典型计算机病毒的原理、防范和清除.ppt

1、计算机病毒原理与攻防,任课教师：乔奎贤 E-mail：,第6章 典型计算机病毒的原理、防范和清除,6.1 计算机病毒防范和清除 的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,3,6.5 脚本病毒,脚本病毒：主要采用脚本语言设计的病毒 目前，脚本病毒成为危害最大、最为广泛的病毒。尤其是与传统病毒相结合其危害更严重。也是Internet病毒中最为流行的网络病毒,6.5 脚本病

2、毒,6.5.1 原理 6.5.2 检测 6.5.3 清除,5,6.5.1 原理,脚本病毒的产生： 操作系统和应用系统对脚本技术的无节制的滥用 通常，在任何一个操作系统和应用系统中都存在一定的安全机制，但为了实现对系统的控制和易用性，这些安全机制对脚本程序的行为都缺乏控制,6,6.5.1 原理,1脚本语言 脚本语言的前身：DOS系统下的批处理文件 脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境 目前流行的脚本语言： UNIX/linux Shell、Pert、VBScript、JavaScript、JSP、PHP等 目前流行的脚本病毒大都利用VBScript和JavaScript脚本语

3、言编写,7,6.5.1 原理,1脚本语言 JavaScript： JavaScript是一种解释型的、基于对象的脚本语言，是MS公司对ECMA 262语言规范的一种实现 JavaScript具有局限性，如不能使用JavaScript语言编写独立运行的应用程序，且读写文件的功能也很少 JavaScript脚本只能在某个解释器上运行，解释器可以是Web服务器，也可以是Web浏览器,8,6.5.1 原理,1脚本语言 VBScript VBScript是Visual Basic或Visual Basic for Application(VBA)的子集，其程序设计与Visual Basic或VBA基本相

4、同，VBScript将灵活的脚本应用于更广泛的领域，包括MS IE中的Web客户机脚本和MS Internet Information Server中的Web服务器Script JavaScript和VBScript主要应用在微软的平台上，运行环境为MS Windows Script Host(WSH)，在微软的系统平台上也无处不在 MS Windows Script Host(WSH)是一个功能强大的脚本应用环境 微软提供了一个脚本调试器Microsoft Debugger，位于： .program FilesMicrosoft Script Debuggermsscrdbg.exe,9,6

5、.5.1 原理,2脚本病毒的分类 根据脚本计算机病毒的程序是否完全采用脚本语言来分类： 纯脚本型 纯脚本型计算机病毒的程序完全采用脚本语言设计 典型代表宏病毒 宏病毒是微软的Office系统办公软件和Windows系统所特有的一种计算机病毒，利用Office环境强大的宏，完全采用脚本语言设计 如：“台湾一号”病毒,10,6.5.1 原理,混合型 混合型脚本计算机病毒：指脚本病毒与传统病毒技术相结合的产物，一般参杂与HTM、HTML、Jsp等网页文件中 根据病毒的行为特征分为：邮件计算机病毒、蠕虫病毒 邮件计算机病毒：通过邮件方式传播的病毒， 利用邮件系统的强大功能，在互联网上迅速传播。邮件病毒

6、并非都用脚本语言编写，如“红色代码”、“求职信”等 采用VC编写的邮件计算机病毒： 如“红色代码”、“求职信”等 采用脚本语言编写的邮件计算机病毒： 如“欢乐时光”、“新欢乐时光”、“主页”、“美丽沙”等,11,6.5.1 原理,3VBS脚本计算机病毒的特点及发展现状 VBS计算机病毒是用VBScript编写而成，其功能非常强大，利用Windows系统的开放性特点，通过调用现成的Windows对象、组件，可直接对文件系统、注册表等进行控制。 VBS计算机病毒的特点： 编写简单：无专业基础的人员可在很短时间内编出新型病毒 破坏力大：不仅能对用户系统文件及性能进行破坏，还可使邮件服务器崩溃，网络发

7、生严重阻塞 感染力强：脚本直接解释执行，不需做复杂的PE文件格式处理。故此病毒可直接通过自我复制的方式感染其他同类文件，且自我的异常处理非常容易,12,6.5.1 原理,3VBS脚本计算机病毒的特点及发展现状 VBS计算机病毒的特点： 传播范围大：此类计算机病毒通过HTM文档、E-mail附件或其他方式，在很短时间内传遍世界各地 病毒源码容易被获取，变种多：VBS病毒解释执行，其源代码可读性非常强 欺骗性强：脚本病毒为获得运行机会，常采用各种让用户不太注意的手段，如邮件的附件常采用双后缀，如.jpg.VBS 使得计算机病毒生产机实现容易： 计算机病毒生产机即可按照用户意愿生产计算机病毒的机器。

