1、隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶在享受網(wǎng)絡(luò)帶來的快捷和商機(jī)的同時(shí)，也面在享受網(wǎng)絡(luò)帶來的快捷和商機(jī)的同時(shí)，也面臨無時(shí)不在的威脅：臨無時(shí)不在的威脅：病毒 PE蠕蟲 WORM木馬 TROJ后門 BKDR間諜軟件 TSPY其他以上統(tǒng)稱為惡意代碼。以上統(tǒng)稱為惡意代碼。ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防間諜軟件產(chǎn)品覆蓋范圍防

2、間諜軟件產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍病毒病毒特洛伊木馬特洛伊木馬后門后門木馬木馬蠕蟲蠕蟲惡意軟件惡意軟件間諜軟件間諜軟件 (有惡意行為有惡意行為) 間諜軟件間諜軟件(無惡意行為無惡意行為) 灰色軟件（正邪難辨）灰色軟件（正邪難辨） (往往是用戶不需要的程序)惡意程序：惡意程序：一種會(huì)帶來危害結(jié)果的程序一種會(huì)帶來危害結(jié)果的程序特洛伊木馬：特洛伊木馬：一種會(huì)在主機(jī)上未經(jīng)授權(quán)就自一種會(huì)在主機(jī)上未經(jīng)授權(quán)就自己執(zhí)行的惡意程序己執(zhí)行的惡意程序 后門木馬：后門木馬：一種會(huì)在主機(jī)上開放端口讓一種會(huì)在主機(jī)上開放端口讓遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程訪問的惡意遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程訪問的惡意程序程序病毒病毒特洛伊木馬特

3、洛伊木馬后門后門木馬木馬蠕蟲蠕蟲惡意軟件惡意軟件間諜軟件間諜軟件 (有惡意行為有惡意行為) 間諜軟件間諜軟件(無惡意行為無惡意行為) 灰色軟件（正邪難辨）灰色軟件（正邪難辨） (往往是用戶不需要的程序)病毒：病毒：病毒會(huì)復(fù)制（感染）其它文件通過病毒會(huì)復(fù)制（感染）其它文件通過各種方法各種方法A. 前附著前附著B. 插入插入C. 覆蓋覆蓋D. 后附著后附著蠕蟲蠕蟲:蠕蟲自動(dòng)傳播自身的副本到其他計(jì)算機(jī)：蠕蟲自動(dòng)傳播自身的副本到其他計(jì)算機(jī)：A. 通過郵件（郵件蠕蟲）通過郵件（郵件蠕蟲）B. 通過點(diǎn)對點(diǎn)軟件通過點(diǎn)對點(diǎn)軟件 (點(diǎn)對點(diǎn)蠕蟲點(diǎn)對點(diǎn)蠕蟲)C. 通過通過IRC (IRC 蠕蟲蠕蟲)D. 通過網(wǎng)絡(luò)通

4、過網(wǎng)絡(luò) (網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲)病毒病毒特洛伊木馬特洛伊木馬后門后門木馬木馬蠕蟲蠕蟲惡意軟件惡意軟件間諜軟件間諜軟件 (有惡意行為有惡意行為) 間諜軟件間諜軟件(無惡意行為無惡意行為) 灰色軟件（正邪難辨）灰色軟件（正邪難辨） (往往是用戶不需要的程序)間諜軟件：間諜軟件： 此類軟件會(huì)監(jiān)測用戶的使用習(xí)慣和個(gè)此類軟件會(huì)監(jiān)測用戶的使用習(xí)慣和個(gè)人信息，并且會(huì)將這些信息在未經(jīng)用人信息，并且會(huì)將這些信息在未經(jīng)用戶的認(rèn)知和許可下發(fā)送給第三方。包戶的認(rèn)知和許可下發(fā)送給第三方。包括鍵盤紀(jì)錄，事件日志，括鍵盤紀(jì)錄，事件日志，cookies，屏，屏幕信息等，或者是上面所列的信息的幕信息等，或者是上面所列的信息的組合。

5、組合。對系統(tǒng)的影響表現(xiàn)為系統(tǒng)運(yùn)行速度下對系統(tǒng)的影響表現(xiàn)為系統(tǒng)運(yùn)行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機(jī)。降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機(jī)。惡意程序惡意程序灰色地帶灰色地帶間諜軟件間諜軟件、q 修改注冊表q 將自身添加為服務(wù)q 將自身添加到啟動(dòng)文件夾q 修改系統(tǒng)配置文件加載方式q 服務(wù)和進(jìn)程病毒程序直接運(yùn)行q 嵌入系統(tǒng)正常進(jìn)程DLL文件和OCX文件等q 驅(qū)動(dòng)SYS文件以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序n病毒將%1 %*改為 “virus.exe %1 %*nvirus.exe將在打開或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行 Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。病毒可以在該文件夾中放入欲執(zhí)行的程

6、序，或直接修改其值指向放置有要執(zhí)行程序的路徑。無論病毒在系統(tǒng)表現(xiàn)形式如何我們需要關(guān)注的是病毒的隱性行為！我們需要關(guān)注的是病毒的隱性行為！- QQ密碼和聊天記錄 網(wǎng)絡(luò)游戲帳號密碼 網(wǎng)上銀行帳號密碼 用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣 有一些病毒會(huì)使用Rootkit技術(shù)來隱藏自身的進(jìn)程和文件，使得用戶更難以發(fā)現(xiàn)。 使用Rootkit技術(shù)的病毒，通常都會(huì)有一個(gè).SYS文件加載在系統(tǒng)的驅(qū)動(dòng)中，用以實(shí)現(xiàn)Rootkit技術(shù)的隱藏功能。典型-PE_LOOKED 維京PE_FUJACKS 熊貓燒香振蕩波利用MS04-011漏洞攻擊 ARP攻擊 補(bǔ)丁缺失，無防毒軟件 安裝多種惡意軟件好防范工作。根據(jù)病毒解決方案，手動(dòng)清

7、除該系統(tǒng)中的病毒。木馬病毒和后門程序間諜軟件、廣告軟件和灰色軟件蠕蟲病毒文件型病毒母體系統(tǒng)中了病毒，該怎么辦？重裝系統(tǒng)？系統(tǒng)還原？Ghost還原？最好在安全模式下操作終止所有可疑進(jìn)程和不必要的進(jìn)程關(guān)閉系統(tǒng)還原被修改，可直接將其修改為默認(rèn)鍵值。直接刪除這個(gè)主鍵。使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項(xiàng)。該工具使用方法稍后會(huì)介紹。查看文件版本信息Google之聯(lián)系趨勢科技工程師%SystemRoot%SystemRoot%System32%SystemRoot%System32drivers可執(zhí)行文件 .EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件有一些病毒會(huì)將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開查看其內(nèi)容是否為文本。若為亂碼，則可疑。除多余的記錄。%SystemRoot%TempC:TempInternet臨時(shí)文件C:Documents a