1020806電腦病毒(第一場).
Download
Report
Transcript 1020806電腦病毒(第一場).
資訊安全-病毒篇
大綱
電腦病毒簡介與預防
惡意程式實作
電腦病毒的定義
•早期定義:
程式有自我複製、感染、破壞等。
•後期定義:
未經使用者同意或造成不便的惡意程式。
電腦病毒的動機
•表現自我能力
•惡作劇
•破壞資料、系統
•偷窺、控制電腦
•資料竊取、利益行為
電腦病毒的生命週期
•創造期
-依駭客能力及動機原因,撰寫病毒。
•孕育期
-病毒檔案透過網路FTP、論壇、隨身裝置等,
•潛伏期
-病毒不斷繁殖傳染,長期的潛伏感染範圍大。
•發病期
-遭到病毒感染的主機數目達到高峰,災情慘重。
•衰退期
-防毒廠商定義病毒特徵碼,系統商推出安全性修補後,病毒逐漸退出網路。
電腦病毒的種類(開機型病毒)
•寄生在MBR(主啟動磁區),電腦開機時,在
作業系統還沒載入前就被載入記憶體中,容
易造成系統無法開啟,刪除硬碟本身資料。
例米開朗基羅,會摧毀硬碟資料。
電腦病毒的種類(檔案型病毒)
•病毒本體依附在執行檔(EXE、COM..等)上,
該執行檔被執行後即進行感染作業。例黑色
星期五,每逢13日星期五發作時執行的程式
會遭刪除。
電腦病毒的種類(混合型病毒)
•具有開機型及檔案型病毒的特性,不僅感
染執行檔,也會感染啟動磁區MBR。例
NATAS病毒,感染EXE及COM檔與C槽的
PATITION,系統啟動時有1/512機會要格式
化硬碟。
電腦病毒的種類(巨集病毒)
•具有寫巨集能力的軟體都有巨集病毒存在的
可能,如Word、Excel都相繼傳出災情。例
Taiwan No.1於每月13日開啟感染文件時,
會跟您玩心算遊戲,若答錯會連續開啟許多
文件,並繼續出下一題心算,循環下去。
電腦病毒的種類(巨集病毒)
網路蠕蟲
•自我複製能力,主動搜尋目標並自動攻擊的
系統漏洞攻擊碼,具有驚人的工作效率。例
疾風(Blaster)迫使電腦主機每隔幾分鐘重
新開機。
電腦病毒與蠕蟲的影響
•消耗系統資源
-降低系統運作速度
-影響正常應用程式的運作
•破壞電腦檔案系統
-停止系統更新
-關閉防毒軟體或本機防火牆
-刪除檔案或系統
•消耗網路頻寬
•成為網路攻擊的跳板
木馬/後門程式
•木馬:偽裝成一般程式以獲得使用者信任,而
後在受害者端電腦執行帳號密碼竊取、資料破
壞…等任務。
•後門:與外部攻擊者建立網路連線,接收傳
送命令,甚至可以讓入侵者直接操縱受害端
的資訊設備,例Botnet殭屍病毒。
隨身碟病毒
•主要利用微軟作業系統人性化的善意,在
外部資料放入時如隨身碟,系統會自動執
行,有心人士將此情形寫成 Autorun.inf
檔,在檔案中寫入執行的病毒。
•磁碟區會有無法開啟現象,電腦運作速度
變慢
隨身碟病毒-解毒方式
•執行kavo killer 5.4
無法連上網頁
•無法上網卻可使用即時通及收發信件等行
為,主要中毒或在解毒過程中,winsock異
常原因。
無法連上網頁-解決方式
•執行Winsockfix
電腦病毒防範觀念
•安裝防毒軟體(不同時安裝二套以上)。
•安裝防火牆或啟動內建防火牆。
•關閉非必要之網路服務功能。
•電腦系統軟體不定期更新。
電腦病毒防範觀念
•不開啟來路不明郵件內的網址及執行檔。
•不使用盜版軟體或來路不明的軟體。
•避免使用公共電腦用過的儲存媒體。
•瀏覽網頁時,不隨意同意加裝軟體。
•養成良好的備份習慣。
AV-Comparative所評鑑出來的歷年冠軍
2013 G DATA 2013 (原AntiViruskit-AVK)
2012 BitDefender(比特梵德)
2011 Kaspersky(卡巴斯基)
2010 F-Secure(芬安全)
2009 Symantec(賽門鐵克)
2008 AVIRA(小紅傘)
2013年AV-Comparative防毒軟體排行
第一名 G DATA 2013
第二名 AVIRA
第三名 F-Secure
第四名 Bitdefender
第五名 Kaspersky
第六名 Fortinet,Vipre
第七名 AVG, Trend Micro
第八名 Sophos, McAfee
第九名 Avast
第十名 ESET
IOS 與 Android
Iphone首隻警告性病毒
2009年由澳洲21歲
的學生所撰寫,名
為「艾克」,會將
「越獄」的手機,
螢幕背景換成1980
年代英國流行歌手
Rick Astleyd的照片。
Android 木馬病毒
2010年第一支手機木馬
出現,趨勢科技發現這
隻TROJ_DROIDSMS.A木馬
會偽裝成WMP的Play圖示,
並在背景偷偷傳送簡訊
到指定號碼!
Android 最新最難搞的木馬
程式:Android.Obad.a
感染方式:WIFI或藍芽,感染時木馬
程式會鎖定螢幕約10秒。
後果:竊取手機資訊,擁有設備管理員權
限,遠端操控手機,具備「隱形功
能」防止被移除。
災情:2013-06-10 前只有0.15%比例感染。
2013年AV TEST 行動裝置安全排名
第一名
第二名
第三名
第四名
第五名
第六名
第七名
Bitdefender: Mobile Security 1.2
Kaspersky: Mobile Security 10.4
Trend Micro: Mobile Security 3.0
Avast: Mobile Security 2.0
Kingsoft: Mobile Security 2.2
ESET: Mobile Security 1.1
Comodo: Mobile Security 2.0
行動裝置防範觀念
•盡量在play商店或App Store中安裝APP
•不下載盜版破解APP或來路不明的APP
•不越獄(JB),不刷機(ROOT)
•安裝防毒軟體
•不定期更新系統及軟體
惡意程式實作流程
撰寫
合併偽裝
載入啟動
惡意程式撰寫(1)
•自動關機批次檔(shutdown-start.bat)
start shutdown -s -t 1000 #s關機,t等待關機
秒數
•自動關機解除批次檔(shutdown-stop.bat)
start shutdown -a
惡意程式撰寫(2)
•自動關機及網頁多重開啟批次檔(start.bat)
:A #標號
start shutdown -s –t 1000 #s關機,t等待關機
秒數
start www.hust.edu.tw #網頁開啟
Goto A #執行標號迴圈
合併偽裝工具
惡意程式載入啟動中
•自動載入批次檔至啟動中
xcopy “來源檔案” ”開始程
式集內啟動路徑” /Y (相同
檔名直接覆蓋)
系統啟動設定
參考資料
•趨勢科技
•CTIMES科技新聞
•iThome科技新聞
•中山工商
•商智謀略
•F2KO軟體官網