病毒基础防治知识-安博士公司提供 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年06月01日 08:28 新浪科技 | ||||||||||
目录 ----计算机病毒的定义 ----恶性代码的定义
----计算机病毒 vs 恶性代码 ----恶性代码的种类 ----引导 型病毒 ----文件型病毒 ----宏病毒 ----蠕虫 病毒 ----特洛伊木马 程序 ----Joke, Hoax/Myth 程序 ----恶意程序陷阱, 脚本 病毒, Spyware 程序 1.计算机病毒的定义 它是一个可以进行复制件或自身进行复制的程序(或一批可执行代码),并且能够传播到其它文件 •LawrenceE.Bassham &W.Timothy Polk,“Treat Assessment of Malicious Code and Human Threats”, 1992. -病毒具备的特征 •复制 •需要一个宿主程序作为载体 •需要外部的行动激活它 •限于复制到(虚拟)系统中 2.恶性代码的定义 •制造者有意图损坏使用者而制造的所有具有恶意目的的 程序,宏 及脚本等,并在计算机中能操作的所有可运行的程序。 -称为Malicious code或Malcode,Malicious program,Malware - •组成 -病毒(Virus) -蠕虫(Worm) -特洛伊木马(Trojan Horse) -假病毒(Hoax) -恶作剧(Joke) -其它 3.计算机病毒vs恶性代码 •计算机病毒也属于恶性代码 4.引导型病毒 • 打开计算机时,驻留在磁盘的第一个引导扇区中运行的病毒。 • •感染路径 -用感染的软盘启动->感染硬盘->读软盘的瞬间感染正常的硬盘。 •感染症状 -启动速度缓慢 -减少常规内存等 - •具有代表性的 病毒 -Brain病毒,Michelangelo病毒,Monkey病毒,Anti-CMOS病毒,WYX病毒等 5.文件型病毒 •通常感染可执行文件的病毒 • 感染Windows中存在的多种可执行文件,(BIN,OCX,SCR等) •感染路径 -运行感染文件 •感染症状 -程序的运行速度缓慢 -减少常规内存等 • 具有代表性的病毒 -DOS型文件病毒,Windows型文件病毒,宏病毒 6.宏病毒(1) •利用包含在应用程序中的宏功能,复制自身的病毒 •特征(1) -不受操作平台的影响 •宏运行环境时与操作平台无关 - 变种宏病毒 •合并(Merge) •上位转换(Up conversion) •WCS(Wide Character System) ->有时通过杀毒软件也不能诊断 感染的文档 •Word:Word文件(doc),Normal.dot •Excel:Excel文件(xls),Personal.xls 7.宏病毒(2) •特征(2) -容易制作及变种 •用高级语言编写:VBA(Visual Basic for Application) •MS Office以外的多种产品(其它公司)中都适用。 -AutoCAD,CorelDraw,Lotus1-2-3,Visio等 -传播速度快 •文档文件比执行文件更容易频繁交换 •公司内部公告栏的附加文档 •电子邮件 •因感染文档,使商业可信度降低 -攻击微软公司的S/W安全缺陷 8.宏病毒(3) •具有代表性的病毒 -Word95/97/2000宏病毒 -Excel95/97/2000宏病毒 -Excelfomula宏病毒 -Excel97/2000宏病毒 -Powerpoint97/2000宏病毒 -Office97/2000病毒 -MS Visio宏病毒 -MS Project宏病毒 9.特洛伊木马(1) •没有自身复制功能的恶性代码 -Back door也属于特洛伊木马 - 潜藏在应用程序内部的功能 -根据操作平台分DOS/Windows 特洛伊木马 •主要功能 -泄露特定信息(跟踪用户的击键,窃取个人信息等) -远程控制对方计算机 - 删除数据 •扩散方法 -伪装成大家熟知的应用程序 -伪装成具有优秀功能的新应用程序 10.特洛伊木马(2) • 存在的问题 -使用者不知道被感染 -感染症状不明显,因此长期被害 -威胁个人信息 -出现多种变种 -容易使用,并在很多有关入侵网站中得到 •具有代表性的种类 -BackOrifice2000,Win-Trojan/Ecokys,Win-Trojan/Meteor,Win-Trojan/Subseven 等 11.蠕虫(1) •过去指在内存中进行自我复制的程序,当前这种繁殖通常是通过网络连接或电子邮件附件完成。不象病毒,蠕虫不需要将它们自己附着在主程序上。 -分成(文件)蠕虫,脚本蠕虫,IRC蠕虫等 -又称为InternetWorm -用高级语言(C++,VisualBasic等)制作 •主要功能 -与特洛伊木马相似 •扩散方法 - 通过引发好奇心的电子邮件的附件 - 恶意利用改变网络共享文件夹的权限 12.蠕虫(2) • 存在的问题 -向外部公开被损害事实 -降低个人及公司的可信度 -无端泄露个人及公司信息 - 利用客户端的安全缺陷 •具有代表性的蠕虫 -I-Worm/Happy99,I-Worm/Hybris,I-Worm/ExploreZip,I-Worm/Navidad,Win32/Sircam.worm,Win32/Klez.worm.H 13.Joke&Hoax/Myth • 恶作剧(Joke) -虽然不会破坏数据,但其症状与病毒相似,吓唬使用者的各种程序 -Delete_Game,Format_Game,Cokegift,Puzzle等 • 假病毒(Hoax/Myth) -计算机病毒的一种垃圾邮件(Spam) -负作用:安全意识降低 -GoodTimes virus,Join the crew,WOBBLIER,SULFNBK.EXE Warning, JDBGMGR.EXE Warning 等 14.Dropper&恶性脚本 •Dropper -使用者不知的情况下在系统中设置计算机病毒或恶性程序的程序 •恶性脚本 -利用脚本制作的恶性代码 -分配文件,mIRC脚本,VBS(Visual Basic Script),JS(Java Script) •Spyware - 为了让SW开发公司了解一部分个人信息而制作/明示的一种正常的程序 |