8、使得生成新型脚本计算机病毒变得非常容易,13,6.5.1 原理,4VBS脚本病毒原理分析 VBS脚本病毒如何感染、搜索文件 VBS脚本病毒一般是直接通过自我复制来感染文件，病毒中的绝大部分代码都可直接附加在其他同类程序中间。如： “新欢乐时空”病毒：可将其代码附加在HTM文件末尾，并在顶部加入调用病毒代码的指令 宏病毒：直接生成一个文件的副本，将计算机病毒代码复制入其中，并以原文件名作为病毒文件名的前缀，VBS作为后缀,14,6.5.1 原理,4VBS脚本病毒原理分析 VBS脚本病毒通过网络传播的几种方式及代码分析 VBS脚本病毒采用的传播方式： 通过E-mail附件传播 通过局域网共享传播

9、通过感染HTM、Asp、Jsp、Php等网页文件传播 此外，通过广泛流行的KaZaA进行传播。病毒将其复制到KaZaA的默认共享目录中，其他用户访问此机器时被下载执行,15,6.5.1 原理,5VBS脚本病毒如何获得控制权 修改注册表项 Windows启动时，会自动加载HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRun项下各键值所指向的程序。 脚本病毒可在此项下加入一个键值指向计算机病毒程序，从而保证每次启动时获得CPU控制权 修改方法，调用语句： Wsh.RegWrite(strName , anyvalue , strT

10、ype ),16,6.5.1 原理,5VBS脚本病毒如何获得控制权 通过映射文件执行方式 如：“新欢乐时空”病毒将dll的执行文件修改为wscript.exe ，甚至可将.exe文件的映射指向计算机病毒代码 欺骗用户，让用户自己执行 如采用双后缀的文件名。对于用户自己磁盘中的文件，计算机病毒在感染它们的时候，将原有文件的文件名作为前缀，VBS作为后缀产生一个计算机病毒文件，并删除原来文件，这样，用户就有可能将这个VBS文件看做自己原来的文件运行,17,6.5.1 原理,5VBS脚本病毒如何获得控制权 desktop.ini和folder.htt互相配合 desktop.ini和folder.h

11、tt用来配置活动桌面，也可用来自定义文件夹。若用户目录中含有这两个文件，当用户进入此目录时，就会触发folder.htt中的病毒代码。“新欢乐时光”病毒采用的一种有效的获取控制权的方法。通过folder.htt还可触发.exe文件，也可成为病毒获得控制权的有效方法,18,6.5.1 原理,随着网络技术的发展，网络蠕虫病毒开始流行，而VBS脚本蠕虫更加突出。 利用脚本编写病毒简单，将会出现更多的其他脚本病毒，如“PHP”、“JS”、“Perl” 脚本病毒解除容易，相对易于防范，像“宏病毒”、“新欢乐时光”那样产生大范围影响的脚本病毒只是少数,19,6.5.2 检测,对未加密的脚本病毒，可直接从计

12、算机病毒样本中找出来 从病毒样本中提取加密VBS脚本病毒：以“新欢乐时光”为例,用Edit打开folder.htt，就会发现这个文件总共才93行，第87行到91行，是如下语句： 87： 88：ExeString = Afi FkSeboa）EqiiQbtq）SpQbtq）AadobaPfdj）mlibLgbp）CPK.； 89：Execute（Dim KeyArr（3），ThisText&vbCrLf&KeyArr（0） = 3&vbCrLf&KeyArr（1） = 3&vbCrLf&KeyArr（2） = 3&vbCrLf&KeyArr（3） = 4&vbCrLf&For i=1 To Le

13、n（ExeString）&vbCrLf& TempNum = Asc（Mid（ExeString，i，1）&vbCrLf&If TempNum = 18 Then&vbCrLf&TempNum = 34&vbCrLf&End If&vbCrLf&TempChar = Chr（TempNum + KeyArr（i Mod 4）&vbCrLf&If TempChar = Chr（28） Then&vbCrLf&TempChar = vbCr&vbCrLf&ElseIf TempChar = Chr（29） Then&vbCrLf& TempChar = vbLf&vbCrLf&End If&vbC

