專利名稱:病毒防范方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種病毒防范方法和裝置�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,出現(xiàn)了許多的病毒����,以各種形式入侵到計算機(jī)中,
侵害了計算機(jī)使用者的利益�。病毒類型包括蠕蟲(worm),下載器(downloader)、 惡意軟件或代碼(malware)等���。其中蠕蟲泛指具有網(wǎng)絡(luò)復(fù)制能力�,能通過網(wǎng)絡(luò)自 動傳播的病毒�����,目前相當(dāng)部分的病毒屬于這一種���。下載器�,有下載功能的軟件��, 本文中專指病毒分類的一種�,可以定期或以 一定策略連接預(yù)設(shè)的特定服務(wù)器, 下載惡意軟件并啟動執(zhí)行����。惡意代碼或惡意軟件�,偷^r或強(qiáng)行運(yùn)行于計算機(jī)上�����, 損害計算機(jī)所有者利益的軟件和代碼�����,目前最常見的有木馬�、間諜軟件�����、廣告
軟件等���。 一旦計算機(jī)受到病毒的入侵(俗稱中毒)���,就會使計算機(jī)無法正常運(yùn) 行,或病毒會竊取破壞計算機(jī)文件等���,因此必須及時查殺病毒���。
現(xiàn)有技術(shù)一采用殺毒軟件(也稱反病毒軟件)查殺病毒�����,針對新病毒和新 變種����,反病毒軟件及時更新自身的病毒庫���。用戶可以自行操作查找和更新病毒 庫���,也有很多殺毒軟件提供了定時自動下載方案來實現(xiàn)病毒庫的更新。發(fā)明人 在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)現(xiàn)有技術(shù)一存在以下缺點殺毒軟件的啟動和病毒 庫更新往往依賴注冊碼���、時間�、配置等外在因素��,因此在惡性�、突發(fā)病毒面前, 殺毒軟件往往遭到禁用�����、更改甚至卸載而失效,無法自動更新和殺毒�����。此外��, 不同的殺毒軟件對病毒的響應(yīng)時間不同����,不同用戶對專殺的下載時間更是不可 能完全相同���,導(dǎo)致病毒不能被統(tǒng)一清除����,殘存病毒在用戶間的傳播經(jīng)常導(dǎo)致二 次感染�����。
現(xiàn)有技術(shù)二����,采用專殺工具查殺病毒。由個人或殺毒軟件公司編寫專殺工 具�����,放在其主頁或各大下載站點,由用戶自行查找下載��。發(fā)明人在實現(xiàn)本發(fā)明 的過程中發(fā)現(xiàn)現(xiàn)有技術(shù)二存在以下缺點臨時下載專殺工具的殺毒方法���,其有 效性嚴(yán)重依賴于用戶的查找和下載能力�����,且目前有病毒可以監(jiān)控IE搜索引擎關(guān)鍵字���,阻斷一般用戶的查找下載過程。此外有些病毒和木馬正是通過冒充專 殺工具的方法傳播的����,不能有效殺毒。
有效地清除病毒���。
發(fā)明內(nèi)容
本發(fā)明實施例提供病毒防范方法和裝置��,可以快速有效地清除客戶端感染 的病毒���。
一種病毒防范方法����,包括
檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息���,所述請求消息包括所述客戶端請 求連接的第 一 網(wǎng)絡(luò)地址����;
在確定所述第 一 網(wǎng)絡(luò)地址是否為所述病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址��;
若是���,設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連接到第二網(wǎng)絡(luò)地址,所述第二網(wǎng)絡(luò) 地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺毒程序���。
一種病毒防范裝置�����,包括
檢測模塊�,用于檢測客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息�����,所述請求消息包括 所述客戶端請求連接的第 一 網(wǎng)絡(luò)地址;
判斷模塊���,用于判斷所述第一網(wǎng)絡(luò)地址是否為所述病毒用于更新數(shù)據(jù)的網(wǎng) 絡(luò)地址�;
