科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道检测屏避法 轻松降服网络蠕虫病毒杀手

检测屏避法 轻松降服网络蠕虫病毒杀手

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

自1988年莫氏放出第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是网络的迅速发展,令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界。

来源:论坛整理 2008年8月28日

关键字: 安全防范 病毒查杀 蠕虫

  • 评论
  • 分享微博
  • 分享邮件
自1988年莫氏放出第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是网络的迅速发展,令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界。
  不同于一般的病毒,蠕虫病毒以计算机为载体,复制自身在互联网环境下进行传播,蠕虫病毒的传染目标是网络上所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
蠕虫的工作原理一般是这样的:
  首先,扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址,然后对这一地址段上的主机扫描。笨点的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。
  其次,攻击:当蠕虫扫描到网络中存在的主机后,就开始利用自身的破坏功能获取主机的管理员权限,最后,利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。
由此可见,蠕虫的危害有两个方面:
  一.蠕虫大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪。
  二.网络上存在漏洞的主机被扫描到以后,会被迅速感染,使得管理员权限被窃取。方便黑客的攻击。
  魔高一尺,道高一丈,随着蠕虫的快速演变,解毒的的高手也不断涌现。艾泰科技宽带安全网关系列以不变应万变,用“检测——屏避”的简单防毒方法
  首先,检测,这一步骤需要手工来操作,但极为简单,由于网络中的蠕虫病毒是通过不断向外界计算机发出扫描包,这些扫描包是有显而易见的特点的,例如,被感染的计算机中的蠕虫病毒会向网络中的某段IP地址发送扫描包。由于网络所来往发送接收的包都要经过路由器,而通过路由器的WEB管理界面就可以轻松看到。所以,蠕虫病毒攻击的特点反映在上网监控页面上就是:感染的主机发出大量的NAT会话,会话中只有上传包,下载包很小或者为零,如果存在这样的主机,说明该主机已经被蠕虫病毒感染。
来源:eNet硅谷动力
1、关于木马
  木马是病毒当中非常特殊的一族。它的实质只是一个网络C/S程序。木马工作的原理是这样的:一台中了木马被控制的机器相当于一台服务器,控制端则相当于一台客户机,作为服务器的主机会由木马打开一个端口并接收控制端的命令,如果控制端提出连接请求,这时中毒机器上的木马就会自动运行,来回应控制端的请求(开始将中毒机器中对方需要的资料或者文件传送给木马发送者的机器)。因此,这就是整个木马工作的程序。
2、发现木马
  木马常见的中毒症状表现如下:莫名其妙的死机,在没有操作的情况下硬盘自动读取(机箱指示灯在闪烁)等等以外,通过下面几个办法可以帮助大家发现木马:
  (1)奇怪的开机运行程序
  很多木马都是开机就运行的,如果你发现了奇怪的开机运行程序可以通过【开始】-【运行】输入“msconfig”回车,打开【系统实用配置程序】-【启动】在这里关闭你不需要的。往往病毒在这里关闭以后还会出来,并且2000系统没有msconfig这个程序,所以需要修改注册表,咱们往下看。
  笔者经过整理发现一般木马都会在以下位置加载自己达到开机运行的目的:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
  [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
  一旦在注册表以上位置发现含有奇怪的程序路径完全可以删除,然后记住程序名称在注册表中通过搜索找到并删除!
  (2)网络流量异常
  平时如果没有下载或者上传,但是却发现网络流量较大(可以通过ADSL指示灯或者通过任务栏里面上网络状态查看),很有可能就是木马正在工作。这是应该立刻关闭网络,重启进入安全模式下仔细检查。
  (3)任务管理器中检查可疑进程
  通过ctrl + shift + del打开 [任务管理器]-[进程],经常看看里面都有哪些进程在运行。如果你一个都不了解可以上网通过搜索引擎查询。一旦发现可疑进程就要立刻检查。
  另外,很多时候会出现某个进程对应的cpu使用率接近100%,首先通过软件或者网络搜索这个进程信息对应的程序,关闭程序或者替换别的版本如果排除程序与系统兼容或者系统本身问题后还出现这样的情况可以断定该进程是软件绑定的木马。
  (4)系统服务中的奇怪项目
  开始-运行,输入services.msc在这里可以看到众多的服务,也许第一次你会头疼?教大家一个窍门:首先最大化这个窗口,点击最上端的【状态】将所以已启动的服务排列在一起,这样就一幕了然了,点击任何一个在左侧就有对应的解释。一般病毒的服务是没有解释的(这不是说没有解释的就是病毒)所以大家遇到不清楚的上网查查很快就明白了,如果发现有问题的服务赶紧关闭。方法:双击准备关闭的服务-进入属性窗口,点击“停止”然后将【启动类型】选择“已禁用”确定即可!
  目前的杀毒软件具有很好的查杀木马的功能,可以使用杀毒软件更高效、简便地剔除木马。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章