14、rLf&ThisText = ThisText & TempChar&vbCrLf&Next） 90：Execute（ThisText） 91：/script 第88行是一个字符串的赋值，很明显这是被加密过的计算机病毒代码。第89行最后的一段代码ThisText = ThisText & TempChar，再加上下面那一行，我们可以猜到ThisText里面放的是计算机病毒解密代码。第90行是执行刚才ThisText中的那段代码（经过解密处理后的代码）,20,6.5.3 清除,VBS脚本病毒具有的弱点： 绝大多数VBS脚本病毒运行时需要用到一个对象：FileSystemObject VBScri

15、pt代码是通过Windows Script Host来解释执行的 VBScript脚本病毒的运行需要关联程序Wscript.exe的支持 通过网页传播的计算机病毒需要ActiveX的支持 通过E-mail传播的计算机病毒需要OE的自动发送邮件功能支持，绝大部分病毒都是以E-mail为主要传播方式,21,6.5.3 清除,针对VBS病毒的防范措施： 禁用文件系统对象FileSystemObject 使用指令禁止文件系统对象，其中regsvc32为WindowsSystem下的可执行文件 regsvc32 scrrun.dll /u 直接删除或更名文件：scrrun.dll 在注册表中HKEY_C

16、LASSES_ROOTCLSID下删除主键： 0D43FE01-F093-11CF-8940-00A0C9054228 ,22,6.5.3 清除,针对VBS病毒的防范措施： 卸载Windows Script Host 控制面板添加/删除程序Windows安置程序附件： 取消Windows Script Host项 在注册表中HKEY_CLASSES_ROOTCLSID下删除主键： F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 删除VBS，VBE，JS，JSE文件后缀名与应用程序的映射 “我的计算机”“查看”“文件夹选项”“文件类型”： 删除VBS、VBE、JS、JS

17、E文件后缀名与应用程序的映射,23,6.5.4 典型病毒分析,1. “红色代码”病毒 “红色代码”是一种专门攻击Windows NT 4.0以及Windows 2000系统的恶性网络蠕虫VirtualRoot（虚拟目录）病毒。该病毒利用微软Index Server(ida/idq)ISAPI扩展远程溢出漏洞，通过80端口发送一个构造后的HTTP GET请求到服务器，当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时，由于存在漏洞，导致处理函数的堆栈溢出（Overflow）。当函数返回时，原返回地址已被病毒数据包覆盖，系统强迫运行病毒代码，此时病毒被激活，并运行在IIS服务程序的

18、堆栈中,24,6.5.4 典型病毒分析,2. “I LOVE YOU”病毒 “I LOVE YOU”病毒是用vbscript写出来的通过E-mail散布的病毒。打开邮件的附件时，含有病毒的脚本程序运行，该病毒首先将自身复制到下列目录中： $windir/Win32DLL.vbs ($windir = c:windows on most windows systems) $systemdir/MSKernel32.vbs ($systemdir = c:windowssystem) $windir/LOVE-LETTER-FOR-YOU.TXT.vbs 然后将这些文件加载到注册表中以便在启动时自

19、动运行。并且改变默认的IE浏览页面，通过该页面可下载一个可执行的代码，下载完毕后再将其加入注册表，并把IE的默认浏览页面再改为about:bland,25,6.5.4 典型病毒分析,2. “I LOVE YOU”病毒 接下来该病毒扫描硬盘及网络共享硬盘，寻找后缀为vbs、vbe、js、jse、css、wsh、sct、hta、vbs、jpg、jpeg 的文件，并将所有这些文件改变成这个病毒，当发现有mp2或者mp3格式的文件时，将自身复制到同样目录下的一个vbs script中，若找到mIRC时则建立一个小的mIRC script（可以发送html页面），这样就可以对所有加入所在频道的所有用户发

20、送html并感染对方的IE。当感染了病毒的IE运行时，会将其共享密码及IP地址通过E-mail发送回指定的地址,第6章 典型计算机病毒的原理、防范和清除,6.1 计算机病毒防范和清除 的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,27,6.6 宏病毒,宏：指一些命令组织在一起，作为一个单独的命令完成一项特定任务，通过将重复的操作记录为一个宏来减少用户的工作量 生成和处理的

21、Office文件便成为宏病毒的主要载体，也是宏病毒的主要攻击对象 宏病毒的产生： 宏病毒的产生得益于微软脚本语言的强大、易用和不安全，宏病毒和传统计算机病毒结合产生了更具破坏力的邮件计算机病毒和新型的木马病毒、蠕虫病毒,6.6 宏病毒,6.6.1 原理 6.6.2 预防 6.6.3 检测 6.6.4 清除,29,6.6.1 原理,Word工作原理： Word文件通过模板来创建。模板是为了形成最终文档而提供的特殊文档。模板是文本、图形和格式编排的蓝图，对某一类型的所有文档来说，文本、图形和格式的编排是类似的。 模板包含的元素：菜单、宏、格式（如备忘录等） Word处理文档需要同时进行各种不同的动