設(shè)置模塊�,用于在判斷模塊確定為是時,設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連 接到第二網(wǎng)絡(luò)地址�����,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺 毒程序��。
一種病毒防范方法���,包括
檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息�,所述請求消息包括所述客戶端請 求連接的第一網(wǎng)絡(luò)地址����;
在確定所述第 一 網(wǎng)絡(luò)地址為病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址時;將所述第一網(wǎng)絡(luò)地址對應(yīng)服務(wù)器上存儲的用于病毒更新的數(shù)據(jù)替換為所 述病毒的殺毒程序���。
本發(fā)明實施例通過設(shè)置網(wǎng)絡(luò)參數(shù)�,利用病毒自身的自動更新機(jī)制���,使得當(dāng) 病毒在執(zhí)行自動更新時�,下載專殺軟件清除自身,這樣可以盡量免除用戶查找 病毒專殺的繁瑣操作�����,同時大大提高殺毒軟件的效率和精確性��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地���,下面描述 中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付 出創(chuàng)造性勞動性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖�����。
圖1為本發(fā)明提供的病毒防范方法實施例的流程示意圖; 圖2為本發(fā)明提供的病毒防范裝置實施例一的結(jié)構(gòu)示意圖�����; 圖3為本發(fā)明^是供的病毒防范裝置實施例二的結(jié)構(gòu)示意圖��; 圖4為本發(fā)明^是供的病毒防范裝置實施例三的結(jié)構(gòu)示意圖�;
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清 楚�、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而不是 全部的實施例���?;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護(hù)的范圍����。
實施例一
圖1為本發(fā)明才是供的病毒防范方法實施例一的流程示意圖,該方法包括
SlOl���、檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息�����,所述請求消息包括所述客 戶端請求連接的第 一 網(wǎng)絡(luò)地址��;
對于具有自動更新下載機(jī)制的病毒程序���,當(dāng)病毒運(yùn)行時,會觸發(fā)客戶端以 一定的策略(例如定期自動檢測更新)自動連接到病毒程序預(yù)設(shè)的網(wǎng)絡(luò)資源��,下載該病毒的更新版本或新變種����。客戶端就會嘗試連接預(yù)設(shè)的網(wǎng)絡(luò)地址���。根據(jù) 網(wǎng)絡(luò)協(xié)議的規(guī)定����,必然會發(fā)送一個網(wǎng)絡(luò)連接請求���,該請求包含第一網(wǎng)絡(luò)地址����。
5102��、 確定所述第一網(wǎng)絡(luò)地址是否為病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址����;
每個病毒的都有一定的行為特征,根據(jù)該行為特征可以檢測出病毒來����。對 于具有自動下載更新機(jī)制的病毒程序,其用于自動下載更新的網(wǎng)址或服務(wù)器地
址都是預(yù)先設(shè)置好的�����,因此通過分析病毒的行為特征,可以確定病毒用于更新 數(shù)據(jù)的地址���,在客戶端發(fā)送網(wǎng)絡(luò)連接請求消息時��,判斷請求連接的地址是否為 某一病毒的下載更新的地址���。
5103、 若步驟S102確定的結(jié)果為是���,配置網(wǎng)絡(luò)參數(shù)使得所述客戶端連接 到第二網(wǎng)絡(luò)地址�,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺毒 程序��。
