电子科技大学防火墙病毒第3章常见病毒与防治.ppt

第三章 常见病毒与预防,宏病毒、CIH病毒、蠕虫病毒、Happy99、爱虫病毒、Nimda、冲击波病毒,第三章 常见病毒与预防,宏病毒： 所谓宏是为避免重复同样的工作而设计的一种工具。 起源：MicroSoft Word，利用软件支持的宏命令编写的可复制、感染的宏。 特点： 跨平台、相对简单、不感染com exe文件、通过Doc Dot文件进行自我复制和传播,第三章 常见病毒与预防,宏病毒： 特征： 传播快：使用广泛 制作变种快：易于修改 多平台,第三章 常见病毒与预防,宏病毒： 症状： 打开文档或模板文件时激活 包含AutoOpen AutoClose AutoNew AutoExit 包含对文档读写命令 Doc Dot中以BEF(Binery File Format)格式存放 将文档改为模板，但不改变扩展名 不能用SaveAs 打开激活，复制到Normal.dot通用模板中。,第三章 常见病毒与预防,宏病毒： 作用机制 Word文档中含有代码、数据。该代码可以被Word解释执行。Word文档通过模板建立。缺省为Normal.dot。Word中每个操作都对应一个宏命令，如：FileSave FileSaveAs。打开文件时，检查AutoOpen是否存在。存在则执行。AutoClose在文件关闭时执行。含病毒代码的宏将其移植到通用模板的代码段。Word启动时打开通用模板，该宏替代正常的宏，用户调用后进行非法操作。,第三章 常见病毒与预防,宏病毒： 传播途径： 软盘交流的文档 硬盘感染 光盘携带 Internet下载 BBS交流 电子邮件附件,第三章 常见病毒与预防,宏病毒： 清除 手工： 打开宏菜单，从Normal.dot中删除可疑的宏 打开带有宏病毒的文档，打开宏菜单清除 保存清洁文档 软件清除,第三章 常见病毒与预防,Concept 病毒（又称Prank） 当第一次发现Word 感染该病毒时，会出现一个对话框，对话框中的文本只有一个“1”，按钮也只有一个“OK”键（在中文环境中为“确定”键）。病毒加载之后，就会修改【文件】菜单的【保存】命令所代表的宏，然后在每次保存文件的时候，就会将病毒保存到文件中。 受此病毒感染后，所编辑的文档只能按模板格式保存。Concept 病毒不会造成文件数据丢失。其症状是Word 的Normal 模板中会出现两个名字为AAAZAO 和AAAZFS 的宏命令，如图13-1 所示。另外还有一个PayLoad 宏，该宏只包含一句话“这足以证明我的观点（Thats enough to prove my point.）”，而不做其他事情。,第三章 常见病毒与预防,虽然Concept 在这个宏里面没有包含任何内容，但是任何一个对宏有一定了解的人都可以修改这个宏，做一些可怕的事情，例如删除某些文件，修改磁盘上的一些关键参数或生成另外的一个更可怕的病毒。因此，虽然可以认为Concept 是良性病毒，但是必须注意，它随时都可以变成恶性病毒（这也是其他病毒发展的必然过程）。,第三章 常见病毒与预防,Nuclear 病毒 该病毒会对文档打印功能造成破坏，并会破坏MS-DOS 系统文件。感染该病毒后，Word 的Normal 模板将出现以下宏命令：AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad，如图13-2 所示。 Nuclear 宏病毒可能造成以下危害： （1）如果在任何时间的5557 秒之间操作文件，病毒会在打印的文档上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC （停止法国在太平洋的所有核试验）”这句话。 （2）如果在下午5 点6 点（系统时间）打开感染了Nuclear 病毒的文件，这台计算机将被PH33R 病毒感染，PH33R 病毒会产生一个 DOS 驻留程序。 （3）每年4 月5 日，Nuclear 病毒会将计算机中的IO.SYS 和 MSDOS.SYS 两个文件的长度置为零，并删除COMMOND.COM 文件，使 DOS 无法启动。