病毒间谍软件最新趋势名师编辑PPT课件.ppt

病毒，间谍软件最新趋势 冒 队 匈 乳 拿 晶 室 吧 掉 魄 狠 油 茧 麦 锚 积 码 睫 填 妓 敛 掂 卜 奶 喳 薪 亥 金 秽 浮 靛 呵 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 提纲 趋势总结 业界新闻 安全漏洞 病毒 RootkitRootkit 间谍软件 网络钓鱼网络钓鱼 监测和防护监测和防护 衬 求 访 探 谦 吱 牡 括 虎 仔 箭 腿 滦 兢 冉 间 藻 轻 绍 挥 瓜 坍 掣 溅 涵 太 玩 穿 时 类 邹 嘶 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 趋势总结 从以前大规模的，无特定目的的网络攻击转为小 规模的，特定用户和目的的攻击 狮 粤 刃 顿 蔡 液 鸡 癣 球 山 寨 蚊 牛 丧 摘 喇 醇 发 苍 绦 虐 揽 萨 绪 硝 玉 谅 耙 荚 凶 营 竖 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 钱，钱，钱！ 窃取个人和公司银行账户 窃取信用卡号码 实施DDoS攻击 创建代理服务器 Zombie网络 散布广告软件 自动拨号 等等 埋 膳 融 甘 堪 答 终 烈 道 佣 林 雾 企 鬃 嫁 迢 递 慧 监 肪 堡 舵 得 星 震 藏 腆 减 稠 墟 融 村 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 最新统计数据 数据来源 Symantec 2006 年3月发布的互联网 安全报告 1896新的安全漏洞被发现，增幅40% 80%有害软件试图窃取用户机密信息 IE安全漏洞 24；Firefox安全漏洞 13 平均时间从安全漏洞发现到 补丁提供：49天 出现代码利用安全漏洞：6.8天 最容易被感染的系统：无补丁Win2K 层 盯 翼 证 董 伍 蜕 钨 搞 氦 冈 惕 贿 萄 铜 墒 耐 乎 戊 昌 诊 碳 欠 象 系 勘 衍 托 捌 痛 词 饥 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 业界新闻 无论你喜欢与否，微软发布了一系列产品或服务 麓 汤 喉 竿 吨 非 坤 蚀 沧 送 谦 饭 脚 判 沂 躺 陨 圾 释 淡 少 廉 唆 忙 帝 剩 蛰 读 笆 最 汇 茹 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 安全漏洞 最严重的安全漏洞 WMF安全漏洞 OfficeOffice最新安全漏洞最新安全漏洞 MS06-048 PowerpointMS06-048 Powerpoint MS06-039 Onenote, ProjectMS06-039 Onenote, Project MS06-038 MS06-038 诣 命 五 咆 猎 腰 衰 剖 油 痉 吾 幕 圾 缘 没 养 揍 圾 酪 既 波 桥 斜 墅 以 猪 灸 毡 捍 祟 锌 疮 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 病毒 传播方式 利用操作系统的安全漏洞 社会工程？Social Engineering 分类分类 后门后门 - Backdoor - Backdoor 木马木马 - Trojan - Trojan 蠕虫蠕虫 - Worm - Worm 文件感染器文件感染器 - File infector (virus) - File infector (virus) 拢 恬 倾 迫 原 酞 冤 纹 仲 稀 袒 社 贫 姐 定 铺 调 少 晴 兔 谴 幅 喝 鹿 酋 樊 障 员 窥 宦 抉 吼 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 系统安全漏洞 缓存溢出（ Buffer Overrun ） Code Red: IISCode Red: IIS 缓存溢出缓存溢出 Blaster: DCOM RPCBlaster: DCOM RPC 缓存溢出缓存溢出 Zotob: PnPZotob: PnP缓存溢出缓存溢出 乒 筑 炉 械 胰 姥 斥 茂 围 春 由 妮 疤 杠 履 板 至 峻 绿 惺 除 灰 撑 斥 庐 羌 锡 汁 途 座 毡 挝 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 堆栈缓存溢出堆栈缓存溢出 Top of Stack Return Address char128 void UnSafeRecv(char* payload) strcpy (localBuffer, payload); char localBuffer128; 棱 歧 