本步驟中�,可以將第一網(wǎng)絡(luò)地址配置為第二網(wǎng)絡(luò)地址,使得客戶端請求連 接的地址���,被引向另外一個新的地址(第二網(wǎng)絡(luò)地址)�,新的地址中存儲有用 于清除該病毒的殺毒程序���,例如病毒專殺軟件�����、木馬清殺工具等��,使得當(dāng)病毒 要更新數(shù)據(jù)時���,實際上下載的是殺毒程序并在客戶端上運(yùn)行該殺毒程序,從而 達(dá)到清除病毒的目的�����。有的病毒程序促發(fā)客戶端連接多個網(wǎng)絡(luò)地址���,只需將其 中的一個網(wǎng)絡(luò)地址配置為預(yù)設(shè)的第二網(wǎng)絡(luò)地址即可��。例如���,將第一網(wǎng)絡(luò)地址解 析為第二網(wǎng)絡(luò)地址的IP地址。本發(fā)明所述的病毒包括蠕蟲��、下載器�����、惡意代碼等���。
5104���、 若步驟102判斷的結(jié)果為否��,保持原始的網(wǎng)絡(luò)參tt不變��。即不對網(wǎng) 絡(luò)參數(shù)做任何修改�����,按照原來的方式進(jìn)行后續(xù)操作即可����。
以上實施例提供的病毒防范方法��,通過設(shè)置網(wǎng)絡(luò)參數(shù)���,利用病毒自身的自 動更新機(jī)制����,使得當(dāng)病毒在執(zhí)行自動更新時���,下載專殺軟件清除病毒����,這樣可 以盡量免除用戶查找病毒專殺的繁瑣操作,同時大大提高殺毒軟件的效率和精 確性�����。
實施例二
本實施例重點介紹步驟S103的具體應(yīng)用實施例�����,步驟SIOI�����、 S102可以 采用本領(lǐng)域的慣用手段實施�,在此不再贅述���。以下以 一 個病毒 Trojan-Downloader.Win32.QQHelper.ws為例��,介紹如何通過配置網(wǎng)絡(luò)參數(shù)達(dá)到自動清除病毒的目的��。這個病毒根據(jù)名字來看是一個木馬下載器���,經(jīng)過分析得
到該病毒行為特征包括如下虛線間的內(nèi)容所示
(以下的70204這個數(shù)字可能隨主機(jī)不同而不同) 隨機(jī)順序依次嘗試下載以下四個文件 http:〃insta111 .ring520.org/kkkk/mminstall.exe queryid=70204 http:〃install2.ring520.org/kkkk/mminstall.exe queryid=70204 http:〃install3.ring520.org/kkkk/mminstall.exe queryid=70204 http:〃install4.ring520.org/kkkk/mminstall.exe queryid=70204 下載成功存放在��。/���。tmp。/cA下�,重命名為"tempaq 70204",并執(zhí)行,無論執(zhí)行 成功與否��,本來的下載器進(jìn)程結(jié)束�����。執(zhí)行成功即代表病毒下載更新成功�����。
對具有這樣行為的病毒�����,本發(fā)明實施例可以提供如下方案
預(yù)先架設(shè)一臺http服務(wù)器(第二網(wǎng)絡(luò)地址)����,其ip地址布支設(shè)為60.70.80.90, 在該服務(wù)器上對應(yīng)的目錄位置(kkkk/mminstall.exe queryid=70204,這實際上 是一個cgi動態(tài)文件服務(wù))放置該病毒的專殺工具;
當(dāng)客戶端嘗試訪問installl.ring520.com等域名網(wǎng)址時���,被檢測到該地址屬 于名為Trojan-Downloader.Win32.QQHdper.ws的木馬下載器的病毒�����,則可以通 過修改客戶端主機(jī)的hosts文件��,為病毒程序預(yù)設(shè)的域名地址配置默認(rèn)的IP地 址�����,該默認(rèn)的IP地址可以為上述預(yù)設(shè)的服務(wù)器地址,或其他存儲有該病毒專 殺工具的網(wǎng)紹-地址��。
例如�����,可以》務(wù)改客戶端主才幾的hosts文件���,增加如下幾4亍( 一行也可以)
60.70.80.90 installl.ring520.com
60.70.80.90 install2.ring520.com
60.70.80.90 install3.ring520.com
