篇一:四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法
四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法
冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗,是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。
这几种病毒发作时,非常消耗局域网和接入设备的资源,造用户上网变得很慢或者不能上网。下面就来介绍一下,怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒,以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。
1.冲击波/震荡波病毒
【故障现象】
感染此类病毒的计算机和网络的共同点:
1、不断重新启动计算机或者莫名其妙的死机;
2、大量消耗系统资源,导致windows操作系统速度极慢;
3、中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。
造成局域网内所有人网速变慢直至无法上网。
局域网的主机在感染冲击波、震荡波及其变种病毒之后,会向外部网络发出大量的数据包,
以查找其他开放了这些端口的主机进行传播,常见的端口有:
TCP 135端口(常见);TCP 139端口(常见);TCP 445端口(常见);TCP 1025端口(常见);TCP 4444端口;TCP 5554端口;TCP 9996端口;UDP 69端口? ?
【快速查找】
在WebUI上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、 协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等;
2、 会话中该主机有上传包,下载包往往很小或者为0。
【解决办法】
1、 将中病毒的主机从内网断开,杀毒,安装微软提供的相关Windows的补丁。
2、 在安全网关上关闭该病毒向外发包的相关端口。
1) WebUI高级配置组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
2) WebUI高级配置业务管理业务策略配置,建立策略“f_445”(可以自定义名称),屏蔽目的端口为TCP 445的数据包,按照下图进行配置,保存。
3)
WebUI高级配置业务管理业务策略列表中,可以查看到上一步建立的“f_445”的策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。
4) 在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允
许”,保存。
5) 重复步骤2),将其他冲击波/震荡波端口TCP 135/139/445/1025/4444/5554/9996等关闭。
6) WebUI高级配置业务管理全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
篇二:2011年十大病毒
2011年十大病毒
近日,国内专业互联网安全厂商金山网络正式发布《2011-2012中国互联网安全研究报告》。报告显示,2011年金山毒霸累计捕获新增病毒1230万个,每天保护用户免于病毒攻击的次数约500万次。
该报告国内首次统计了病毒的发现概率。报告显示:金山毒霸云安全中心数据统计,每检测1000个电脑文件会发现2~7个病毒;若按电脑台数统计,则大大高于这个数字。右图显示,每天有4%-8%的电脑上会发现病毒。
金山毒霸安全专家表示,2011年,病毒木马变得更隐蔽,病毒行为正在灰色化;恶性病毒在减少,但惹人烦的骚扰型病毒却在增加。上述安全报告还公布了2011年度影响最大的十大病毒。
1.鬼影病毒
鬼影是2010年出现的可以感染硬盘主引导记录的病毒,该病毒甫一出现,就因成功直接在Windows下改写硬盘分区表而闻名。2011年鬼影病毒升级了数个版本,其特点基本为改写硬盘主引导记录(MBR)释放驱动程序替换系统文件,干扰或阻止杀毒软件运行,恶意修改主页,下载多种盗号木马。
在最新出现的版本中,还会释放自己的驱动程序和杀毒软件对抗,阻止杀毒软件修复被改写的硬盘主引导记录(MBR)。2011年9月,鬼影4代病毒(其他杀毒厂商称为BMW病毒),除了上述特征还可感染电脑特定型号的主板BIOS芯片,使病毒的清除更加困难。 2.QQ群蠕虫病毒
QQ群蠕虫病毒是2011年突然爆发的一种传播性很强的病毒,中毒电脑的QQ会自动转发群消息,是第一个可以利用QQ群共享来传播的蠕虫病毒。该病毒主要伪装成电视棒破解程序欺骗网民下载,盗取魔兽、邮箱及社交网络账号。
3.变形金刚盗号木马
变形金刚类病毒最初是在一个伪装外挂的网站上发现,病毒利用暴风影音加载DLL文件时不校验的漏洞使病毒文件得到运行机会。变形金刚病毒开创了利用正常软件间接加载病毒的先河,此后,这种手法被大量病毒作者复制。中毒电脑会随机不定时弹出网页广告,变形金刚感染了超过16万台电脑。
4.输入法盗号木马
2011年输入法盗号木马病毒释放的mgtxxx.ocx文件拦截量曾经居高不下,病毒还推广较多的互联网软件赚取推广费,病毒的主要目的是盗取游戏账号。该病毒最大的特点是注入输入法程序,当用户按ctrl+shift切换输入法时,会激活病毒程序。
5.QQ假面病毒
这类病毒是由易语言编写,利用“我的自拍”“美女图片”做诱饵盗取QQ账号。该病毒制造了一个透明的按钮贴在QQ登录按钮上。强迫中毒电脑QQ下线,逼迫用户手动输入QQ密码后点击登录。该病毒强大的迷惑性感染了数十万台电脑。
6.空格幽灵病毒
该病毒是一个仿图片的病毒,实质是一个远程控制程序。用户一旦打开查看此“图片”,远控程序就会在计算机后台悄然运行,为黑客打开便利之门。黑客可以像控制自己电脑一样控制中毒电脑,这可能会导致用户隐私信息泄漏和虚拟财产被盗,甚至黑客可以利用其组建僵尸网络,对目标计算机进行攻击。这个病毒的特点是使用空格键为启动快捷键,每按一次空格,就激活病毒程序运行,空格幽灵由此得名。
7.DNF(地下城与勇士)假面病毒
DNF假面类病毒也是通过伪游戏外挂网站传播的,其最主要目的是盗取网络游戏DNF(地下城与勇士)账号。病毒巧妙地修改了网络相关的系统组件,当用户开机拨号连网或运行任何有访问网络行为的程序时,比如访问网络邻居时,病毒就被触发。
8.淘宝客劫持木马
淘宝客劫持木马是指劫持浏览器访问淘宝网、淘宝商城到淘宝客页面的一类木马病毒。这类病毒是通过推广淘宝客导致商家成本上升佣金被吸走。淘宝客病毒在2011年严重感染,对淘宝的正常经营构成较严重影响,许多店主表示佣金花冤枉了,不得已只能放弃淘宝客这种推广方式。
