第八次:電腦網路的安全-病毒
■惡意程式概念
什麼是病毒、木馬程式及蠕蟲? 這些名詞經常被互用,代表各種不同的惡意程式。
★電腦病毒-藏在其他的程式或文件中,並且會經由使用者的某個行為而傳播出去,例如:開啟某個郵件的夾帶檔案。病毒可不經下載而由其他各種方式進入您的電腦。例如,病毒會在您開啟某些文件時傳播,尤其是內含巨集的文件。一但您的電腦被感染,病毒就會自己附加到進行中的程式或以email夾帶檔案的型式寄送出去。
★木馬程式-會偽裝成其他的程式。與病毒類似,這些程式會隱藏起來並且造成您不樂見的影響,例如:在系統中安裝一個讓駭客可進入的後門。木馬程式與病毒的不同處在於木馬程式不像病毒以複製本身為目的。
★蠕蟲-不需要任何使用者的互動即會自動傳播,最典型的就是在熱門軟體中尋找漏洞。一旦蠕蟲開始活動,會自動經由網路或您的區域網路傳播,特別是透過Microsoft Outlook及Microsoft Outlook Express的漏洞。
■惡意程式比較圖
| 病毒類惡意程式 | 蠕蟲類惡意程式 | 後門類惡意程式 | |
主動或被動散播 |
主動 |
主動 |
被動 |
感染檔案 |
會 |
不會 |
會 |
破壞系統能力 |
視程式本身而定 |
不具破壞力 |
視程式本身而定 |
影響程度 |
中 |
大 |
中 |
主要感染途徑 |
網路.電子郵件.磁片.光碟片 |
網路.電子郵件 |
網路.電子郵件 |
著名案例 |
黑色星期五.CIH |
Sasser殺手病毒.Nimda蠕蟲病毒 |
間諜軟體.廣告軟體 |
■遭受惡意程式威脅的症狀
★網頁被綁架(首頁無法更改)
★電腦一直重複開機
★過多的彈出式廣告
★電腦變的很龜速
★瀏覽器多了奇怪的工具列
★防毒軟體自動防護被關閉
■基本快速發現及移除惡意程式方法
★ 關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開始/執行/cmd,輸入netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
★ 檢查登錄編輯器(Registry)
清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
★ 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之
1.惡意程式—peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
2.惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
3.惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
4.其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
★ 重新開機並注意電腦對外通訊情形
■惡意程式的防治
良好的網路習慣才是資訊安全的根本.以下是老師的建議:
★購買或下載免費的防毒軟體.並定時更新病毒碼
★在網路上下載軟體或開啟email夾帶檔案之前,請記得先掃毒
★不要安裝不了解的軟體。除非您很了解這些軟體的用途及對您電腦的影響,否則不要安裝
★密碼設定最好八碼以上且英數混合
★仔細閱讀彈出視窗的警告,要求使用者下載更正軟體。請不要理會這些彈出視窗
★避免在公共場所使用具有隱私性的資料.因為很難確認有無鍵盤測錄程式或間諜軟體等
★定時更新作業系統的漏洞.如微軟的Windows的修補程式(Patch)
■個人電腦保全
相關網址:http://cert.ntu.edu.tw/security/detail.htm
■線上掃毒
趨勢科技
http://www.trendmicro.com/tw/products/desktop/housecall/evaluate/overview.htm
賽門鐵克
http://security.symantec.com/ssc/home.asp?j=1&langid=tw&venid=sym&plfid=22&pkj=KWCJLSIVFWMFKPXKBQW
Panda
http://www.pandasoftware.com.tw/html/activescan.htm
金帥
http://www.ggreat.com.tw/aews/
Kaspersky
http://www.kaspersky.com/scanforvirus.html
各種線上掃毒、防駭與掃描電腦廣告間諜軟體&免費檢測電腦弱點的網站
http://eschool.mp4.com.tw/wordpress/?p=14
■防毒軟體的介紹
Norton http://www.symantec.com.tw
Panda http://www.pandasoftware.com.tw
PC-cillin http://www.trendmicro.com.tw
Kaspersky http://www.Kaspersky.com.tw
Mcafee http://www.mcafee.com
clamwinhttp://clamwin.com/
avast http://reg.softking.com.tw/freeware/index.asp?fid1=29&fid2=8&fid3=19920
AVG Anti-virus (個人版免費)
提供單一的掃毒操作介面,以及多模組的技術,提升防毒的效率、正確性,並且提供定時自動更新病毒碼的功能. 要先去網頁登記取得登記碼才能使用
AntiVirus Personal Edition (個人版免費)
德國的免費防毒軟體,可以線上更新。除了防毒以外,它對於防堵廣告視窗也很有效。
1.安裝說明
2.主控台 ( AntiVir Main Program )設定
(1)工具列選AntiVir圖示
按右鍵啟動AntiVir Main Program
(2)選Options/Configuration
(3)Repair(修復)這個選項建議設定為Delete with prompt(偵測到病毒直接刪除).按OK
(4)關閉視窗
3.AnitVir 小圖示 -> 右鍵「Configuration」要設定的部份
(1)工具列選AntiVir圖示按右鍵啟動Configuration
(2)windiws XP會偵測到AntiVirus.建議打勾.不要在秀出這個訊息
(3)無法恢復的檔案建議刪除
(4)啟動Repair的功能.打勾及建立備份檔若需要則打勾
4.更新
手動更新
(1)工具列選AntiVir圖示按右鍵選Start Internet Update
(2)選Start開始更新
(3)開始接收新的病毒碼嗎?按Yes
(4)檔案下載完畢要關閉程式嗎?按Yes
每日自動更新
(1)工具列選AntiVir圖示按右鍵啟動AntiVir Main Program
(2)新增一個排程
(3)開機就啟動排程嗎?按Yes
(4)新增一筆排程
(5)選Internet標籤
(6)選Schedule
(7)設定更新時間.改為每天早上9:30
(8)按確定
(9)增加一筆排程.按右鍵修改
(10)將/UDE刪除再按確定
(11)按OK完成了
(12)關閉Antivirus
■課後作業:
1.下載免費防毒軟體安裝在電腦.並學會更新病毒碼