60.70.80.90 install4.ring520.com
如此一來����,當(dāng)病毒程序促發(fā)客戶端訪問上述四個域名網(wǎng)址如 installl.ring520.com時��,客戶端的連接請求中的網(wǎng)址實際被配置了默認(rèn)的IP地址60.70.80.90,這時候DNS就不會再去解析installl.ring520.com的真實IP地
址����,所以客戶端訪問的實際上是預(yù)設(shè)的主機(jī)服務(wù)器,下載的是該病毒程序的專 殺工具并執(zhí)行專殺工具�,從而將客戶端的病毒程序清除。
病毒會自動從預(yù)設(shè)的服務(wù)器上下載專殺工具�,然后啟動專殺工具,將病毒 殺除�����。
在上述情況下����,也可以應(yīng)用DNS欺騙,或者由域名服務(wù)商提供域名解析 修改實現(xiàn)downloader-spoofing (下載器欺騙)����,即"欺騙"病毒程序自己下載 專殺工具,自己殺除自己��。DNS欺騙是目前常見的黑客手段之一����,主要是通 過DNS服務(wù)器漏洞����,或DNS劫持(例如�,將DNS解析得到的第一網(wǎng)絡(luò)地址 的真實IP地址,修改為第二網(wǎng)絡(luò)地址的真實IP地址)���,或直接搭建虛假DNS 服務(wù)器等方法�����,干擾目標(biāo)的域名解析����,實現(xiàn)一些網(wǎng)絡(luò)訪問的轉(zhuǎn)向目的�����。
實施例三
以病毒Trojan-Downloader.Win32.QQHelper.vn為例�,介紹如何通過配置網(wǎng) 絡(luò)參數(shù)達(dá)到自動清除病毒目的���。 該病毒的行為特征包括 (1 )首先下載如下這個配置文件 http:〃up.bizmd.cn/software/update.txt (2)隨后才艮據(jù)該文件中的內(nèi)容確定下一步下載內(nèi)容����,病毒的作者可以通 過控制更新這一文件的內(nèi)容,完全地控制下載器的下載行為���。例如在某個階段, 該文件的內(nèi)容如以下虛線之間所示
Url=http:〃up.bizmd.cn/software/pluglist.xml
Ver=42
Key=2
ic=l
URL=http:〃up.bizmd.cn/software/netdde32.exe,0�,2����,W,NULLOcx=http:〃up.bizmd.cn/software/QQIEHelper7.dll,S,3��, 1 ,NULL
ShowCount=l
SelfUpdate=0
Autodown=746E3D627574746F6E5F7067
LastOpen=
(3)隨后病毒下載了指定的兩個文件 GET /software/netdde32.exe HTTP/1.1 Host: up.bizmd.cri 21:41:43,883136 len:264
GET /software/pluglist.xml HTTP/1.1 Host: up.bizmd.cn 21:41:44,292723 len:264
(4)之后又下載了一些exe�����,是pluglist.xml這個文件里指定的�。
針對這個病毒,除了上述實施例二》務(wù)改hosts文件或DNS欺騙的方法外�, 還可以通過篡改首次下載的配置文件的內(nèi)容來達(dá)到目的,具體的��,修改配置文 件內(nèi)容指定的下一步要訪問的網(wǎng)絡(luò)地址�����。上述病毒下一步訪問的內(nèi)容是http 協(xié)議的內(nèi)容,由于http連接的數(shù)據(jù)內(nèi)容是可以在中間路由上被篡改的�,例如修 改如上一個配置文件的內(nèi)容甚至只是修改其中幾個字節(jié)是比較容易做到的。只 要修改了上述文件中最關(guān)鍵部分url的幾個字節(jié)��,就可以欺騙病毒下載器���,將 其下載目標(biāo)轉(zhuǎn)移到預(yù)設(shè)好的專殺工具服務(wù)鏈接上去�,從而實現(xiàn)快速有效的殺 毒���。具體地����,路由器或網(wǎng)關(guān)等接收到來自客戶端的連接請求后����,判斷客戶端請 求下載配置文件的網(wǎng)址屬于該病毒用于自動更新下載的網(wǎng)址,則在下載該配置文件后�,修改配置文件中的原始url為預(yù)設(shè)的存儲有該病毒的殺毒程序的服務(wù) 器地址����,使得客戶端繼續(xù)請求連接到該服務(wù)器地址,下載殺毒程序并自動運(yùn)行��, 從而殺除客戶端上的病毒。本實施例所述的配置文件是以.txt即文本文件為例 進(jìn)行說明的��,實際應(yīng)用中該配置文件的格式還可以是.xml文件�����,.dll文件�����,.dat 文件等��。