22、作，每种动作都对应特定的宏命令。 如：FileSave、FileSaveAs、FilePrint、AutoOpen、AutoClose,30,6.6.1 原理,Word宏病毒： Word宏病毒至少会包含一个以上的自动宏（如AutoOpen，AutoClose，AutoExeC，AutoExit和AutoNew等），或者是包含一个以上的标准宏，如FileOpen，FileSaveAs等。如果某个DOC文件感染了Word宏病毒，则当Word运行宏时，实际上运行了计算机病毒代码,31,6.6.1 原理,宏病毒的原理 宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理

23、系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。目前在可被宏病毒感染的系统中，以Word、Excel居多。 Word宏病毒与Excel宏病毒的特性较为相似，因此仅以Word宏病毒为例，说明宏病毒的作用、传染以及发作的机理和特性,32,6.6.1 原理,宏病毒的原理 一旦病毒宏侵入Word，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等，并通过这些宏所关联的文件操作功

24、能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏（包括自动宏）复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式,33,6.6.1 原理,宏病毒的原理 含有自动宏的宏病毒染毒文档，当被其他计算机的Word系统打开时，便会自动感染该计算机。 例如，如果病毒捕获并修改了FileOpen,那么，它将感染每一个被打开的Word文件。目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果Word系统在读取一个染毒文件时遭受感染，则其

25、后所有新创建的DOC文件都会被感染,34,6.6.1 原理,Word宏病毒的传染方式： 由自动宏和标准宏构成的宏病毒，其内部具有将带病毒的宏移植到通用宏的代码段，即宏病毒实现对其他文件的传染。 当退出Word系统时，自动地把所有通用宏（包括宏病毒）保存到模板文件（即*.dot文件，通常为NORMAL.dot）。 当Word再次启动时，自动把所有通用宏（包括病毒宏）从模板中装入。,35,6.6.1 原理,Word宏病毒的传染方式： 一旦Word遭受感染，以后每当系统进行初始化时，系统都会随标准模板文件（NORMAL.dot）的装入而成为带毒的Word系统，进而在打开和创建任何文档时感染该文档。计

26、算机病毒宏侵入Word系统以后，会替代原有的正常宏。 宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有计算机病毒宏（包括自动宏）复制到该文档中 宏病毒主要寄生于AutoOpen，AutoClose和AutoNew这3个宏中，其引导、传染、表现或破坏均通过宏指令来完成,36,6.6.1 原理,宏病毒的破坏表现 有些宏病毒对用户进行骚扰，但不破坏系统，比如说有一种宏病毒在每月的13日发作时显示出5个数字连乘的心算数学题。 有些宏病毒或使打印中途中断或打印出混乱信息，如Nuclear、Kompu等属此类。 有些宏病毒将文档中的部分字符、文本进行替换。但也有些宏病毒极具破坏性，如MDMA

27、.A，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。 此病毒在不同的Windows平台上有不同的破坏性表现，轻则删除帮助文件，重则删除硬盘中的所有文件。另外还有一种双栖复合型宏病毒，发作可使计算机瘫痪,37,6.6.1 原理,宏病毒的破坏表现 宏病毒的破坏主要表现在两方面： 对Word和Excel运行的破坏：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑 对系统的破坏：Word Basic和Excel Basic语言能够调用系统命令，造成破坏,38,6.6.1 原理,宏病毒的主要特点： 1传播极快Word宏病毒通过.do

28、c文档及.dot模板进行自我复制及传播，而计算机文档是交流最广的文件类型 2破坏性极大鉴于宏病毒用Word Basic语言编写，并且Word Basic语言提供了许多系统级底层调用，如直接使用DOS系统命令、调用Windows API、调用DDE或DLL等，这些操作均可能对系统直接构成威胁，而Word在指令安全性和完整性的监控上能力很弱，破坏系统的指令很容易被执行,39,6.6.1 原理,宏病毒的主要特点： 3制作、变种方便宏病毒则以容易阅读的源代码宏语言Word Basic形式出现，故编写和修改宏病毒更加容易 4多平台交叉感染宏病毒冲破了以往计算机病毒在单一平台上传播的局限，当Word，Ex

