计算机病毒技术知识及蠕虫病毒的查杀

历史的预见
1977年夏天，托马斯·捷·瑞安（Thomas.J.Ryan） 的科幻小说《P-1的春天》（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一 种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。
2020/12/9 徐汇区教育局培训教材
世界上公认的第一个在个人电脑上广泛流行的病毒
通过软盘传播。
2020/12/9 徐汇区教育局培训教材
7
上海三零卫士信息安全有限公司 30wish Information Security
“蠕虫－莫里斯”
1988年冬天，正在康乃尔大学攻读的莫里斯，把一 个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网 络——互联网。1988年11月2日下午5点，互联网的 管理人员首次发现网络有不明入侵者。当晚，从美国 东海岸到西海岸，互联网用户陷入一片恐慌。
电脑病毒的概念其实源起相当早，在第一部商用电脑 出现之前好几年时，电脑的先驱者冯·诺伊曼（John Von Neumann）在他的一篇论文《复杂自动装置的 理论及组识的进行》里，已经勾勒出病毒程序的蓝图 。
2020/12/9 徐汇区教育局培训教材
4
上海三零卫士信息安全有限公司 30wish Information Security
当Word打开一个.doc文件时，先检查里面有没有模板/宏代码, 如果有的话就认为这不是普通的doc文件，而是一个模版文件, 并执行里面的auto类的宏(如果有的话)。
一般染毒后的.doc被打开后，通过Auto宏或菜单、快捷键来激 活，随后感染诸如Normal.dot或powerup.dot等全局模板文件 得到系统"永久"控制权。夺权后，当系统有文档存储动作时， 病毒就把自身复制入此文档并储存成一个后缀为.doc 的模板文 件；另外，当一定条件满足时，病毒就会干些小小的或者大大 的破坏活动。
ExplorerNoRun 为 01 (取消开始菜单上的“运行”项) 设置
”HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
ExplorerNoClose“ 为 01 (取消开始菜单上的“关闭”项) 设置
”HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
2020/12/9 徐汇区教育局培训教材
9
上海三零卫士信息安全有限公司 30wish Information Security
CodeRed
2001年7月19日
IIS服务的.ida漏洞（Indexing Service中的漏洞） 损失>20亿美元
CodeRed II
损失>12亿美元
2020/12/9 徐汇区教育局培训教材
10
上海三零卫士信息安全有限公司 30wish Information Security
冲击波
年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击 波”电脑病毒的制造者于2003年8月29日被捕。对此 ，他的邻居们表示不敢相信。在他们的眼里，杰弗里 ·李·帕森是一个电脑天才，而决不是什么黑客，更不 会去犯罪。
1）读出该文件特定部分。
2）判断是否传染。
3）如果满足条件，则用某种方式将病毒代码与该可 执行文件链接，再将链接后的文件重新写入磁盘。
4）转回原INT 21H入口，对该执行文件进行正常加 载。
2020/12/9 徐汇区教育局培训教材
14
上海三零卫士信息安全有限公司 30wish Information Security
2020/12/9 徐汇区教育局培训教材
19
上海三零卫士信息安全有限公司 30wish Information Security
蠕虫的工作流程
蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染 、现场处理四个阶段
2020/12/9 徐汇区教育局培训教材
20
上海三零卫士信息安全有限公司 30wish Information Security
5
上海三零卫士信息安全有限公司 30wish Information Security
第一个病毒的产生
1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博 士研制出一种在运行过程中可以复制自身的破坏性程 序(该程序能够导致UNIX系统死机），伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式 提出。
登陆某个网站后，机器莫名其妙地死机；重新启动后你会看到一 个奇怪的提示：“欢迎你来万花谷，你中了“万花谷病毒”请与 QQ：4040465联系”。进入 Windows 后，你会发现 C: 盘不能 使用了，“开始”菜单上的“运行”、“注销”和“关机”项都 不见了。打开 IE 浏览器你会发现窗口的标题也变成了“欢迎来 到万花谷!请与OICQ:4040465联系!”。这时，你已经感染了一个 俗称“万花谷”的 JS.On888 脚本病毒！
2020/12/9 徐汇区教育局培训教材
13
上海三零卫士信息安全有限公司 30wish Information Security
一个文件病毒传染的实例
假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒 ，那么运行该文件后，耶路撒冷病毒的引导模块会修 改INT 21H的中断向量，使之指向病毒传染模块，并 将病毒代码驻留内存，此后退回操作系统。以后再有 任何加载执行文件的操作，病毒的传染模块将通过 INT 21H的调用率先获得控制权，并进行以下操作：
所以, 计算机病毒就是能够通过某种途径潜伏在计算机 存储介质（或程序）里, 当达到某种条件时即被激活的 具有对计算机资源进行破坏作用的一组程序或指令集合 。
2020/12/9 徐汇区教育局培训教材
3
上海三零卫士信息安全有限公司 30wish Information Security
计算机病毒发展简史
ExplorerNoLogOff“ 为 01 (取消开始菜单上的“注销”项) 设置
”HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
ExplorerNoDrives“ 为 ”00000004“ (取消对 C: 盘的访问权限) 设置
”HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
1）读入目标软磁盘的自举扇区（BOOT扇区）。
2）判断是否满足传染条件。
3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为 5713H标志），则将病毒代码的前512字节写入BOOT引导程序 ，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护 该簇不被重写。
4）跳转到原INT 13H的入口执行正常的磁盘系统操作。
2020/12/9 徐汇区教育局培训教材
6
上海三零卫士信息安全有限公司 30wish Information Security
“巴基斯坦”病毒
1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡 特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了 Pakistan 病毒，即Brain。在一年内流传到了世界各 地。
蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体
迁移到目标主机。然后，蠕虫程序进入被感染的系统
，对目标主机进行现场处理。现场处理部分的工作包
括：隐藏、信息搜集等。同时，蠕虫程序生成多个副 本，重复上述流程。不同的蠕虫采取的IP生成策略可 能并不相同，甚至随机生成。各个步骤的繁简程度也 不同，有的十分复杂，有的则非常简单。
Shanghai 30wish Information Security Co., Ltd.