本實施例通過在客戶端獲取首個配置文件時��,在中間路由上把配置文件的 url地址修改為存儲有病毒專殺的地址����,若選擇的網(wǎng)關(guān)或路由器地址得當(dāng)��,可 以大面積快速實現(xiàn)病毒清除��。
實施例四
本實施例不是修改病毒程序訪問的網(wǎng)絡(luò)地址,而是將病毒程序所訪問的服 務(wù)器對應(yīng)的用于更新的數(shù)據(jù)例如新版本病毒程序�����,修改為該病毒的專殺工具相 關(guān)的信息,使得當(dāng)運(yùn)行于客戶端的病毒在自動更新時���,根據(jù)預(yù)定的策略連接到 預(yù)設(shè)的網(wǎng)址下載文件時����,實際上下載的是專殺工具���,同樣可以達(dá)到清除病毒的 目的���。以病毒Trojan-PSW.Win32.0nLineGames.nn為例,該病毒會從
www.v369v.com這個網(wǎng)iit下載hostl.exe����, host2.exe, ......host9.exe���, xia.exe等����,
可以在服務(wù)器上將這些病毒文件刪除�����,并替換成專殺工具����。再例如病毒 Trojan-Downloader.Win32.Agent.bpp,該病毒啟動后會嘗試下載這個配置文件 www.loveyu521 .com/ip.txt,才艮據(jù)該文件的內(nèi)容再決定下 一 步下載的url列表�����, 同樣可以刪除這個配置文件�,替換成專殺工具。
以上實施例中�����,同時還可以在判斷網(wǎng)絡(luò)連接請求涉及病毒時�,統(tǒng)計病毒類 型及發(fā)作情況,例如登記發(fā)起請求的客戶端IP地址����、連接次數(shù)、中毒類型等�����, 以便了解病毒的危害程度和發(fā)作的位置�����,可以及時進(jìn)行防范。
綜上所述�����,隨著病毒和各類惡意軟件的日益泛濫�����,具有自主下載功能的病 毒越來越多����,與此同時各種殺毒軟件和反病毒網(wǎng)站自身成為各路病毒首要清除 目標(biāo),往往無法及時有效履行殺毒任務(wù)�。本發(fā)明實施例提出 downloader-spoofing (下載器欺騙)是一種全新的反病毒軟件下載方法,即針 對有自動更新功能的病毒�、蠕蟲和惡意軟件,通過更改一些主機(jī)或網(wǎng)絡(luò)設(shè)置���,利用病毒自帶的下載更新機(jī)制�����,誘使病毒自己去下載殺毒工具�。這樣可以盡量 免除用戶查找病毒專殺的繁瑣操作,大大提高殺毒工具的效率和精確性����,做到 只要病毒還在發(fā)作��,反病毒軟件就自動下載殺毒工具并運(yùn)行�,將病毒殺盡后, 反病毒軟件也就不再被下載���,做到快速有效殺毒����。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程�, 是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算 機(jī)可讀取存儲介質(zhì)中��,該程序在執(zhí)行時�����,可包括如上述各方法的實施例的流程��。
其中,所述的存儲介質(zhì)可為;茲碟�、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機(jī)存儲記憶體(Random Access Memory, RAM)等����。
實施例五
如圖2所示為本發(fā)明實施例提供的病毒防范裝置實施例一結(jié)構(gòu)示意圖,包
括
檢測模塊201�����,用于檢測客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息���,所述請求消息 包括所述客戶端請求連接的第 一 網(wǎng)絡(luò)地址�����;
判斷模塊202,用于判斷所述第一網(wǎng)絡(luò)地址是否為所述病毒用于更新數(shù)據(jù) 的網(wǎng)紹-i也址���;
設(shè)置模塊203,用于在判斷模塊確定為是時�,設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶 端連接到第二網(wǎng)絡(luò)地址,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒 的殺毒程序��。