29、cel这类著名应用软件在不同平台（如Windows，OS/2和Macintosh等）上运行时，会被宏病毒交叉感染,40,6.6.1 原理,宏病毒的主要特点： *5以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的错误认识。宏病毒会感染doc文档文件和dot模板文件。被它感染的doc文档属性必然会被改为模板而不是文档，但不一定修改文件的扩展名。而用户在另存文档时，就无法将该文档转换为任何其他方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的 *6染毒文档无法使用“另存为”修改路径以保存到另外的磁盘或子目录中,41,6

30、.6.1 原理,宏病毒的主要特点： *7病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，病毒宏将自身复制至Word的通用模板中，以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中 *8大多数宏病毒含有AutoOpen、AutoClose、AutoNew和AutoExit等自动宏。只有这样，宏病毒才能获得文档(模板)操作控制权。有些宏病毒还通过FileNew、FileOpen、FileSave、FileSaveAs、FileExit等宏控制文件的操作 *9病毒宏中必然含有对文档读写操作的宏指令 *10宏病毒在doc文档、dot模板中是以BFF(Binary File

31、Format)格式存放。这是一种加密压缩格式，每种Word版本格式可能不兼容,42,6.6.2 预防,对宏病毒的预防可通过对Word系统进行正确设置来完成。但任何设置都必须在确保软件未被宏病毒感染的情况下进行 (1) 当怀疑系统带有宏病毒时，应首先查看是否存在“可疑”的宏 (2) 如果用户自己编制有Autoxxxx这类宏，建议将编制完成的结果记录下来，即将其中的代码内容打印或抄录下来，放在手边备查 (3) 如果用户没有编制过任何以Auto开头的Word宏，而此时系统运行不正常尚不能完全排除是由于其他的硬件故障或系统软件的配置问题所引起，那么，在打开“工具”菜单的“宏”选项后，如果看到有这类宏，

32、最好执行删除自动宏的操作,43,6.6.2 预防,(4) 如果要使用外来的Word文档且不能判断是否带宏病毒，有两种做法是有效的： 如果必须保留原来的文档编排格式，那么用Word打开文档后，就需要用上述的几种方法进行检查，只有在确信没有宏病毒后，才能执行保存该文档的操作； 如果没有保留原来文档排版格式的需要，可先用Windows提供的写字板来打开外来的Word文档，先将其转换成写字板格式的文件并保存后，再用Word调用。因为写字板是不调用也不记录和保存任何Word宏的。 (5) 在调用外来的Word文档时，除了用写字板对Word宏进行“过滤”外，还有一个简单的方法，就是在调用Word文档时先禁

33、止所有的以Auto开头的宏的执行,44,6.6.3 检测,判断Word文档是否感染Word病毒的简单方法： 在自己使用的Word中从“工具”栏处打开宏菜单，单中Normal模板，若发现有AutoOpen、AutoNew，AutoClose等自动宏以及FileSave，FileSaveAs，FileExit等文件操作宏或一些怪名字的宏，如AAAZAO，PayLoad等，而自己又没有加载特殊模板，就极有可能是感染了Word宏病毒。 打开一个文档不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒,45,6.6.3 检测,判断Word文档是否感染Word

34、病毒的简单方法： 打开以.doc为后缀的文件在另存菜单中只能以模板方式存盘，而此时通用模板中含有宏，也有可能是Word有宏病毒 在使用的Word“工具”菜单中看不到“宏”字，或虽看到“宏”但光标移到“宏”处点击却无反应，那么可以肯定有宏病毒 在运行Word的过程中经常出现内存不足，打印不正常，也可能有宏病毒 运行Word时，打开.doc文档如果出现是否启动“宏”的提示，则该文档极可能带有宏病毒,46,6.6.4 清除,清除“宏病毒”的基本方法： 保证Word（以Word 97为例）本身是没有感染宏病毒的，也就是Word安装目录Startup目录下的文件和Normal.dot文件没有被宏病毒感染

35、。 打开Word，在“常规”选项卡中选择“宏病毒防护”，在“保存”中不选“快速保存”，单击“确定”按钮。打开文档，此时系统应该提示是否启用“宏”，选择“否” 。再选择“工具”菜单“宏”子菜单的“宏”命令，将可疑的宏全部删除，然后保存文档,47,6.6.4 清除,有些宏会屏蔽“宏菜单”，此时可采用如下方法： 首先保证Word不受宏病毒的感染，只打开Word并新建一个空文档。然后在“工具”菜单中选择“选项”命令，在“常规”选项卡中选择“宏病毒防护”，在“保存”中选择“提示保存Normal模板”，单击“确定”按钮 接着,48,6.6.4 清除,有些宏会屏蔽“宏菜单”，此时可采用如下方法： 接着再启动

