虫病毒实例 w32.blaster.worm病毒 危害 专门攻击Win XP、Win 2000、Win NT和Win 2003的RPC安全漏洞，使操作系统不断报“RPC意外中止，系统重新启动”，客户机频繁重启，所有网络服务均出现故障，如IE浏览器打不开，OUTLOOK无法使用等。 清除办法 先在任务管理器中将 msblast.exe 进程杀掉；再将windows目录下的system32文件夹中的msblast.exe 删除。 3.3 网络蠕虫病毒实例(续) Worm.Viking.rs 威金病毒 感染

13、所有.EXE文件，不要用通用的杀毒软件来杀，那样会误删除掉你的系统文件。 清除办法 1）具备立体防毒功能的瑞星杀毒软件单机版或瑞星杀毒软件下载版完全可以清除此病毒。 2）瑞星出品的“威金（Worm.Viking）”病毒专杀工具也可以清除此病毒， 3）注意：专杀工具只能查杀独立的文件，不能查杀复合文档中的病毒，比如邮箱或者压缩文件，若需要全方位的对您的计算机进行杀毒或者防护，你需要使用第一条中所说的单机版或者下载版。3.3 网络蠕虫病毒实例(续) 尼姆达病毒（Js.nimda、worm.nimda.d/e） 以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为主要的传播手

14、段。它能够通过多种传播渠道进行传染，传染性极强。 熊猫烧香 Worm.Nimaya.w 蠕虫病毒的变种W，且是经过多次变种而来的。中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒；用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件破坏等现象；该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪。 清除办法： 1）瑞星杀毒软件。 2）专杀工具杀毒。3. 3 网络蠕虫病毒实例(续) auto病毒：会感染所有的硬盘分区及外接硬盘所有分区。在其中添加autorun.ini和auto.exe文件，很难全部删除。 清除： 用ctr

15、l+alt+del打开任务管理器，终止所有ravmone.exe的进程；进入c:windows，删除其中的ravmone.exe 4. 特洛伊木马 组成：有服务器端（安装在被攻击计算机上）和客户端（攻击计算机上）两部分。 危害：窃取远程计算机上登录账号（用户名和密码）、机密文件等信息，如“网络神偷”；有操控远程运行环境，收集所需信息，如“冰河”；占用计算机资源、降低运行速度，严重导致系统瘫痪。4.1 特洛伊木马的特点 绑定于正常程序中：当用户执行正常程序时，木马也启动自身。在用户难以察觉的情况下，完成一些危害用户的操作。且具有隐蔽性：不产生图标 ；在任务管理器中隐藏自己。 具有自动运行性：木马

16、为了控制服务端，必须在系统启动时跟随启动。故它必须潜人启动配置文件中，如：win.ini、system.ini、winstart.bat、程序启动组“启动”、注册表等之中。 具备自动恢复功能：很多木马程序不再由单一文件组成，而是具有多重备份，可以相互恢复。删除了其中的一个，在运行了其他程序时它又悄然出现。 能自动打开特别的端口：木马程序潜人电脑的目的不是为了破坏系统，而是为了获取系统中有用的信息。上网时它能与远端客户进行通讯，用服务器客户端的通讯手段把信息告诉黑客，以便黑客控制你的机器，或实施进一步的人侵。 具有特殊功能：木马功能是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cach

17、e中口令、设置口令、扫描目标机器IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。 4.2 特洛伊木马的种类 破坏型：破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE等文件。 密码发送型：找到隐藏密码、把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样可以不必每次输入密码。黑客软件可寻找到这些文件，把它们送到黑客手中，或长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。 键盘记录木马：记录受害者的键盘敲击、并在LOG文件里查找密码。这种木马随着Windows的启动而启动，有在线和离

18、线记录选项，它们分别记录在线和离线状态下敲击键盘的按键值-也就是说你按过什么按键，种植木马的人都知道。 DoS攻击木马：入侵一台机器并种植DoS攻击木马后，这台计算机就成为DoS攻击的得力助手。它控制的肉鸡数量越多，发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在可利用它来攻击一台又一台计算机，给网络造成很大的伤害和损失上。 4.2 特洛伊木马的种类(续) 远程访问型：只需有人运行了服务端程序，如果黑客知道了服务端的IP地址，就可以实现远程控制 代理木马：给被控肉鸡种植代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击

19、者可以掩盖自己的足迹、谨防别人发现自己的身份。在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。 FTP木马：功能是打开21端口，等待用户连接，并有密码获取功能 。 程序杀手木马：关闭对方机器上运行的查杀病毒软件，让其它木马更好地发挥作用。 反弹端口型木马：服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，一旦发现控制端上线就立即弹出端口、主动连结控制端所打开的被动端口。为了隐蔽起见，控制端的被动端口一般开在80，即使被控端的用户使用扫描软件检查自己的端口，发现类似TCP UserIP：1026和ControllerIP：80EST

20、ABLISHED的情况，稍微疏忽一点，还以为是自己在浏览网页呢。1.4.3 特洛伊木马的伪装方法 修改图标：木马服务端所用的图标经常伪装成XT.HTML等，可能认为它是对系统没有多少危害的文件图标，很容易诱惑你把它打开。 捆绑文件：捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件（即EXE、COM一类的文件）。 出错显示：通常打开一个文件时如果没有任何反应，很可能就是个木马程序。木马设计者为弥补这个缺陷，当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义：大多会定制成一些诸如“文件已破坏，无法打