所述設(shè)置模塊203包括
解析單元2031,用于在判斷模塊確定為是后�,將所述第一網(wǎng)絡(luò)地址解析
為所述第二網(wǎng)絡(luò)地址的IP地址。
或如圖3所示的病毒防范裝置實施例二,所述設(shè)置模塊203包括 接收單元2032,用于在判斷4莫塊202確定為是后����,接收/人第一網(wǎng)絡(luò)地址
獲取的配置文件,所述配置文件包括有所述病毒用于執(zhí)行自動更新的第三網(wǎng)絡(luò)
地址��;
修改單元2033,用于修改所述接收單元2032接收的配置文件中的第三網(wǎng) 絡(luò)地址為所述第二網(wǎng)絡(luò)地址��,所述第三網(wǎng)絡(luò)地址為所述客戶端下載所述配置文件后將繼續(xù)訪問并下載新版本病毒程序的網(wǎng)絡(luò)地址��。
如圖4所示的病毒防范裝置實施例三��,所述病毒防范裝置還可以進(jìn)一步包
括
統(tǒng)計模塊204,用于根據(jù)判斷模塊202的判斷結(jié)果����,統(tǒng)計病毒發(fā)作情況��, 包括病毒類型��、發(fā)作次數(shù)或客戶端IP地址�,以便了解病毒的危害程度和發(fā)作 的位置,可以及時進(jìn)行防范��。
發(fā)明實施例提供的病毒防范裝置�,可以設(shè)置于客戶端的主機(jī);或設(shè)置于路 由器中,或設(shè)置于網(wǎng)關(guān)中��,或設(shè)置于網(wǎng)絡(luò)中的其他網(wǎng)元中����,用于快速大面積地 清除病毒程序。
采用本發(fā)明實施例提供的病毒防范裝置����,能有效提高殺毒軟件的下載針對 性,做到只要病毒還在發(fā)作���,反病毒軟件就自動出擊����,病毒殺盡���,反病毒軟件 也就不再被下載�����,做到快速有效殺毒���。
以上所述僅為本發(fā)明的幾個實施例�,本領(lǐng)域的技術(shù)人員依據(jù)申請文件公開 的可以對本發(fā)明進(jìn)行各種改動或變型而不脫離本發(fā)明的精神和范圍�。
權(quán)利要求
1、一種病毒防范方法�����,其特征在于����,包括檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息,所述請求消息包括所述客戶端請求連接的第一網(wǎng)絡(luò)地址�;在確定所述第一網(wǎng)絡(luò)地址為病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址后����;設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連接到第二網(wǎng)絡(luò)地址,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺毒程序���。
2�����、 如權(quán)利要求1所述的方法��,其特征在于����,所述設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連接到第二網(wǎng)絡(luò)地址包括將所述第一網(wǎng)絡(luò)地址解析為第二網(wǎng)絡(luò)地址的IP地址。
3�、 如權(quán)利要求2所述的方法,其特征在于�,所述將所述第一網(wǎng)絡(luò)地址解 析為第二網(wǎng)絡(luò)地址的IP地址包括修改客戶端的hosts文件,將所述第 一 網(wǎng)絡(luò)地址映射為所述第二網(wǎng)絡(luò)地址 的IP地址����。
4、 如權(quán)利要求2所述的方法��,其特征在于�����,所述將所述第一網(wǎng)絡(luò)地址解 析為第二網(wǎng)絡(luò)地址的IP地址包括在DNS解析過程中��,將DNS服務(wù)器解析得到的第 一 網(wǎng)絡(luò)地址的IP地址 修改為所述第二網(wǎng)絡(luò)地址的IP地址�。
5、 如權(quán)利要求1所述的方法�����,其特征在于����,所述設(shè)置網(wǎng)絡(luò)參數(shù)使得所述 客戶端連接到第二網(wǎng)絡(luò)地址包括接收從第一網(wǎng)絡(luò)地址獲取的配置文件�����,所述配置文件包括有所述病毒用于 執(zhí)行自動更新的第三網(wǎng)絡(luò)地址�����;修改所述配置文件中的第三網(wǎng)絡(luò)地址為所述第二網(wǎng)絡(luò)地址��。