36、一个Word应用程序，然后用新启动的这个Word打开感染宏病毒的文档，应当也会出现是否启用宏的提示。选择“否”，然后选择“编辑”菜单中的“全选”命令和“复制”命令，切换到先前的Word中，选择“编辑”菜单中的“粘贴”命令，可以发现原来的文档被粘贴到先前Word新建的文档里 最后,49,6.6.4 清除,有些宏会屏蔽“宏菜单”，此时可采用如下方法： 最后，切换到打开带宏病毒文档的Word中，选择“文件”菜单中的“退出”命令，退出Word。如果提示是否保存Normal.dot模板，应选择“否”。由于宏病毒不会随剪贴板功能被复制，所以这种办法也能起到杀灭宏病毒的作用,50,6.6.5 *典型宏病毒分

37、析,1. x97m_laroux_aj “x97m_laroux_aj”病毒(别名：Laroux.ae, X97m_Laroux Family.x)是“Laroux”病毒家族的变种，感染Windows 95/98/NT下的Excel 97。该病毒使用VBA(Visual Basic for Applications)语言编写，病毒不具破坏性，仅仅是将自身复制到其他的Excel文档。病毒通过直接感染打开的Excel文档进行传播 和其他Excel Laroux病毒的变种一样，包含两个宏：Auto_Open和Check_Files。x97m_ Laroux.ae查找Xlstart路径时是否存在文件P

38、lda.xls，如果该文件不存在，就创建一个。被Laroux变种感染最明显的迹象就是出现文件Plda.xls，该病毒无破坏性代码，它仅仅是在每次打开Excel工作簿时复制自身,51,6.6.5 *典型宏病毒分析,2. x97m_Laroux.A 病毒名称：X97M_Laroux.A 病毒特点：Laroux是第一个为MS Excel编写的宏病毒。当被该病毒感染的文档打开时，宏Check_ files被唤醒，并且Personal.xls被感染。其他文件也会在活动时被感染，文件属性部分的标题、主题、作者、关键字和内容被病毒清除。该病毒不是破坏性的，它的宏也不对用户隐藏，可以用Excel的工具菜单下的

39、宏选项找到它。除了复制，该病毒无重大意义。它感染Excel工作表，创建一个名为Personal的隐藏工作表，被感染的文件包含模块laroux，被感染的工作表包含宏“auto_open”和“check_files” 该病毒会安装一个被感染文档到文件夹Xlstart，任何在文件夹Xlstart中的Excel文档在启动Excel时被装载病毒。若Xlstart路径已存在名为Personal.xls的文件，病毒就不会对系统进行感染,52,6.6.5 *典型宏病毒分析,3. Macro.Office97.Triplicate “Macro.Office97.Triplicate”病毒（别名：o97m_Tr

40、istate）主要感染word文档、powerpoint简报和excel表格。病毒不会显示信息，也不破坏机器上的任何数据。这是第一个已知的具有MS PowerPoint感染能力的病毒。病毒会破坏系统登录处的病毒保护能力，为使Word的反病毒程序失去作用，病毒使用VBA命令 在受染文件中病毒含有3个VBA5程序：“Document_Close()”、“Workbook_Deactivate()”和“actionhook()”，分别针对Word，Excel和PowerPoint,53,6.6.5 *典型宏病毒分析,3. Macro.Office97.Triplicate 已知的病毒版本有4个，前两

41、个是原版本的“bug-fix”版本，第三个病毒版本含有一些重要的特征，这个版本能从互联网上使用Word 97的漏洞进入机器中，这个漏洞可以被病毒的制造者用来感染远程计算机。病毒含有下面的信息： Triplilcate.a: Triplicate v0.1 /Internal Triplilcate.b: Triplicate v0.11 /Internal Triplilcate.c: Triplicate v0.2 /Internal Triplilcate.d: Triplicate v0.21 /Internal,第6章 典型计算机病毒的原理、防范和清除,6.1 计算机病毒防范和清除 的

42、基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,6.7 特洛伊木马病毒,6.7.1 原理 6.7.2 预防 6.7.3 检测 6.7.4 清除,特洛伊木马：隐藏在正常程序中的一段具有特殊功能的程序, 其隐蔽性极好，不易察觉，是一种极危险的网络攻击手段,56,6.7.1 原理,特洛伊木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力。“特洛伊木马”（Trojan）病毒不像

