恶意代码的分析与清除-安全培训(NXPowerLite).pptx

恶意代码的分析与清除 概要信息安全现状流行病毒介绍病毒的分析与清除LONGWAY TECH攻击趋势－十大攻击源头中国在全世界范围内排名第二LONGWAY TECH攻击趋势－傀儡网络的统计在2006 下半年，symantec观察到平均每天有63,912 台活跃中Bot 傀儡网络电脑，相较于2006 上半年增加了11%。2006 下半年symantec在全球总共观察到6,049,594 台受Bot 傀儡程序感染的电脑，相较于上半年增加了29% 。以亚太与日本來看，中国受到傀儡程序感染电脑数量排名第1位，占本地区的71％LONGWAY TECH漏洞发展趋势－零时差漏洞「零时差(Zero-day) 弱点」之定义：有充分公开证据指出該弱点在公布前已经被广泛利用。在2006 下半年，Symantec共记录了12 笔零时差弱点資料，比起上两个报告期间有显著上升。九月Symantec记录了4 个零時差弱点，這些弱点大多会影响Office 应用程序、IE浏览器、和ActiveX 控件LONGWAY TECH攻击趋势－web浏览器攻击的分布尽管这个阶段IE的漏洞比Mozilla少，但是由于IE的high profile及广泛使用，它仍然是遭受攻击最多的浏览器统计数据中包含了多种存在漏洞的浏览器LONGWAY TECH恶意代码发展趋势木马程序正在增長中，而且可能构成更大的威胁，因为他们会利用浏览器和零时差漏洞来发动攻击。提交到Symantec的木马程序由2006 上半年的23%，增加到2006 下半年的45%，並且在所有潜在/企图感染的恶意代码中，占60%。LONGWAY TECH恶意代码发展趋势在2006 下半年，Symantec诱捕电脑记录了136个前所未见的新的恶意代码，而在2006 上半年则发现98个。在前十大新恶意代码家族样本之中，有5 個是木马程序在2006 下半年， Win32 变种的数量上升了22%，达到8,258 个。提交到Symantec賽的前50 大恶意程序代码中，多型(Polymorphic威胁占了3%，相较上一个提交报告期间2% 略微上升。在2006 下半年，35% 的新即时通讯威胁可能影响MSN Messenger。LONGWAY TECH 概要信息安全现状流行病毒介绍病毒的分析与清除LONGWAY TECH流行病毒分析U盘传播病毒介绍 通过U盘自动运行来进行传播的病毒，利用系统AutoRun机制，由用户使用U盘时主动触发病毒的运行，进而感染系统，随后在此机器上使用的其他U盘也会被感染，从而感染更多的机器，具有传播范围广，难以彻底清除的特点LONGWAY TECH流行病毒分析AutoRun.inf文件内容 [AutoRun]open=Rrecycled\autorun.pifshell\1=打开(O)shell\1\Command=Recycled\autorun.pifshell\2\=浏览(B)shell\2\Command=Recycled\autorun.pifshellexecute=Recycled\autorun.pifLONGWAY TECH流行病毒分析U盘传播病毒的防范 不要双击打开U盘,可使用右键单击打开,或者右键单击资源管理器。即使使用右键方式还是可能会感染病毒屏蔽U盘自动运行功能 1.开始——运行——regedit； 2.定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\MountPoints2； 3.在MountPoints2上右键——权限； 4.添加——输入everyone——检查名称——确定； 5.选择完全控制栏的拒绝，应用，对安全警告回答是LONGWAY TECHAV终结者病毒“AV终结者”集目前最流行的病毒技术于一身，一旦感染，几乎所有的解决途径均遭破坏，很难清除。“AV终结者”造成的影响： 1、禁用所有杀毒软件以相关安全工具。 2、破坏安全模式。 3、强行关闭带有病毒字样的网页。 4、用户格式化后，只要双击其他盘符，病毒将再次运行。自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序等，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。 Trojan.KillAV病毒 病毒执行后会释放 setuprs1.pif和lsass.exe 到windows下并注册为服务进行启动。接入U盘时会自动向其写入隐藏的文件夹 runauto..和隐藏文件autorun.inf 进行映像劫持HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exeHKLM\SOFT