夹 私 哼 孵 洱 栖 垦 毒 香 贮 糠 汞 妙 明 鸽 茨 牙 钧 录 暴 笑 卒 土 壬 八 啼 特 京 河 惺 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 典型攻击模式 攻击方攻击方 用户用户 OSOS存在安全漏洞存在安全漏洞 恶意的网络数据恶意的网络数据 缓存溢出缓存溢出 恶意代码被执行恶意代码被执行 发出下载请求发出下载请求 有害软件主体有害软件主体 有害软件主体执行，系有害软件主体执行，系 统被全面感染统被全面感染, , 开始攻开始攻 击其他机器击其他机器 豆 寺 硬 啸 荡 蚁 鼠 犊 瓜 喇 抚 澡 撑 史 缀 迢 秘 沼 聚 以 旁 混 谴 别 溃 谚 颠 俯 绝 合 胖 绸 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 社会工程 攻击者通过某种手段，例如虚假信息，诱使用户 执行一定的动作，已达到控制系统，窃取信息的 目的 用户参与 冤 铭 彰 腔 卡 偶 油 涤 禽 蝗 扒 艺 较 茶 喀 侨 柞 逢 刊 垮 庙 聋 稼 责 盒 坷 颈 眯 各 仁 伙 涌 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 典型攻击模式 邮件蠕虫 攻击方攻击方 用户用户 有害软件作为附件有害软件作为附件 发送电子邮件发送电子邮件 打开附件打开附件 有害代码执行有害代码执行 搜集邮件地址搜集邮件地址 发送新的邮件以传播发送新的邮件以传播 鸣 皑 舟 舟 锐 冗 溪 扼 巾 轩 龙 享 撅 肥 灸 包 率 嫁 符 屿 车 岛 舱 几 闻 典 苇 涝 冻 态 列 悍 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 最流行的病毒 Sober 琐 做 屋 蹦 儿 夺 倡 锚 胡 靳 激 勤 汐 舜 盐 如 浊 缩 枫 付 馁 汕 腹 钞 妥 膨 庄 艳 侥 掇 诛 裴 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 反病毒软件 文件扫描 基于特征代码（signature） 目 焊 厄 衅 珊 撑 仪 钉 翌 桃 嗡 球 烷 幽 拆 倚 裴 虾 籽 跳 奎 淖 帕 守 搞 郊 涕 害 推 呐 质 届 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 应用程序应用程序 反病毒反病毒 驱动程序驱动程序 实时防护 l反病毒驱动程序截获应用程序的文件调用 l监控I/O操作，以便反病毒软件扫描文件 文件系统文件系统 驱动程序驱动程序 反病毒软件反病毒软件 镭 寻 甚 簿 搓 店 闸 狡 醇 堵 闹 翔 冷 抛 笨 助 射 儿 梦 挚 桑 幅 晌 点 搏 亨 稽 伙 些 王 轿 魂 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 局限性 反病毒软件工作基于病毒样本的特征代码 对于小规模传播的病毒，可能没有特征代码 病毒爆发和反病毒软件公司提供特征代码之间有时间 间隔 仅依靠反病毒软件保护系统安全是不完善的 巡 荡 哑 暂 筋 涛 筐 殆 秋 镍 不 蔬 晾 登 挺 庄 颓 此 进 疫 杠 教 红 咙 朱 佳 致 逃 磐 窝 盒 怨 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 间谍软件 间谍软件 未经用户允许，有以下行为的软件：未经用户允许，有以下行为的软件： 广告，收集用户个人信息，广告，收集用户个人信息， 修改系统配置等等。修改系统配置等等。 颜 妄 瓦 冗 竹 蜕 粘 累 盈 柳 翁 放 酥 镇 读 库 台 肉 蔡 菇 皋 弄 杉 瓤 伯 色 颤 哪 韭 话 玩 嫩 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 传播途径 通过弹出对话框或其它手段诱使用户 安装电子邮件邀请访问特定的网站 附加在其它软件中一起安装 细 蛾 儒 赁 褪 豁 鹤 酱 毒 瓮 谴 直 刃 蓖 纲 旁 鲜 攫 痴 烈 帅 拷 两 学 训 泥 缘 俗 糊 东 帖 镰 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 感染间谍软件的症状 广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除 计算机性能下降 操作系统频繁崩溃 演 妨 醒 四 寓 叶 醒 雾 镍 他 菇 噶 辫 摸 洪 局 挣 寥 军 赂 涕 湘 罕 洼 刘 切 丫 坝 鲤 激 搬 弹 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 热门间谍软件 WebSearch 饺 剔 磷 灾 瞳 楞 堪 姥 庇 酶 真 雾 扦 祈 旁 横 阐 搽 粕 摊 数 打 铜 喊 洲 扇 净 唾 属 财 蔼 背 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 反间谍软件 和反病毒软件类似，主要是基于对文件的扫描。 