网络信息安全“熊猫烧香(武汉男生)”“熊猫烧香(武汉男生)”病毒名:Worm.WhBoy.h“熊猫烧香”最早现身于2006年11月,它是一个由Delphi工具编写的蠕虫,终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香(武汉男生)”“熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。它是尼姆亚变种W(Worm.Nimaya.w)。由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。病毒特征1、病毒关闭众多杀毒软件和安全工具2、循环遍历磁盘目录,感染文件,对关键系统文件跳过3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香(武汉男生)”4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码;添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。5、自动删除*.gho文件6、病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。病毒工作原理1:拷贝文件.病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe.2:添加注册表自启动.病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunsvcshareC:\WINDOWS\System32\Drivers\spoclsv.exe.病毒工作原理3:病毒行为.a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:.QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword.并使用的键盘映射的方法关闭安全软件IceSword.病毒工作原理添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare-C:\WINDOWS\System32\Drivers\spoclsv.exe.并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe.病毒工作原理b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共享存在的话就运行netshare命令,关闭admin$共享.c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行netshare命令关闭admin$共享.病毒工作原理d:每隔6秒删除安全软件在注册表中的键值.并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue-0x00.删除以下服务:.navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvc.病毒工作原理e:感染文件.病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:.WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZone.病毒工作原理f:删除文件.病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。“熊猫烧香(武汉男生)”2007年2月,湖北警方告破熊猫烧香电脑病毒案,抓获8名疑犯,这是我国破获的国内首例制作计算机病毒的大案。病毒制造者涉嫌4重罪:即窃取信息,又破坏计算机系统,有可能会定为“非法侵入计算机信息系统罪”和“非法破坏计算机信息系统罪”;再加上传播病毒,并窃取财富,又涉及了“盗窃罪”;并且,病毒在窃取用户游戏账号或者QQ号后会导致原使用者无法使用,可能会涉及“侵犯通讯自由罪”网络信息安全教材:《信息安全原理与应用》(第三版)SecurityinComputing(ThirdEdition)[美]CharlesP.Pfleeger著ShariLawrencePfleeger李毅超等译电子工业出版社参考资料《网络信息安全》周明全等著,西安电子科技大学出版社《密码编码学与网络安全》-原理与实践(第三版)[美]WilliamStallings著,刘玉珍等译,电子工业出版社《应急响应&计算机司法鉴定》(第2版)KevinMandia,ChrisProsise,MattPepe著,汪青青等译,清华大学出版社参考资料中国黑客联盟中国红客基地国家计算机网络应急技术处理协调中心课程安排PartⅠ:信息安全概述(ch1)PartⅡ:密码学(重点)Sec1,密码学基础(ch2)Sec2,密码学精讲(ch10)PartⅢ:程序安全(ch3)课程安排PartⅣ:操作系统安全(ch4)数据库安全(ch5)专题讨论:可信计算(ch5)课程安排PartⅤ:网络安全((重点):网络安全概述(ch7)专题讨论:IP安全,Web安全专题讨论:防火墙技术专题讨论:入侵检测技术专题讨论:垃圾邮件与垃圾短信过滤专题讨论:计算机病毒课程安排PartⅥ:专题讨论:计算机犯罪取证技术(ch8+ch9)考核总分=期末(60%)+期中(20%)+平时成绩(15%)+考勤(5%)2006年全国信息网络安全状况与计算机病毒疫情调查分析报告CNCERT/CC2005年上半年网络安全工作报告第一章信息安全概述1.1信息安全问题1.2计算机安全的含义1.3计算机犯罪简介1.4计算机安全防范方法信息安全问题出现信息成为社会发展的重要战略资源,信息技术改变着人们的生活和工作方式,计算机系统成为不法分子的主要攻击目标计算机系统本身的脆弱性网络的开放性、共享性信息安全成为世人关注的社会问题信息安全问题及其表现当前,信息安全问题严重,其现状和发展趋势令人担忧具体表现如下:政治上敌对势力的破坏◆2002年在江泽民主席的767专机上查出27个窃听器◆2002年和2003年法轮功分子三次攻击鑫诺卫星,将信息对抗引入到空间领域军事上信息战已经开始信息技术的发展促进了军事革命,信息战、网络战成为重要作战形式◆两次海湾战争中美国都实施了信息战美国、韩国、以色列都成立了网络作战部队◆2003年的伊拉克战争中美军使用电子炸弹,发出微波脉冲,可损坏几百米内的计算机和通信设备◆美国加紧研究卫星防护与干扰技术经济犯罪利用计算机进行经济犯罪◆利用计算机进行经济犯罪超过普通经济犯罪◆我国利用计算机进行经济犯罪的发案率每年高速度递增信息安全概述信息安全问题可追溯到两个问题:计算机系统安全问题+网络通信安全问题计算机系统安全问题计算机病毒◆计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。◆计算机病毒在继续增加黑客入侵◆2003年1月25日13时30分到19时30分的6个小时内,亚洲、北美和欧洲的INTERNET网络全部陷入瘫痪和半瘫痪状态可能的原因:●反战黑客反对美国对伊动武,对美国网络发动攻击●美国为对伊实施网络战在作准备●新的计算机病毒网络通信安全问题网络共享性、开放性通信设备、通信链路防范措施不够完善我国基础信息技术受控于国外◆主要的集成电路芯片依赖进口易于在集成电路中植入病毒、后门、窃听器等◆操作系统依赖国外所有操作系统都有后门◆微软开放WINDOWS源码是闹剧:不是全面开放;不支持编译比对;不支持测试安全目标(主要):保密性Confidentiality信息的机密性,对于未授权的个体而言,信息不可用完整性Integrity信息的完整性、一致性,分为数据完整性,未被未授权者篡改或者损坏系统完整性,系统未被非法操纵,按既定的目标运行可用性Availability服务连续性1.2计算机安全的含义拒绝服务(DoS)攻击DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。分布式拒绝服务(DDoS)攻击DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时,它的效果是明显的。分布式拒绝服务(DDoS)攻击随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了---攻击目标对恶意攻击包的“消化能力”加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。分布式拒绝服务攻击体系结构分布式拒绝服务(DDoS)攻击高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过