43、传统的计算机病毒一样会感染其他文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化磁盘、删除文件、窃取密码等,57,6.7.1 原理,1木马的发展 第一代木马 ：伪装型病毒 伪装型木马病毒通过伪装成一个合法性程序诱骗用户上当 世界上第一个计算机木马 出现在1986年的计算机“PC-Write”木马 伪装型木马病毒伪装成共享软件计算机PC-Write的2.72版本（事实上，编写计算机PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么结果就是硬盘被格式化,58,6.7.1 原理,1木马的发展 第

44、二代木马 ：AIDS型木马病毒 继计算机“PC-Write”之后，1989年出现了“AIDS木马”。 由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播，给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称就是因为软盘中包含有AIDS和HIV疾病的药品、价格、预防措施等相关信息。 软盘中的木马程序在运行后，虽然不会破坏数据，但是它将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管是通过传统的邮递方式）,59,6.7.1 原理,1木马的发展 第三代木马：网络传播性木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并

45、结合TCP/IP网络技术四处泛滥。同时它还有如下新的特征： 第一，添加了“后门”功能：所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统 第二，添加了击键记录功能：该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息,60,6.7.1 原理,1木马的发展 一旦木马被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息。 一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击远程控制植入木马的机器，服务器端程序即是木

46、马程序。攻击者要通过木马攻击用户的系统，他所做的第一步是要把木马的服务器端程序植入到用户的计算机里面 目前木马入侵的主要途径：先通过一定的方法把木马执行文件植入被攻击者的计算机系统里 利用的途径：邮件附件、下载软件等 木马也可通过Script，ActiveX及Asp.CGI交互脚本的方式植入，因为微软的浏览器在执行Senipt脚本存在一些漏洞,61,6.7.1 原理,1木马的发展 当服务端程序在被感染的计算机上成功运行以后，攻击者就可使用客户端与服务端建立连接，并进一步控制被感染的计算机 在客户端和服务端通信协议选择上，多数木马使用的是TCP/IP，但也有一些木马由于特殊原因，使用UDP进行通

47、信。 当服务端在被感染机器上运行后，木马一方面尽量将其隐藏在计算机的某个角落，以防被用户发现，同时监听某特定端口，等待客户端与其取得连接；另外为了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序,62,6.7.1 原理,2木马的隐藏方式 在任务栏里隐藏：最基本的隐藏方式 在任务管理器里隐藏： 查看正在运行的进程的最简单方法：按下Ctrl+Alt+Del组合键出现“任务管理器”。但通常木马病毒将自身设为“系统服务”，而使“任务管理器”无法发现。 端口： 一台计算机有65536个端口，大多数木马使用1024以上的端口。为了躲避用户扫描端口，现在的木马都

48、提供端口修改功能,63,6.7.1 原理,2木马的隐藏方式 隐藏通信： 任何木马运行后都要和攻击者进行通信连接，或通过即时连接，如攻击者通过客户端直接接入被植入木马的主机；或通过间接通信，如通过电子邮件的方式，木马将侵入主机的敏感信息传送给攻击者 为了隐藏通信，木马一般占有1024以上不易发现的高端口驻留，也有些占有80，23号端口 隐藏隐加载方式 木马加载方式多种多样，其共同目的是经过伪装使用户运行木马的服务端程序,64,6.7.1 原理,2木马的隐藏方式 最新隐身技术 通过修改虚拟设备驱动程序（VXD）或修改动态连接库（DLL）来加载木马 摆脱了原有木马模式监听端口，而采用替代系统功能的方

49、法（改写VXD或DLL文件）。木马将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤，对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，实行一些相应的操作,65,6.7.1 原理,3木马的种类 破坏型木马：其功能是破坏并删除文件，可自动删除计算机上的 .DLL 、.INI、.EXE文件 密码发送型：找到隐藏的木马并将其发送到指定的邮箱 远程访问型：最广泛的木马 当用户运行了服务端程序，若木马编制者知道了服务端IP地址，就可实现远程控制 键盘记录木马： 记录用户的键盘敲击并在LOG文件中查找密码,66,6.7.1 原理,3木马的种类 DOS攻击木马：计算机一旦被种植了DO

50、S木马程序，就成为黑客DOS攻击的最得力助手 另一类似DOS的木马邮件炸弹木马 一旦被感染，木马就会生成各种各样主题的信件，对特定邮箱不断发送邮件，直到对方瘫痪，不能接收邮件为止 FTP木马：最简单、最古老的木马 功能是打开21端口，等待用户连接 现在新FTP木马增加了密码功能,67,6.7.1 原理,3木马的种类 代理木马： 黑客在入侵时为了掩盖其痕迹，给被控制的计算机种植代理木马，使之成为攻击者发动攻击的跳板。通过代理木马，攻击者可以匿名方式使用Telnet、ICQ、IRC等程序，从而隐藏自己的痕迹 程序杀手木马： 程序杀手木马的功能就是关闭对方计算机上运行的防木马程序，而让其他木马更好地