,第三章 常见病毒与预防,图片来自滚石咨询,第三章 常见病毒与预防,DMV 病毒 该病毒与Concept 病毒类似，使Word 中的【另存为】命令无效 13.2.4 宏病毒的一些变种 从第一个宏病毒Concept 诞生到1998 年底，Word 宏病毒已经出现了几千个变种，其中不少是恶性病毒，但是万变不离其宗，所有的病毒都需要在宏里面增加一个名字为“AutoLoad”的宏，下面介绍一些另外常见的宏病毒。 1. Alliance 感染.DOC 和.DOT 文件，仅在每月的2、7、11 和12 日感染和复制，并且屏幕显示一个信息窗，提示用户已感染病毒。 2. Boom 感染德文版的MS Word 软件的.DOC 和NORMAL.DOT 文件，每年的 3 月13 日13 时13 分13 秒发作，发作时胡乱更改菜单，显示政治笑话。 3. Clock：DE 感染德文版的MS Word 软件，在每月的1、2、13、21 和27 日，每个整点过后的5 分钟发作，发作时将文件打开和存取功能交替颠倒，并产生混乱。 4. Concept.F 基于Concept 病毒原型的宏病毒，病毒经过自身加密，在每月的 16 日发作，发作时分别用“，”、“e”和“not”替换文本中所有的“.”、“a”和“and”，并且屏幕显示一个信息窗，提示用户已感染病毒。,图片来自滚石咨询,第三章 常见病毒与预防,5. Concept.L 感染.DOC 和.DOT 文件，每月的17 日发作，发作时将删除“C：” 根目录下的有关文件，并且屏幕显示一个信息窗，提示用户已感染病毒。 6. Helper 感染.DOC 和.DOT 文件，在每月的10 日发作，发作时所有经过打开和创建操作后关闭的文件将被设置一个加密口令。 7. Kompu 该病毒是一个使用了加密、隐性技术的宏病毒。感染.DOC 和.DOT 文件，在每月的6 日和8 日发作。发作时在屏幕上显示一个信息窗，提示用户输入口令，用户必须输入“KOMM”以关闭此窗口，否则，病毒将通过打印机打印出混乱的信息。 8. MDMA.A 每月的1 日发作，可感染多种操作系统（Windows、Windows 95、 Macintosh 和Windows NT），在Windows 3.x 下发作时，会在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的恶意指令，后果严重。 9. MDMA.C 上述病毒的一个变种，每月的20 日后的任何一天都可能发作，可感染Windows、Windows 95 和Windows NT，设置密码口令，删除 C:Windowssystem*.CPL 文件。,第三章 常见病毒与预防,10. Nuclear.B 有三种可能的发作方式： （1）4 月5 日，删除C 文件。 （2）1718 日使用，释放一个DOS 的可执行文件病毒PH33R.1332。 （3）在某时某分的5459 秒间打印文件时，将会加入下面一行文字：“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC（停止法国在太平洋的所有核试验）”。 11. Phardera 发作时屏幕显示一个信息窗，干扰用户正常工作，同时从【工具】菜单中删除【宏】和【自定义】命令，阻碍用户手工杀毒。 12. Saver:DE 德文版宏病毒，4 月21 日发作。 13. Taiwan.Theatre 双字节宏病毒，每月的1 日发作，破坏系统硬盘数据。 14. TW-No.1（台湾1 号） 每月的13 日发作，发作时在屏幕上显示一个窗口，要求用户做4 位数连乘，若做错，将连续打开窗口，让用户继续做题，由于系统资源不断消耗，系统运行速度将越来越慢。,第三章 常见病毒与预防,宏病毒： 预防： 将Normal.dot该为只读 提示保存选项 关闭自动宏 以宏制宏 Word报警设置 Normal.dot进行密码保护 加装杀毒软件,第三章 常见病毒与预防,CIH病毒： 破坏硬件系统的病毒 由台湾大学生陈盈豪编写，由1.01.4五个版本 1.0不具破坏性 1.1可以自动判断运行的系统，隐蔽 1.2增加了破坏硬盘及BIOS的代码，可以感染ZIP文件，使其解压错误，发作时间4月26日 1.3不感染ZIP自解压文件，时间为6月26日 1.4修改了发作器及病毒的版权信息，时间为每个月26日,第三章 常见病毒与预防,CIH病毒： 破坏作用 从硬盘主引导区开始依次写入垃圾数据，直到全部破坏，症状就是硬盘转动不停 最大破坏作用就是对系统主机BIOS的破坏。