9.新型QQ大盗
这类病毒通过成人网站的专用播放器传播,感染后,会在后台下载更多木马和流氓软件,窃取用户信息。该病毒窃取QQ号的方法比较独特,病毒的主要目标是Q币余额不为0的帐号。对没有Q币的帐号,虽然也可顺手偷走,但病毒作者并未将这些QQ号的登录信息发往远程服务器。
10.网购木马
网购木马在2011年全年都很活跃,从发现它的第一天到现在,版本一直在更新,手法一直在变换。有多个网购木马成功突破安全软件的防御,甚至有网购木马还会直接推荐安装某安全浏览器,因为只有在网民使用这种浏览器购物时,病毒才会偷窃成功。
网购木马伴随2010年网购爆发增长而激增,2011年前2个月,平均每月增加新变种近3000个。
篇三:40种电脑常见病毒
100种常见病毒
1. Trojan.PSW.Win32.Mapdimp.a
病毒运行后有以下行为:
1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。
我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒)
2.病毒还会修改注册表信息达到开机被自动加载的目的。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件 开始-运行-输入regedit 打开注册表编辑器展开: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
然后在下面查找有无
{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
如果有展开该子键,此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll
如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同,则证明中毒了。图3
3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll
4.病毒运行后会访问黑客指定的网址下载其他木马病毒,盗取网游账号,并将盗取的信息在后台发送给黑客,使网游玩家的利益受损。
手动处理方法:
第一步,删除病毒文件:
使用wsyscheck工具,文件管理,进入系统目录(默认为c:\windows\system32)找到midimap??.dll和midimap??.dat文件,在文件上面点击右键,选择“发送到重启删除列表中”。 第二步,删除被病毒修改的注册表键值:
1、使用wsyscheck工具或使用注册表编辑器,删除以下键值内容:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值
“c:\windows\system32\midimap??.dll”
2、重启计算机。
2.Trojan.PSW.Win32.GameOL.qku. 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。(依赖系统:Windows NT/2000/XP/2003)
3. Trojan.DL.Win32.Mnless. bdz 木马病毒
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动,给用户的查杀和正常使用计算机带来极大的不便。(依赖系统:Windows NT/2000/XP/2003) 4. Trojan.PSW.Win32.GameOL.qli 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。 5. Worm.Win32.DownLoader.iz蠕虫病毒
病毒运行后,会释放一个名字为beep.sys的驱动,替换掉系统的同名文件,恢复SSDT列表。关闭一些安全软件的服务,结束一些安全软件的进程,以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和YS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。依赖系统:Windows NT/2000/XP/2003
6. Backdoor.Win32.Gpigeon2007.cel 灰鸽子病毒
该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
7. Worm.Win32.DownLoad.iy 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
8. Worm.Win32.Agent. znu 蠕虫病毒
这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时,就发消息模拟鼠标点击不处理,以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒,并在
可移动存储设备写入病毒,以此传播
9. Worm.Win32.DownLoader.cm 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
10. Trojan.Win32.Undef.qls
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息。
11. Trojan.DL.Win32.Mnless. bci
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
12. Trojan.DL.Win32.Mnless. bch
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
13. Backdoor.Win32.Gpigeon2008.ee
这是一种灰鸽子后门变种,该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等。
14. Trojan.DL.Win32.Undef.aon
这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件,该文件会从黑客指定网站下载一个config.ini文件,并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址,然后下载到用户计算机上并执行。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有