51、发挥作用,68,6.7.1 原理,3木马的种类 反弹端口型木马： 防火墙的一个漏洞：防火墙对于连入的链接会进行非常严格的过滤，但对于连出的链接却疏于防范 反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽，控制端的被动端口一般在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP：1026 ControllerIP：80ESTABLISHED的情况，往往会以为是自己在浏览网页,69,6.7.1 原理,*4木马病毒的特点 木马病毒具有隐蔽性和非授权性的特点 所谓

52、隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的,70,6.7.1 原理,*5木马病毒的危害 木马病毒的主要危害是对系统安全性的损害，木马病毒的典型症状是偷窃口令，包括拨号上网的口令、信箱口令、主页口令、甚至网络信用卡口令等。其次，可以通过木马程序传播病毒库。最后，它能使远程用户获得本地机器的最高操作权限，通过网络对本地计算机进行

53、任意的操作，比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的计算机完全暴露在网络环境之中，成为别人操纵的对象,71,6.7.1 原理,*6木马病毒的运行机制 木马病毒的伪装方式 修改图标：对木马程序的图标进行修改，从而伪装成其他类型的文件，以达到欺骗用户的目的。现在有的木马已经可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆、疑神疑鬼的 捆绑文件：这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入系

54、统。被捆绑的文件通常是一些可执行文件,72,6.7.1 原理,*6木马病毒的运行机制 木马病毒的伪装方式 出错显示： 有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统,73,6.7.1 原理,*6木马病毒的运行机制 木马病毒的伪装方式 定制端口： 很多老式的木马端口都是固定的，这给判断是否感染了木马带

55、来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在102465535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染的木马类型带来了麻烦,74,6.7.1 原理,*6木马病毒的运行机制 木马病毒的伪装方式 自我销毁：此功能是为了弥补木马的一个缺陷。 当服务端用户打开含有木马文件后，木马会将自己复制到Windows系统文件夹中，一般来说源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的系统只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件

56、夹找相同大小的文件，判断一下哪个是木马就行了。 而木马的自我销毁功能是指安装完木马后，源木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了,75,6.7.1 原理,*6木马病毒的运行机制 木马病毒的伪装方式 木马更名： 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了,76,6.7.1 原理,*6木马病毒的运行机制 木马病毒的触发条件 修改注册表：将启动木马的触发条件放入某

57、一注册表项下。这些注册表项常常是HKEY_LOCAL_MACHINE Software MicrosoftWindows CurrentVersion下的5个以Run和RunServices作为主键的项，放入触发条件后就可以作为启动木马的键值 同样，修改注册表项HKEY_CLASSES_ROOT文件类型shellopen command下的键值，将其改为某一木马程序的启动命令，那么该项“文件类型”所对应的该类任一文件都成为该木马程序的触发条件了 例如，国产木马“冰河”病毒就是修改Hkey_Classes_Roottxtfileshellopen command下的键值，将“C :Windows

58、 Notepad.Exe %1”改为“C:Windows System Sysexplr.Exe %1”，这时，只要双击某一个txt文件，则原本应用Notepad打开的文件，现在却变成启动木马程序了,77,6.7.1 原理,*6木马病毒的运行机制 木马病毒的触发条件 利用WIN.INI:C:Windows目录下的配置文件win.ini，在文件的windows字段中有启动命令“load=”和“run=”，一般是空白的，将木马程序启动命令写入，则Windows启动时即可触发木马 利用System.ini:c:Windows目录下的配置文件system.ini，将木马程序的启动命令以命令行的方式写入

59、该配置文件的386Enh或mic或drivers32段中，这也是木马的一种触发方式 利用在C盘根目录下Autoexec.bat和Config.sys文件也可启动木马。但这种加载方式一般都需控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,78,6.7.1 原理,*6木马病毒的运行机制 木马病毒的触发条件 利用应用程序的启动配置文件*.ini能启动程序的特点，在控制端将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，达到启动木马的目的 捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了 利用启动菜单：在“开始程序启动”选项下也可能作为木马的触发条件,79,6.7.1 原理,*6木马病毒的运行机制 木马病毒的运行机制 木马程序为了能在每次开机的时候进入内存发挥作用，主要手法是加载到注册表的启动组中，也有些会捆绑到其