向BIOS写入垃圾数据，造成无法启动。主要针对EEPROM,第三章 常见病毒与预防,CIH病毒作用机理 属文件型病毒，使用VXD技术。主要感染WIN9X可执行文件 修改INT3中断指向CIH INT3程序 自身产生INT3终端获取最高级别的CPU使用权限 判断DR0=0? 0:一由CIH驻留，否则感染 使用VXD技术分配内存 从被感染的文件中组合起来调入内存 在进入INT3调用INT20来截获文件调用操作，保留Ring0文件I/O入口地址，便于它的调用，驻留内存 如果是PE格式文件，将自身分解插入文件空白区，并修改文件执行参数，使其首先指向CIH病毒体,第三章 常见病毒与预防,CIH病毒： 防治 安装具体查解压文件病毒和实时监控病毒的反病毒软件 将硬盘分区，将重要数据放在D以后的分区，这样可以通过修复分区表的方式修复数据 备份重要数据，不使用不明来历的软件和光盘 CIH病毒免疫，复制病毒“感染标记”。,第三章 常见病毒与预防,CIH病毒 补救 BIOS修复 更换、写入、热插拔（使用其它BIOS启动后拔下，更换） 硬盘修复 复制相同分区其它硬盘的分区表，进行修复 Final recovery Easy recovery 只能修复未被破坏的数据,第三章 常见病毒与预防,蠕虫病毒 Explore网络蠕虫 通过EMAIL附件方式传送，复制出一个Explore.exe文件，修改Win.ini，NT下则修改注册表。通过激活OutLook，OutLook Express，Ms Exchange发送函数来实现。 具体内容：“I receive your email and I shall send you a replay ASAP, till then take a look at the attached zipped docs”。 主题不定，附件名称为：“Zipped_files.exe” 210，432B Winzip图标，运行时无法打开的错误信息,第三章 常见病毒与预防,蠕虫病毒 破坏性 窃取口令，盗取特权，借用OS的错误和漏洞。通过网络复制自己，不感染文件，重写内存特定区。抢夺系统资源，影响系统效率，后果可能造成系统崩溃。 发作后：寻找c ccp l asm doc xls ppt 文件，将字节数设置为0 变种后可能破坏所有类型的文件。,第三章 常见病毒与预防,蠕虫病毒 引导和传染过程 将自己复制到c:windowssystem 或 c:windowssystem32下改名为explore.exe 修改win.ini 加入 “run= c:windowssystemexplore.exe” NT system : “HKEY_CURRENT_USERSoftwareMicrosoftwindowswindowsNTCurrentVersionwindows” 将Run值该为“C:WinNTSystem32Explore.exe”,第三章 常见病毒与预防,蠕虫病毒： 防治 软件清除 手工清除（WinNT） Regedit 删除Explore.exe,第三章 常见病毒与预防,Happy99病毒： 1999年初，附件happy99.exe 现象：自动打开一个名为“Happy New Year 1999”黑色背景的窗口，并不停放烟花。是伪装成电子贺卡形式的蠕虫 文件：windowssystem目录下ska.exe ska.dll wsock32.ska， 特点：字符串加密,第三章 常见病毒与预防,Happy99病毒 引导 Wsock32.dll 指向Wsock32.ska 修改connect.send入口地址为ska.exe相应的功能模块 修改注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunonce 添加“ska.exe = c:windowssystemska.exe”,第三章 常见病毒与预防,Happy99病毒： 传染 发送EMAIL 调用 Connect.Send 调用ska.dll 调用ska.exe 发送同一地址带有附件happy99.exe 预防 不轻易执行来历不明的邮件附件 将Wsock32.dll设置为只读 清除 软件 手工：清除文件、清除注册表,第三章 常见病毒与预防,爱虫病毒 2002年5月4日全球发作，借助母亲节，开玩笑式。