校园网病毒与对策研究

     

从我们学校来说，最近一个月来，病毒呈现如下几个趋势

1、流氓软件“耍流氓”横行无忌；

当流氓和软件这两个再普通不过词合在一起，它便成了一个沉重的话题。当我们在电脑前开心地浏览网页；当我们下载试用最新软件，它——“流氓软件”，悄悄地进驻这块几乎不设防的领土，莫名其妙弹出各种广告页面，我们该用什么心情，该采取什么行动去对抗呢？

什么是“流氓软件”？从技术上讲，恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰。这些程序共同的特征是未经用户许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。大家就称这种软件为“流氓软件”。“流氓软件”中包括广告程序、间谍软件、IE插件等。

流氓软件的危害重点包括：

危害1：遭遇"赖死不走"的流氓软件:流氓软件系统里"安家"后，太过于乐不思蜀以致于多次将它"请出"也未能如愿。重启后它还是纠缠不休，直至你重新安装系统。

危害2：遭遇"强行捆绑"型流氓软件:强行捆绑就是在网友下载的软件上面，捆绑了其它未经网友同意下载并安装的软件、插件，这些流氓软件安装的时候非常隐蔽，在刹那间就莫名其妙地占领了你的电脑。一般是由软件作者将它们捆绑在一起以获得利润。

危害3：遭遇"强力侵扰"型流氓软件:姑勿论流氓软件是如何进入系统的，如果它安安静静就算了，不过有些软件不依不饶，老是弹出色情广告，让人烦不胜烦，占用系统资源，让电脑运行速度如同蜗牛。有的强行修改首页，锁定注册表，让你的浏览器无法工作。

在教室和机房里的电脑里如果中了流氓软件，常常会弹出一些充满诱惑的广告，如果不能及时清除，在上课期间弹出，会引得学生哄笑，严重影响教学秩序和效果。

2、冲击波和震荡波病毒复活重来；

冲击波和震荡波病毒似乎已经从我们身边消失了，可是不经意间，在最近一个月以来，我们学校网络重新获得了她的光临。冲击波和震荡波病毒都属于恶性蠕虫病毒，他们都有以下几个共同点

1)        不断重新启动计算机或者莫名其妙的死机

2)        大量消耗系统资源，招系统速度极慢

3)        阻塞网络，造成网速变慢直至无法上网

震荡波病毒原理：在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

冲击波病毒原理：病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。病毒会利用病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能，禁止这些端口。

在最近一周的时间里，学校安装的windows2000的机器都无一幸免，基本上都被冲击波和震荡波病毒袭击，给教师的工作带来了很大的不便。

二、校园网网络病毒的对策研究

目前的防病毒工作的意义早已脱离了各自为战的状况，技术也不仅仅局限在单机的防病毒。目前，如果需要对整个网络进行规范化的网络病毒防范，我们必须了解最新的技术，结合网络的病毒入口点分析，很好地将这些技术应用到自己的网络中去，形成一个协同作战、统一管理的局面，这样的病毒防范体系，才能够称得上是一个完整的、科学的网络病毒防御体系。

根据自己的实际工作经验我提出“网络病毒综合治理、点面结合预防为主”方针，在实际工作中取得一些实际效果。

1、预防为主：安装各种系统最新的补丁，网络病毒的最根本的源头是因为windows系统设计的缺陷才给各种病毒造成了可趁之机。常常是微软公司刚刚公布漏洞，针对该漏洞的病毒就已经开始发作了，所以及时安装系统最新补丁，才能尽可能的减少中毒的可能。以冲击波和震荡波为例，windws2000 安装windows2000 SP4补丁，windowsXP安装SP2以后就不会感染该病毒。

2、点面结合：病毒的传播以网络作为媒介，因此网络病毒的防治就应该从网络结构出发，在网络的出口上，路由器和交换机作为网络的出口和核心交换区域，我们可以利用ACL语句封锁常用病毒端口，以我们学校P550交换机为例：

ip access-list virvu 1 deny tcp any any eq 134

ip access-list virvu 2 deny tcp any any eq 139

ip access-list virvu 3 deny udp any any eq 69

ip access-list virvu 4 deny tcp any any eq 1434

ip access-list virvu 5 deny tcp any any eq 445

ip access-list virvu 6 deny tcp any any eq 4444

ip access-list virvu 7 deny tcp any any eq 5554

ip access-list virvu 8 deny tcp any any eq 5800

ip access-list virvu 9 deny tcp any any eq 5900

ip access-list virvu 10 deny tcp any any eq 9996

ip access-list virvu 11 deny tcp any any range 1022 1024

在我们的终端用户的电脑上首先需要安装正版的杀毒软件，并升级病毒定义库，定期对电脑进行全面的杀毒，根据我们实际检测，我们推荐使用卡巴斯基6.0。Kaspersky来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件，Kaspersky 抗病毒软件有许多国际研究机构、中立测试实验室和 IT出版机构的证书，确认了 Kaspersky 具有汇集行业最高水准的突出品质。功能强大的实时病毒监测和防护系统，支持所有的 WINDOWS平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。