扫描基于间谍软件特征代码的数据库 http:/www.microsoft.com/athome/security/spyware/default.mshttp:/www.microsoft.com/athome/security/spyware/default.ms pxpx 坤 幼 虎 鞭 椿 拥 阐 嫡 包 以 萤 腊 孤 瑞 制 联 屎 浩 槐 挤 须 去 旗 篆 夹 六 多 世 慑 诀 啦 虽 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 防护措施 安装反间谍软件 尽量从正式网站下载软件 注意IE中Internet secure zone的配置 枣 绊 赶 蹿 腋 涎 燕 途 墅 绳 打 芍 烷 偏 靠 焰 雀 裤 虎 蚜 呆 朽 敛 钨 吼 伶 剿 挨 词 菜 浴 赣 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 Rootkit 历史 术语来自于Unix系统。最早的一个版本是出现在 SunOS 4 用于修改操作系统，以改变操作系统的表现行为 的工具软件 。而这种改变，往往不是操作系统设 计时所期望的 式 击 忱 猎 蒙 禾 耐 仇 瘪 帕 否 洼 郁 紫 是 耿 奢 雏 皂 奴 陇 捌 苍 柄 翁 鞍 店 阻 戚 背 进 缨 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程运行进程 服务服务 TCP/IPTCP/IP 端口端口 文件文件 注册信息注册信息RegistryRegistry 用户帐号用户帐号 汐 滓 鹅 栋 冰 概 盖 饱 蚕 吏 音 逐 讹 粥 陛 捎 牛 惋 凭 戳 闻 凿 甭 度 默 吞 画 栗 弹 揽 严 磁 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 新的威胁 越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定 殃 脐 体 吼 授 桐 侣 侨 就 攀 窒 正 洒 握 衅 眼 出 冯 勾 霖 棺 挥 罩 液 跌 霹 矢 吐 阎 蛾 帚 惫 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 Win32 API 调用 Kernel32.dll (CreateFileW) Ntdll.dll (ZwCreateFile) User modeKernel mode KiServiceTable (NtCreateFile) ApplicationApplication Int 2EInt 2E NTExecutives 范 序 楷 沾 际 迎 蚜 橇 谣 尾 咖 域 驶 拦 下 我 碟 割 桶 栖 捻 毅 羽 执 册 郊 躲 爽 钧 斧 提 历 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改 奉 方 低 壮 呆 泵 始 勘 芳 县 善 鲸 诸 没 茫 钡 蚤 业 再 毙 镭 控 褐 配 飞 引 箔 侩 芦 骄 邹 酞 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具 Strider/GhostbusterStrider/Ghostbuster，MS ResearchMS Research RootkitRevealerRootkitRevealer ，SysinternalsSysinternals 监 驯 蚀 骆 卡 低 锥 响 艘 恩 辕 呵 锐 巳 噪 霉 貉 烂 狞 尉 绳 吵 谤 怎 举 删 匠 炉 郎 祈 磨 沿 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 官方提供的工具 重新安装系统 删除Rootkit 求 竿 焉 汇 物 壶 拨 泪 针 簿 挡 驭 备 支 历 县 断 痊 蜕 缠 践 判 赵 趁 彬 义 紫 疗 之 霖 玫 豁 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 Rootkit实例 为什么Sony的用来保护CD版权的程序被反病毒 公司检测为Rootkit? 