当天经济损失达10亿美元。美国加州“电脑经济”研究机构，指出，在第二天，有4500万台电脑中毒，经济损失达26亿美元。 特征： 主题不定：I Love You，Joke，今晚见面喝咖啡等 附件：VB编写，删除电脑上12种扩展名的文件，然后逐一发送电子邮件。 对象：win98，NT4.0，win95（ie5.0)，依赖于EXPRESS。APPLE， LINUX不感染,第三章 常见病毒与预防,第三章 常见病毒与预防,爱虫病毒 机制 一种蠕虫病毒，通过电子邮件扩散，10307字节，可导致网络崩溃。来自菲律宾，马尼拉。学生编写。可以寻找本地和映射驱动器，在所有目录中寻找目标 破坏： 覆盖扩展名为：vbs vbe js jse css wsh sct hta jpg jpeg mp2 mp3的文件；vbs扩展名， 例如：study.mp3 study.mp3.vbs(病毒体) 扩展名为mp2,mp3文件被隐藏 传播：发送邮件，通讯录中每个地址 邮件附件：Love_letter_for_you.txt.vbs 邮件主体：Kindly check the attached LOVE LETTER coming from me.,第三章 常见病毒与预防,爱虫病毒： 机制 运行后在WINDOWS目录下产生win32dll.vbs，在WINDOWSsystem下产生mskernel32.vbs 和 LOVE_LETTER_FOR_YOU.txt.vbs(不同名称的病毒体本身) 修改注册表：HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionRunmskernel32 windowssystemmskernel32.vbs RunServicewin32dll windowswin32dll.vbs 查找windowssystemwinfat32.exe,第三章 常见病毒与预防,爱虫病毒 机制(续) 查找win_bugsfix.exe，有则默认为“blank”。无则添加HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunwin_bugsfix win_bufsfix.exe 不存在则修改IE默认项为 （某个网站）/win_bugsfix.exe（已经无效） 可以利用mIRC软件通过IRC通道传播，给该通道的其他用户发送HTM文件，打开后出现如下窗口。 防治： 不要打开邮件附件，删除邮件 中毒后，与其他人（具有邮件地址的联系人）联系 下载软件 关闭WIN95/98 VB脚本选项,第三章 常见病毒与预防,爱虫病毒 清除 删除所有染毒邮件 删除文件 删除注册表项 mp2, mp3文件恢复 更改文件的隐藏属性 命令行：attrib h *.mp2 / *.mp3,第三章 常见病毒与预防,恶性美丽杀变种病毒 - W97M.SKEPTIC 轰动全球的美丽杀（melissa）病毒导致欧美等国家数十万台计算机遭到该病毒的攻击，同时造成大量著名的网络邮件服务器瘫痪； W97M.SKEPTIC:比美丽杀传播更广、更复杂的其变种恶性病毒。 该病毒与美丽杀病毒非常相似，病毒以附件的方式通过电子邮件进行自我扩散，病毒查找Outlook用户地址簿，自动地把感染的文件发送给地址簿的前60个用户。邮件的主题是“Important Message From “；邮件的内容为“Look what I found“。,第三章 常见病毒与预防,恶性美丽杀变种病毒 - W97M.SKEPTIC 该病毒感染Microsoft Word 97的NORMAL.DOT模板和所有在感染系统中打开和创建的Word文件。病毒在注册表“HKEY_CURRENT_USERSoftwareMicrosoftOffice“中插入一名为“Sixtieth Skeptic“的注册键并赋值为“Wheres Jamie？