21、开”之类的信息。当服务端的用户信以为真时，木马却悄悄侵人了系统。 自我销毁：当服务端的用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中（C:wmdows或C:windowssystem目录下）。安装完木马后，源木马文件自动销毁。这样服务端的用户就很难找到木马的来源。 木马更名：大多是改为与系统文件差不多的名字。如果你对系统文件不够了解，那可就危险了。例如有的木马把自己名字改为window.exe，或Explorer.exe改为Exp1orer.exe如果不告诉你这是木马的话，就不敢删除它；有的只是更改文件扩展名，比如把.dll改为.dl等，不仔细看很难发现。 4.4 感

22、染特洛伊木马后紧急措施 如果不幸你的计算机已经感染了木马、你的系统文件被黑客改得一塌糊涂、硬盘上稀里糊涂地多出来一大堆乱七八糟的文件、很多重要的数据也可能已经被黑客窃取走。这里给你提供3条建议，希望可以帮助你：（1）所有的账号和密码都要马上更改。例如拨号连接，ICQ（ “I seek you”是世界上最流行的聊天工具，网上寻呼机。） 、IRC（Internet Relay Chat ，是多用户、多频道之间作即时的交谈的讨论系统，许多用户可以在一个被称为“channel”的地方就某一话题交谈或私谈。每个IRC 的使用者都有一个nickname，所有的沟通就在他们所在的channel内以不同的ni

23、ckname交谈。 ）、FTP、你的个人站点、免费邮箱等等。凡是需要密码的地方，你都要把密码尽快改过来。（2）删掉所有硬盘上原来没有的东西。（3）用优秀的杀毒软件检查硬盘上是否有木马与病毒存在。1.4.5 国内流行十大木马之一-冰河 冰河标准版：服务器端程序为G-server.exe，客户端程序为G-client.exe，默认端口为7626。一旦运行G-server，就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使删除了Kernel32.

24、exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe 判断是否中了“冰河：中“冰河”的计算机注册表中，将主键HKEY_CLASSES_ROOT txtfileshellopencommand的键值 “C:WINDOWSNOTEPAD. EXE %1”改为“C: WINDOWSSYSTEMSYSEXPLR.EXE %1”。 这样，一旦双击一个TXT文件，原本应当用Notepad打开该文件，现在却变成启动木马程 注意，除TXT文件外，诸如HTM、EXE、ZIP、COM等文件也都是木马的目标，应当小心。 清除方法： 1、删除C:Windowssys

25、tem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根，键值为C:windowssystemKernel32.exe，删除它。 3、在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下，还有键值为C:windowssystemKernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOTtxtfileshellopen

26、command下的默认值，由中木马后的C:windowssystemSysexplr.exe %1改为正常情况下的C:windowsnotepad.exe %1，即可恢复TXT文件关联功能。4.5 国内流行十大木马之二-广外女生 广外女生：广东外语外贸大学“广外女生”网络小组的处女作，是一种远程监控工具，破坏性大：远程上传、下载、删除文件、修改注册表等。可怕之处在于广外女生服务端执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作

27、用！ 隐藏方法：木马运行后，会在SYSTEM目录下生成一份自己的拷贝，名为DIAGCFG.EXE，并关联.EXE文件打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开。 清除方法： 1、该木马运行时无法删除，可启动到安全模式下，找到System目录下的DIAGFG.EXE， 删除它； 2、DIAGCFG.EXE文件被删除后，Windows环境下任何.exe文件都将无法运行。现可找到 Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“R”； 3、回到Windows模式下，运行Windows目录下的R程序（即刚改名的文件）； 4、找到HKEY_CLASSE

28、S_ROOTexefileshellopencommand，将其默认键值改成%1 %*； 5、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices，删除其中名称为“Diagnostic Configuration”的键值； 6、关掉注册表编辑器，回到Windows目录，将“R”改回“Regedit.exe”。完成。1.4.5 国内流行十大木马之三-网络精灵 真名Netspy，国产，最新版本3.0，默认连接端口为7306。其中新添加了注册表编辑功能和浏览器监控功能，客户端现通过IE或Navigate就可以进行远

29、程监控！丝毫不逊色于冰河和BO2000。服务端程序执行后，会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystemnetspy.exe，系统启动时就可自动加载运行。 清除方法： 1、重新启动机器并在出现Staring windows提示时，按F8键进入安全模 式。在C:windowssystem目录下输入以下命令：del netspy.exe 并按 回车键。2、进入注册表HKEY_LOCAL_MACHINESof

30、twaremicrosoftwindows CurrentVersionRun，删除Netspy的键值即可安全清除Netspy。4.5 国内流行十大木马之四-黑洞2001 特点：国产木马，默认端口2001。可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以长驱直入，在你的系统中肆意纵横。 服务端执行后，在c:windowssystem下生成两个文件：一个是服务端的直接复制S_Server.exe，用的是文件夹图标，注意：这是个可执行文件，可不是文件夹；另一个是长度255,488字节的windows.exe文件，用的是未定义类型图标。它在机器开机时立刻运行，并打开默认连接端口2001！黑洞2001是典型的TXT文件关联木马，当在DOS下把windows.exe文件删除后，服务端暂时被关闭，即木马暂时删除。但文本文件被运行时，隐蔽的S_Server.exe木马文件又被激活，它再次生成windows.exe文件，即木马又复活了！ 清除方法： 1）将HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认键值由S_SERVER. EXE %1改为C:WINDOWS