4
网络与信息安全从业人员培训
恶意代码的发展史
2001 年，国信安办与公安部共同主办了我国首次计算机病毒疫情网 上调查工作。结果感染过计算机病毒的用户高达73％，其中，感染 三次以上的用户又占59％多，网络安全存在大量隐患。 2001 年8月，“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播 蠕虫，在互联网上大规模泛滥。 2003 年，SLammer 蠕虫在10 分钟内导致互联网90％脆弱主机受到 感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用户损 失高达20亿美元之多。 2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利 用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造 成了巨大的经济损失。
8
网络与信息安全从业人员培训
计算机病毒的命名
DOS病毒命名： 1.按病毒发作症状命名：小球 熊猫烧香 花屏病毒 步行者 病毒 武汉男孩
2.按病毒发作的时间命名 ：黑色星期五 ；
3.按病毒自身包含的标志命名 ：CIH （不是HIV) 按病毒发现地命名：如“黑色星期五”又称Jurusalem( 耶路撒冷)病毒
6
网络与信息安全从业人员培训
恶意代码的主要特征(续)
恶意代码从80 年代发展至今体现出来的3个主要特征： –从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的 恶意代码：恶意代码的早期，大多数攻击行为是由病毒 和受感染的可执行文件引起的。然而，在过去5 年，利 用系统和网络的脆弱性进行传播和感染开创了恶意代码 的新纪元。
12
网络与信息安全从业人员培训
计算机病毒的命名
病毒后缀是指一个病毒的变种特征，是用来区别具 体某个家族病毒的某个变种的。一般都采用英文中的 26 个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病 毒的变种B，因此一般称为 “振荡波B变种”或者“振荡 波变种B” 。如果该病毒变种非常多（也表明该病毒生命 力顽强），可以采用数字与字母混合表示变种标识。
5
网络与信息安全从业人员培训
恶意代码的主要特征
恶意代码从80 年代发展至今体现出来的3个主要特征： –恶意代码日趋复杂和完善：从非常简单的，感染游戏的 Apple II 病毒发展到复杂的操作系统内核病毒和今天主 动式传播和破坏性极强的蠕虫。恶意代码在快速传播机 制和生存性技术研究取得了很大的成功。 –恶意代码编制方法及发布速度更快：恶意代码刚出现时 发展较慢，但是随着网络飞速发展，Internet 成为恶意 代码发布并快速蔓延的平台。特别是过去5 年，不断涌 现的恶意代码，证实了这一点。
计算机病毒的命名
反病毒公司为了方便管理，会按照病毒的特性，将病毒 进行分类命名。虽然每个反病毒公司的命名规则都不太 一样，但大体都是采用一个统一的命名方法来命名的。 一般格式为： <病毒前缀>.<病毒名>.<病毒后缀>
11
网络与信息安全从业人员培训
计算机病毒的命名
病毒前缀是指一个病毒的种类，他是用来区别病毒的种 族分类的。不同的种类的病毒，其前缀也是不同的。比 如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀 是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病 毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，振荡波蠕虫病毒的家族名是“ Sasser ”。
恶意代码分析与防护
1
网络与信息安全从业人员培训
恶意代码的基本概念
恶意代码，又称Malicious Code，或MalCode,MalWare。 是黑客们编写的扰乱社会和他人，用来实现某些恶意功能 的代码或程序。
2
网络与信息安全从业人员培训
主要内容
6.1 计算机恶意代码概述 6.2 计算机恶意代码的主要类型 6.3 计算机恶意代码分析 6.4 常见恶意代码感染迹象与处理 6.5 计算机恶意代码防护
9
网络与信息安全从业人员培训
计算机病毒的命名
4.按病毒发现地命名 ：Jurusalem(耶路撒冷)病毒， Vienna(维也纳)病毒 5.按病毒的字节长度命名： 以病毒传染文件时文件的增 加长度或病毒自身代码的长度来命名，如1575、2153、 1701、1704、1514、4096
10
网络与信息安全从业人员培训
6.6 计算机恶意代码攻防应用实例
6.7 恶意代码的防范
3网络与信ຫໍສະໝຸດ 安全从业人员培训恶意代码的发展史
恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。 随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日 常生活影响越来越大。
1988 年11 月泛滥的Morris蠕虫，顷刻之间使得6000 多台计算机（ 占当时Internet 上计算机总数的10%多）瘫痪，造成严重的后果， 并因此引起世界范围内关注。
7
网络与信息安全从业人员培训
恶意代码的定义
90 年代末，恶意代码的定义随着计算机网络技术的发展 逐渐丰富，Grimes 将恶意代码定义为，经过存储介质和 网络进行传播，从一台计算机系统到另外一台计算机系统 ，未经授权认证破坏计算机系统完整性的程序或代码。 它包括计算机病毒(Computer Virus)、蠕虫(Worms)、特 洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌 (Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代 码(Malicious Scripts)和恶意ActiveX 控件等。 由此定义，恶意代码两个显著的特点是：非授权性和破坏 性。
1998 年CIH病毒造成数十万台计算机受到破坏。1999 年Happy 99 、Melissa 病毒大爆发，Melissa 病毒通过E-mail 附件快速传播而 使E-mail 服务器和网络负载过重，它还将敏感的文档在用户不知情 的情况下按地址簿中的地址发出。 2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变种病毒 ，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感 染了4000 多万台计算机，造成大约87 亿美元的经济损失。