病毒,间谍软件,广告软件和 rootkit.ppt

病毒,间谍软件,广告软件和 Rootkit
褚诚云
软件开发组长
微软Windows 安全部门
chchu@
提纲
安全现状
有害软件(病毒)
间谍软件,广告软件
Rootkit
Phishing
监测和防护
Q&A
安全现状
有害软件(病毒)增长的速度加快
间谍软件,广告软件泛滥成灾
Rootkit技术发展迅速
针对普通用户的Phishing攻击
用户和企业
没有做好相应准备
系统没有安装最新的安全补丁
用户认为间谍软件,广告软件是免费软件的一部分
有害软件(病毒)的最新统计数据
数据来源 Symantec 2005年3月发布的互联网安全报告http://enterprisesecurity./?articleid=1539
Q304/Q105有1403新的安全漏洞被发现
较前六个月相比,增幅13%
97%安全漏洞的严重级别是中或高
04下半年发现7630新的有害软件
较前六个月相比,增幅64%
在04下半年发现有害软件中,试图窃取用户机密信息
较前六个月相比,从44%增长到54%
单个组织每日平均被攻击次数
较前六个月相比,
目的和攻击模式
目的:
以前:登上报纸的头版头条
现在:具体化的实际利益
攻击模式:
以前:感染范围大,速度快
现在:受控传播,针对特定用户
Israel的安全事件/id/8145520/
Zotob
有害软件分类
后门-- Backdoor
木马-- Trojan
蠕虫-- Worm
文件感染器-- File infector (virus)
传播方式
利用操作系统的安全漏洞
社会工程?Social Engineering
系统安全漏洞
缓存溢出( Buffer Overrun )
Code Red: IIS缓存溢出
Blaster: DCOM RPC缓存溢出
Zotob: PnP缓存溢出
堆栈缓存溢出
Top of Stack
Return Address
char[128]
void UnSafeRecv(char* payload)
{
……
strcpy (localBuffer, payload);
}
char localBuffer[128];