冲击波漏洞微软的败笔.ppt

《冲击波漏洞微软的败笔.ppt》由会员分享，可在线阅读，更多相关《冲击波漏洞微软的败笔.ppt（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、冲击波漏洞微软的败笔向美国电脑进军！黑客防御技巧关闭端口回顾历史AV终结者冲击波漏洞微软的败笔 中新网8月12日电 据公安部公共信息网络安全监察局提供的消息，8月11日，一种名为“冲击波”(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播。该病毒传播速度快、波及范围广，对计算机正常使用和网络运行造成严重影响。经国 家计算机病毒应急处理中心确认，该病毒是利用前不久微软公司公布的Windows操作系统RPC DCOM漏洞进行传播，能够使遭受攻击的系统崩溃，并通过网络向仍有此漏洞的计算机传播。公安部公共信息网络安全监察局提醒各有关用户，尽快下载安装微软公司的RPC

2、漏洞补丁程序，防止该病毒进一步传播感染。公安部官方网站的消息还说，各地公安机关已经组织、指导有关单位采取应急处置措施。今后发生类似计算机病毒传播的情况，也请广大计算机和信息网络用户及时向当地公安机关报告。冲击波病毒感染症状冲击波病毒感染症状 1、莫名其妙地死机或重新启动计算机；2、IE浏览器不能正常地打开链接；3、不能复制粘贴；4、有时出现应用程序，比如Word异常；5、网络变慢；6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行。7、SVCHOST.EXE产生错误会被WINDOWS关闭，您需要重新启动程序 8、在WINNTSYSTEM32WINS下有DLLhost.

3、exe和svchost.exe 检测你的计算机是否被冲击波杀手病毒感染：1)检查系统的system32Wins目录下是否存在DLLHOST.EXE文件（大小为20K）和SVCHOST.EXE文件,（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有8KB左右）如果存在这两个文件说明你的计算机已经感染了冲击波杀手病毒；2)在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程，如果有此进程说明你的计算机已经感染了此病毒。奇虎状告瑞星侵权奇虎状告瑞星侵权 瑞星称奇虎终被用户抛弃瑞星称奇虎终被用户抛弃 赛迪网讯8月27日消息，瑞星公司一直以来在各种场合，通过各种

4、方式，持续不断地散布了大量攻击奇虎360的言论。尤其是在奇虎360推出永久免费的杀毒软件之后，瑞星更是在各种报刊和网站上发布大量攻击辱骂奇虎360的文章。中关村软件频道在首页首屏这样一个有限空间里，长期放置10条以上奇虎360的负面链接，有时甚至超过20条，整个频道几乎就成了一个“讨伐360”的专题。奇虎董事长周鸿祎要求瑞星公开道歉，他表示：“奇虎推出完全免费的360杀毒软件之后，侵犯了瑞星等杀毒软件厂商的固有利益，虽然奇虎一直采取了克制的态度，但面对瑞星不断的攻击，奇虎决定通过法律解决问题。”，此外，这天下午，瑞星公司还就此发布了一项官方声明，声明中称：“奇虎360靠炒作挽救不了被用户抛弃的

5、命运”。奇虎360靠炒作挽救不了被用户抛弃的命运 一、面对基于“云安全”计划的全新反木马工具“瑞星卡卡6.0”，360安全卫士感受到了前所未有的威胁。因为奇虎公司自己也承认，反流氓软件的工作已经基本结束。二、众所周知木马是病毒的一种，反木马和反病毒在技术原理和截获、分析、处理流程上没有任何区别，三、随着奇虎360欺骗用户、频繁误杀以及暗中阻挡所有主流杀毒软件的丑行被揭露和曝光，360督导委员会集体退出。四、瑞星对奇虎公司的诉讼感到莫名其妙，五、刚刚面临主要骨干离职、督导委员集体退出等风波，奇虎立刻将大旗转向“全民反木马”，随即又抛出起诉瑞星这个新的口述战素材，向美国电脑进军！美国中央情报局资深

6、分析师汤姆多诺霍18日在一次安全会议上说，国外发生过几次黑客攻击电网控制系统事件。黑客们以断电作为威胁手段勒索钱财，其中一次，黑客切断了数个城市的电力供应。远程勒索 这次安全会议18日在美国新奥尔良开幕，与会者有外国政府官员、工程师和一些电力能源公司的安全官员。会议期间，与会人员会分享黑客攻击重要市政设施和资源的信息，还会分享防御袭击的手段。多诺霍在会上透露了黑客威胁电网事件，但没公布发生的具体时间与地点，也没有提及勒索者要求的钱数，只是说“那发生在美国之外的数个地区”。中情局拒绝进一步公布详情。一位发言人说，能向公众公开的相关信息已经公开，这样做的目的是让人们了解当前面临的挑战。担心安全 多

7、诺霍透露的情况让反恐神经本已高度紧张的美国人更加不安。美国政府网络安全顾问霍华德施密特在这次会议开始前一天还曾表达了对这一系统的担心。他当时说，美国85%的关键基础设施由私营部门控制，所以任何人不能忽略这一问题。黑客防御技巧关闭端口（1）默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口33

8、89。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：黑客防御技巧关闭端口（2）第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添

9、加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。黑客防御技巧关闭端口（3）第三步点击“确定”后回到筛选器列表的对话框，可

10、以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后

11、点击“确定”按钮。第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。回顾历史AV终结者 “AV终结者”即“帕虫”是一系列反击杀毒软件，同时它会下载并运行其他盗号病毒和恶意程序。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已

12、经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载木马病毒，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的所有机密文件都处于极度危险之中。什么是“AV终结者”？“AV终结者”病毒运行后会在系统中生成如下几个文件：C:program filescommon filesmicrosoft sharedmsinfo随机生成病毒名.dat、C:program filescommon filesmicrosoft sharedmsinfo随机生

13、成病毒名.dll、C:windows随机生成病毒名.chm“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件，当用户双击盘符时就会激活病毒，。这是目前很多病毒热衷的传播方法，不少用户也懂得删除病毒生成的anuorun.inf文件，但是当我们进入“文件夹选项里”，想显示隐藏文件时，可以发现这里已经被病毒给禁用了。针对杀毒软件的攻击，是“AV终结者”的特点。“映象劫持”会在注册表的“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Exeution Options”位置新

14、建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后，病毒还会在里面建立一个Debugger键，键值为“c:progra1common1micros1msinfo05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时，运行的其实是病毒程序。为了避免在“任务管理器”中露出破绽，病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中，这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作。另一个作用是监视IE窗口，发现用户搜索病毒资料时，立即关闭。1、运行“任务管理器”，结束“explorer.exe”进程，单击“任务管理器的”文件菜单

15、，选择“新建任务”，输入“regedit”，找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindowscurrentversionexploreradvanced folderhiddenshowall,将Checkedvalue的的键值改为“1”。2、在“regedit”中找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindows NTcurrentversionimage file execution options，将以杀毒软件和安全工具命名的项删除。3、在“资源管理器”中单击“工具”“文件夹选项”，切换到“查看”，取消“隐藏受保护的操作系统文件”前面的勾，然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒，注意不要双击进入盘符，而要用右键点击进入。彻底清除“AV终结者”作者：孙乾辅导老师：刘月文