防病毒技术培训

防病毒技术培训病毒处理技术2•掌握反病毒知识•熟悉反病毒工具的使用•培养现场反病毒应急响应能力课程目标31.病毒概述1.1当前面临的威胁1.2计算机病毒的分类1.3当前病毒流行的趋势2.常见病毒类型说明及行为分析2.1常见病毒传播途径2.2病毒自启动方式2.3常见病毒行为培训课程安排43.病毒处理技术3.1趋势防病毒产品工作机制介绍3.2病毒问题标准处理流程3.3常用的病毒处理方法3.4常用工具介绍4.典型病毒案例分析培训课程安排5病毒概述1.病毒概述61.病毒概述1.1当前用户面临的威胁1.2计算机病毒的分类1.3当前病毒流行趋势2.常见病毒类型说明及行为分析2.1常见病毒传播途径2.2病毒自启动方式2.3常见病毒行为课程进度71.1当前用户面临的威胁•随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：病毒PE蠕虫WORM木马TROJ后门BKDR间谍软件TSPY其他以上统称为恶意代码。81.1当前用户面临的威胁ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojanSpywareDownloadersDroppersPasswordStealersBackdoors防间谍软件产品覆盖范围防病毒产品覆盖范围91.2现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意行为)灰色软件（正邪难辨）(往往是用户不需要的程序)恶意程序：一种会带来危害结果的程序特洛伊木马：一种会在主机上未经授权就自己执行的恶意程序后门木马：一种会在主机上开放端口让远程计算机远程访问的恶意程序101.2现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意行为)灰色软件（正邪难辨）(往往是用户不需要的程序)病毒：病毒会复制（感染）其它文件通过各种方法A.前附着B.插入C.覆盖D.后附着蠕虫:蠕虫自动传播自身的副本到其他计算机：A.通过邮件（邮件蠕虫）B.通过点对点软件(点对点蠕虫)C.通过IRC(IRC蠕虫)D.通过网络(网络蠕虫)111.2现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意行为)灰色软件（正邪难辨）(往往是用户不需要的程序)间谍软件：此类软件会监测用户的使用习惯和个人信息，并且会将这些信息在未经用户的认知和许可下发送给第三方。包括键盘纪录，事件日志，cookies，屏幕信息等，或者是上面所列的信息的组合。对系统的影响表现为系统运行速度下降，系统变得不稳定，甚至当机。12恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者，黑客一些合法的软件开发程序员是否被视为恶意程序？肯定是不确定，依赖于用户的看法检测此类程序是否会带来法务上的问题？否是Pattern文件格式LPT$VPN.xxxTMAPTN.PTN检测与否默认开启默认关闭，用户必须手动开启恶意程序灰色地带间谍软件不同种类的间谍软件131.3当前病毒流行趋势范围：全球性爆发逐渐转变为地域性爆发如WORM_MOFEI.B等病毒逐渐减少TSPY_QQPASS,TSPY_WOW,PE_LOOKED等病毒逐渐增加速度：越来接近零日攻击(Zero-DayAttack)如WORM_ZOTOB,WORM_IRCBOT等方式：病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒14常见病毒类型说明及行为分析2.常见病毒类型说明及行为分析151.病毒概述1.1当前用户面临的威胁1.2计算机病毒的分类1.3当前病毒流行趋势2.常见病毒类型说明及行为分析2.1常见病毒传播途径2.2病毒自启动方式2.3常见病毒行为课程进度16•木马病毒：TROJ_XXXX.XX•后门程序：BKDR_XXXX.XX•蠕虫病毒：WORM_XXXX.XX•间谍软件：TSPY_XXXX.XX•广告软件：ADW_XXXX.XX•文件型病毒：PE_XXXX.XX•引导区病毒：目前世界上仅存的一种引导区病毒POLYBOOT-B趋势科技对恶意程序的分类17病毒感染系统时，感染的过程大致可以分为：通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如：打开后门等待连接发起DDOS攻击进行键盘记录……2病毒感染的一般方式18除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。2.1常见病毒传播途径192.1常见病毒传播途径•传播方式主要有：电子邮件网络共享P2P共享系统漏洞移动磁盘传播202.1常见病毒传播途径电子邮件•HTML正文可能被嵌入恶意脚本，•邮件附件携带病毒压缩文件•利用社会工程学进行伪装，增大病毒传播机会•快捷传播特性例：WORM_MYTOB，WORM_STRATION等病毒212.1常见病毒传播途径网络共享•病毒会搜索本地网络中存在的共享，包括默认共享如ADMIN$,IPC$,E$,D$,C$•通过空口令或弱口令猜测，获得完全访问权限病毒自带口令猜测列表•将自身复制到网络共享文件夹中通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT等病毒222.1常见病毒传播途径P2P共享软件•将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名•通过P2P软件共享给网络用户•利用社会工程学进行伪装，诱使用户下载例：WORM_PEERCOPY.A等病毒232.1常见病毒传播途径系统漏洞•由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞.•病毒往往利用系统漏洞进入系统,达到传播的目的。•常被利用的漏洞–RPC-DCOM缓冲区溢出(MS03-026)–WebDAV(MS03-007)–LSASS(MS04-011)(LocalSecurityAuthoritySubsystemService)例：WORM_MYTOB、WORM_SDBOT等病毒242.1常见病毒传播途径案例•SQLSlammer–攻击网络上任意IP的1434端口，实现DDOS攻击–造成大量网络流量，阻塞网络•2005年3月，国内某银行一台服务器感染该病毒，导致核心交换机负载达到99%，引起网络瘫痪–从ServerProtect日志中确认为SQLSlammer病毒–SQL服务器未安装补丁–安装SQLServer2000SP3，并再次使用ServerProtect查杀病毒，问题解决。252.1常见病毒传播途径•其他常见病毒感染途径：网页感染与正常软件捆绑用户直接运行病毒程序由其他恶意程序释放目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。26广告软件/灰色软件由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定。2.1常见病毒传播途径27•及时更新系统和应用软件补丁，修补漏洞•强化密码设置的安全策略，增加密码强度•加强网络共享的管理•增强员工的病毒防范意识2.1防止病毒入侵28•针对病毒传播渠道，趋势科技产品应用–利用OfficeScan的爆发阻止功能，阻断病毒通过共享和漏洞传播2.1防止病毒入侵29自启动特性除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。2.2病毒自启动方式修改注册表将自身添加为服务将自身添加到启动文件夹修改系统配置文件加载方式服务和进程－病毒程序直接运行嵌入系统正常进程－DLL文件和OCX文件等驱动－SYS文件30修改注册表–注册表启动项–文件关联项–系统服务项–BHO项–其他2.2病毒自启动方式31•注册表启动HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：RunRunOnceRunServices•以上这些键一般用于在系统启动时执行特定程序2.2病毒自启动方式32•文件关联项HKEY_CLASSES_ROOT下：•exefile\shell\open\command]@=\%1\%*•comfile\shell\open\command]@=\%1\%*•batfile\shell\open\command]@=\%1\%*•htafile\Shell\Open\Command]@=\%1\%*•piffile\shell\open\command]@=\%1\%*“•……•病毒将%1%*改为“virus.exe%1%*•virus.exe将在打开或运行相应类型的文件时被执行2.2病毒自启动方式33修改配置文件•%windows%\wininit.ini中[Rename]节NUL=c:\windows\virus.exe将c:\windows\virus.exe设置为NUL,表示让windows在将virus.exe运行后删除.•Win.ini中的[windows]节load=virus.exerun=virus.exe这两个变量用于自动启动程序。•System.ini中的[boot]节Shell=Explorer.exe,virus.exeShell变量指出了要在系统启动时执行的程序列表。2.2病毒自启动方式34病毒常修改的Bat文件•%windows%\winstart.bat该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。•Autoexec.bat在DOS下每次自启动2.2病毒自启动方式35修改启动文件夹•当前用户的启动文件夹可以通过如下注册表键获得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项•公共的启动文件夹可以通过如下注册表键获得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。2.2病毒自启动方式36病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。2.3常见病毒行为无论病毒在系统表现形式如何…我们需要关注的是病毒的隐性行为！37下载特性很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。后门特性后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性-Downloader&Backdoor38信息收集特性大多数间谍软件和一些木马都会收集系统中用户的私人信息，特别各种帐号和密码。收集到的信息通常都会被病毒通过自带的SMTP引擎发送到指定的某个指定的邮箱。信息收集特性-StealerQQ密码和聊天记录网络游戏帐号密码网上银行帐号密码用户网页浏览记录和上网习惯……39自身隐藏特性多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些病毒会通过修改注册表来实现对系统的文件夹访问权