“。该病毒通过检查该增加键名来判断其自身是否通过email传播。 该病毒在C盘根目录下产生两个文件：“C:SS.BAS“和“C:SS.VBS“。 SS.BAS文件包含有加密的宏代码。SS.VBS是一个VBScript程序文件，它可以在WSH（Windows Scripting Host）支持的系统运行。在缺省情况下，Windows 98 支持WSH系统。VBScript文件SS.VBS创建一Word可运行目标，然后用SS.BAS文件感染NORMAL.DOT文件.,第三章 常见病毒与预防,恶性美丽杀变种病毒 - W97M.SKEPTIC 该病毒在Windows系统注册表 “HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”中增加赋值为“C:SS.VBS”的“Sixtieth Skeptic”注册键。当重新启动时系统会自动运行VBS程序。 此病毒传播性极强，不易清除。它利用所有可能的方法进行传播和复制，例如作为email（60个地址）附件进行传播，感染NORMAL.DOT文件和所有打开过及新创建的文件，还可通过修改注册表，在系统重新启动时自动激活病毒体并发作。,第三章 常见病毒与预防,【ChinaByte 综合消息】据控方提供的法庭文件显示，因编 制“美丽杀”计算机病毒并对全球电脑网络造成严重破坏而 受到起诉的大卫L史密斯承认，“美丽杀”病毒确实是 他所为。曾做过程序员的史密斯在4月1日被美国警方抓获。 新泽西州高级法院公布的由州司法部副部长巴布提供 的文件显示，史密斯承认是他编制了“美丽杀”宏病毒，非 法进入美国在线以达到在网上传播该病毒的目的，并且最后 毁坏了他用来传播病毒的电脑。史密斯的辩护律师称巴布文 件中的描述与事实不符，但他拒绝作进一步说明。 史密斯受到“扰乱公共通信”、“预谋破坏”和“企 图破坏”等多项指控，不过他对全部指控自辩无罪。他对另 外两项较轻的指控，盗窃计算机服务和非法进入计算机系统 也自辩无罪。 如果州司法当局的指控成立，史密斯将被最轻判处40 年监禁和罚款48万美元。史密斯在交纳了10万美元保释金 后，迄今仍是自由之身。,第三章 常见病毒与预防,Nimda病毒 冲击波病毒：Msblaster.exe,第三章 常见病毒与预防,第三章 常见病毒与预防,第三章 常见病毒与预防,冲击波病毒 攻击对象 Windows2000、windows XP、windows server2003 现象 系统资源被大量占用 有时出现RPC服务终止的对话框 系统反复启动 不能收发邮件 不能正常复制文件 不能浏览网页 复制、粘贴操作受到严重影响 DNS、IIS服务遭到非法拒绝,第三章 常见病毒与预防,冲击波病毒 机理 复制自身到Windows目录下，名称为msblast.exe 建立名称为的BILLY互斥量 运行时，内存出现msblast.exe的进程 在注册表的HKEY_LOCAL_MACHINEsoftwareMicrosoftwindowscurrentversionrun 键下添加 windowsautoupdate = msblast.exe 间隔20秒检测一次网络，可用时建立TFTP服务器，UDP/69端口 启动攻击传播线程，攻击随机IP地址，首先是子网内,第三章 常见病毒与预防,冲击波病毒 机理 向对方TCP/135端口发送攻击数据 135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 攻击成功后，建立TCP/4444端口的后门，并绑定cmd.exe，蠕虫连接到这个端口，发送TFTP命令，回连到发起攻击的主机，将msblast.exe传送到目标主机 攻击失败时会导致RPC服务崩溃，系统重新启动 8月之后、或每月15日之后，向微软更新站点发起攻击，导致该站点拒绝服务。,第三章 常见病毒与预防,震荡波 (Worm.Sasser)”病毒 通过微软的高危漏洞 LSASS 漏洞(微软MS04-011 公告)进行传播，危害性极大，WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。 现象： 一、对话框,第三章 常见病毒与预防,第三章 常见