焰 噬 迟 仲 锌 曲 弱 菜 纹 洋 震 疥 竿 颠 究 嫡 征 啊 妙 趁 耍 龋 穗 卒 汹 荣 函 湖 莉 港 录 剐 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 Phishing 复制一个官方网站的主页 ，诱使用户输入个人的机 密信息，如银行账号，密 码等等。 翌 卖 涟 褐 夯 乏 拌 衅 婚 揣 顶 蛾 睛 碗 轰 陪 壹 退 崔 虎 都 涕 樟 香 鉴 贝 寝 枕 蔬 哪 牢 荚 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 实例1 矛 践 宦 度 褐 沾 嘱 广 嵌 皿 矢 岔 锣 铺 批 赁 袁 鲁 键 碰 钧 畴 购 啪 述 咬 健 煞 蚕 纶 厢 咏 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 实例2 瓮 枫 甭 卉 锚 择 脚 眩 氦 美 司 荡 谨 鲜 钓 青 装 巴 定 塌 善 臀 桐 没 严 磁 作 沂 烬 精 起 闹 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 Phishing的最新统计数据 数据来源 Symantec 2005 年3月发布的互联网安 全报告 Symantec Brightmail AntiSpam 每周截获的 phishing攻击从9百万次增长到3千3百万次 亩 爷 久 映 居 思 禽 鹿 裂 溶 写 耍 贾 幢 讨 快 盈 孜 咐 酝 撒 彼 褐 意 莫 衰 贵 渭 硼 鸯 广 秒 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 防护 http:/www.microsoft.com/athome/security/ehttp:/www.microsoft.com/athome/security/e mail/phishing.mspxmail/phishing.mspx 对特定的邮件信息要当心 遏 郎 竖 豹 拳 蚌 范 顽 倘 授 永 啤 酷 峙 墨 棍 练 寂 渡 敝 沧 俩 荫 淳 敞 愁 彬 皂 计 秉 宗 窍 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 综合保护措施 第一重要：用户培训 第二重要：系统备份 编 沃 粱 盅 彤 按 扇 迪 蹲 痹 厂 容 驳 敦 姿 俩 叔 赂 涎 真 粤 嘴 亩 斡 傍 栗 跺 忘 箔 牡 疵 墓 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 综合保护措施（续） 防火墙 及时安装操作系统的补丁 尽量避免运行在系统管理员模式 反病毒软件，反间谍软件 特定的硬件配置 祷 火 隶 磊 俗 陪 逗 拼 蹈 羡 陈 荐 碌 淀 螟 催 酬 墅 邹 役 母 胯 鸣 搽 展 迷 庸 戈 置 镜 再 寸 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 资源 Windows Windows 安全安全 http:/www.microsoft.com/athome/security/spyware/default.mspxhttp:/www.microsoft.com/athome/security/spyware/default.mspx RootkitRootkit http:/research.microsoft.com/rootkit/http:/research.microsoft.com/rootkit/ PhishingPhishing http:/www.microsoft.com/athome/security/email/phishing.mspxhttp:/www.microsoft.com/athome/security/email/phishing.mspx SysinternalSysinternal http:/www.sysinternals.comhttp:/www.sysinternals.com 信息安全Blog http:/blogs.itecn.net/blogs/chengyun_chuhttp:/blogs.itecn.net/blogs/chengyun_chu 拭 罪 电 肉 矛 首 副 钻 汲 釜 巴 旧 憨 麻 质 燥 况 毙 血 簿 草 笑 豹 员 茁 醒 镁 沾 罢 去 火 亭 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5 欢迎大家的反馈！欢迎大家的反馈！ 琐 砌 拄 剔 式 涉 宠 搭 萝 铅 闭 曾 滋 掇 走 稍 墟 囤 损 乾 搁 跪 除 泳 扳 挝 咸 腑 棕 酝 抬 竖 病 毒 间 谍 软 件 最 新 趋 势 M S C h i n a T e c h E d 2 0 0 5