6��、 一種病毒防范裝置���,其特征在于���,包括檢測模塊���,用于檢測客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息,所述請求消息包括所述客戶端請求連接的第 一 網(wǎng)絡(luò)地址�;判斷模塊,用于確定所述第一網(wǎng)絡(luò)地址是否為所述病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址���;設(shè)置模塊���,用于在判斷模塊確定為是時��,設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連 接到第二網(wǎng)絡(luò)地址����,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺 毒程序����。
7、 如權(quán)利要求6所述的裝置���,其特征在于����,所述設(shè)置模塊包括 解析單元�����,用于在判斷模塊確定為是后��,將所述第一網(wǎng)絡(luò)地址解析為所述第二網(wǎng)絡(luò)地址的IP地址����。
8��、 如權(quán)利要求6所述的裝置�����,其特征在于��,所述設(shè)置模塊包括 接收單元���,用于在所述判斷模塊確定為是后,接收從第一網(wǎng)絡(luò)地址獲取的配置文件����,所述配置文件包括有所述病毒用于執(zhí)行自動更新的第三網(wǎng)絡(luò)地址; 修改單元���,用于修改所述接收單元接收的配置文件中的第三網(wǎng)絡(luò)地址為所 述第二網(wǎng)絡(luò)地址�����,所述第三網(wǎng)絡(luò)地址為所述客戶端下載所述配置文件后將繼續(xù)訪問并下載新版本病毒程序的網(wǎng)絡(luò)地址。
9����、 如權(quán)利要求6所述的裝置���,其特征在于,還包括統(tǒng)計模塊�,用于根據(jù)判斷模塊的判斷結(jié)果,統(tǒng)計病毒發(fā)作情況��,所述發(fā)作 情況包括病毒類型�、發(fā)作次數(shù)或客戶端IP地址
10、 一種路由器����,其特征在于,包括權(quán)利要求6至9任一項所述的裝置����。
11、 一種網(wǎng)關(guān)�,其特征在于,包括權(quán)利要求6至9任一項所述的裝置���。
12����、 一種病毒防范方法,其特征在于����,包括檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息,所述請求消息包括所述客戶端請 求連接的第 一 網(wǎng)絡(luò)地址���;在確定所述第 一 網(wǎng)絡(luò)地址為病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址后�;將所述第一網(wǎng)絡(luò)地址對應(yīng)服務(wù)器上存儲的用于病毒更新的數(shù)據(jù)替換為所 述病毒的殺毒程序��。
全文摘要
本發(fā)明實施例公開了一種病毒防范方法和裝置�,所述方法包括檢測到客戶端發(fā)送的網(wǎng)絡(luò)連接請求消息,所述請求消息包括所述客戶端請求連接的第一網(wǎng)絡(luò)地址���;判斷所述第一網(wǎng)絡(luò)地址是否為所述病毒用于更新數(shù)據(jù)的網(wǎng)絡(luò)地址��;若是�,設(shè)置網(wǎng)絡(luò)參數(shù)使得所述客戶端連接到第二網(wǎng)絡(luò)地址��,所述第二網(wǎng)絡(luò)地址對應(yīng)的服務(wù)器存儲有清除所述病毒的殺毒程序���。以上技術(shù)方案以上實施例提供的病毒防范方法���,通過設(shè)置網(wǎng)絡(luò)參數(shù),利用病毒自身的自動更新機(jī)制����,使得當(dāng)病毒在執(zhí)行自動更新時,下載專殺軟件清除自身��,這樣可以盡量免除用戶查找病毒專殺的繁瑣操作��,同時大大提高殺毒軟件的效率和精確性����。
文檔編號H04L29/06GK101316171SQ200810068230
公開日2008年12月3日 申請日期2008年6月30日 優(yōu)先權(quán)日2008年6月30日
發(fā)明者李君生 申請人:華為技術(shù)有限公司