计算机病毒技术知识及 蠕虫病毒的查杀
今日主题
计算机病毒的发展 病毒分类 流行病毒的手工查杀方法 检查病毒的常用工具 什么才是最佳病毒解决方案
2020/12/9 徐汇区教育局培训教材
2
上海三零卫士信息安全有限公司 30wish Information Security
2020/12/9 徐汇区教育局培训教材
8
上海三零卫士信息安全有限公司 30wish Information Security
CIH
CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑 病毒。它是由台湾大学生陈盈豪编制的，九八年五月 间，陈盈豪还在大同工学院就读时，完成以他的英文 名字缩写“CIH”名的电脑病毒起初据称只是为了“ 想纪念一下1986的灾难”或“使反病毒软件公司难 堪”。
2020/12/9 徐汇区教育局培训教材
15
上海三零卫士信息安全有限公司 30wish Information Security
ຫໍສະໝຸດ Baidu
万花谷脚本病毒原理
该病毒的感染主要是通过修改注册表来实现的。以下为其设置
或修改的注册表项：
设置
“HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
2020/12/9 徐汇区教育局培训教材
18
上海三零卫士信息安全有限公司 30wish Information Security
蠕虫病毒
蠕虫的定义 Internet 蠕虫是无须计算机使用者干预即可运行的独 立程序，它通过不停的获得网络中存在漏洞的计算机 上的部分或全部控制权来进行传播。 蠕虫与病毒的最大不同在于它不需要人为干预，且能 够自主不断地复制和传播。
2020/12/9 徐汇区教育局培训教材
11
上海三零卫士信息安全有限公司 30wish Information Security
计算机病毒的分类
引导区病毒 文件型病毒 宏病毒 脚本病毒 蠕虫病毒 木马程序
2020/12/9 徐汇区教育局培训教材
12
上海三零卫士信息安全有限公司 30wish Information Security
一个脚本病毒传染的实例
万花谷病毒
该病毒是嵌在 HTML 网页中的一段 Java 脚本程序，它最初出现 在 http://on888.home.chinaren.com 个人网站上，随后其他一 些个人主页也模仿或被感染了该病毒代码。 和普通脚本病毒有所不同的是，用“查看源文件”的方法来查看 感染“万花谷”病毒的网页代码时，只能看到一大段的杂乱字符 。为了具有隐蔽性，该病毒采用了 JavaScript 的 escape() 函数 进行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的 目的。程序运行时再调用 unescape() 解码到本地机器上运行。
2020/12/9 徐汇区教育局培训教材
2020/12/9 徐汇区教育局培训教材
17
上海三零卫士信息安全有限公司 30wish Information Security
特洛伊木马
特洛伊木马是一个包含在一个合法程序中的非法的程 序。 一种黑客程序，本身不破坏数据，黑客利用其远程操 纵受害计算机。 一般的木马都有客户端和服务器端两个执行程序。 通过各种途径放置木马程序。
SystemDisableRegistryTools“ 为 ”00000001“ (使注册表工 具不可用) 等…………………
2020/12/9 徐汇区教育局培训教材
16
上海三零卫士信息安全有限公司 30wish Information Security
宏病毒的传播
一般来说，一个宏病毒传播发生在被感染的宏指令覆盖、改写 及增加全局宏指令表中的宏, 由此进一步感染随后打开和存贮的 所有Doc文档。
一个引导病毒传染的实例
假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检 以后，小球病毒的引导模块就把全部病毒代码1024字节保护到 了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断 向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操 作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权 ，它就进行如下操作：
病毒的概念
“计算机病毒”最早是由美国计算机病毒研究专家 F.Cohen博士提出的。 计算机病毒是一个程序，一段可执行码。就像生物病毒 一样，计算机病毒有独特的复制能力。计算机病毒可以 很快地蔓延，又常常难以根除。它们能把自身附着在各 种类型的文件上。当文件被复制或从一个用户传送到另 一个用户时，它们就随同文件一起蔓延开来。