计算机病毒全面概述课件

计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1 计算机病毒概述计算机病毒是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。这种特殊功能主要体现在三个方面：复制性、隐蔽性和破坏性。20世纪70年代，美国出版了两本科幻小说：震荡波骑士和P1的青春。第一个被称作计算机病毒程序是在 1983年11月，由弗雷德科恩博士研制出来的。1988年由罗伯特莫里斯编写的“蠕虫病毒”，是一次非常典型的计算机病毒人侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1 计算机病毒概述5.1.1 病毒的产生 计算机病毒是一种高技术犯罪的毒果，另一方面，计算机软硬件产品的脆弱性是引发病毒产生的根本原因，为病毒的侵人提供了客观方便。病毒制造者的动机主要有：开个玩笑，一个恶作剧。产生于个别人的报复心理。用于版权保护。用于特殊目的。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1 计算机病毒概述5.1.2 病毒的发展过程（1）DOS引导阶段 （2）DOS可执行阶段（3）伴随、批次型阶段 （4）幽灵、多形阶段（5）生成器、变体机阶段 （6）网络、蠕虫阶段（7）Windows阶段 （8）宏病毒阶段（9）互联网阶段 （l0）爪哇、邮件炸弹阶段 5.1.3 病毒的破坏行为 1.攻击系统数据区 2.攻击文件 3.攻击内存 4.干扰系统运行 5.各种设备异常 计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1 计算机病毒概述5.1.4 病毒的传播方式 病毒的传播途径有五种：(1)利用电磁波(2)利用有线线路传播(3)直接放毒(4)利用微波传输(5)利用军用或民用设备传播计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述5.1.5 病毒程序的结构 它们的主要结构包含三个部分：引导部分、传染部分、表现部分。引导部分的作用是借助宿主程序将病毒主体从外存加载到内存，以便传染部分和表现部分进人活动状态。它所做的工作有：驻留内存，修改中断，修改高端内存，保存原中断向量等操作。另外，引导部分还可以根据特定的计算机系统，将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述传染部分的作用是将病毒代码复制到传染目标上去，是病毒的核心。一般复制传染的速度比较快，不会引起用户的注意，同时还要尽可能扩大染毒范围。病毒的传染模块大致由两部分组成：条件判断部分，程序主体部分。表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。5.1.6 病毒的本质 计算机病毒的本质是一组计算机指令或者程序代码，是一种可存储、可执行的特殊程序。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述5.1.7 病毒的基本特征计算机病毒在中华人民共和国计算机信息系统安全保护条例中定义为：“指编制或者在计算机程序中插人的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。有复制传染的功能，有表现破坏的功能，有隐藏的手段。它还具有衍生性。1.传染性 2.隐蔽性 3.破坏性 计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述5.1.8 病毒的分类计算机病毒的类型根据不同的角度各有不同：按传染方式：引导型病毒、文件型病毒和混合型病毒；按连接人侵方式：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒；按病毒存在的媒体：网络病毒、文件病毒、引导型病毒；按其驻留的方法：驻留型病毒和非驻留型病毒；按其表现性质：良性病毒和恶性病毒；按寄生方式：内存宿主型病毒和磁盘宿主型病毒；根据病毒破坏的能力：无害型、无危险型、危险型、非常危险型等。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述1引导型病毒引导型病毒，感染对象是计算机存储介质的引导扇区。病毒将自身的全部或部分程序取代正常的引导记录，而将正常的引导记录隐藏在介质的其他存储空间。2文件病毒文件病毒是文件侵染者，也被称为寄生病毒。它运行在计算机内存里，通常它感染带有.COM，.EXE，.DRV，扩展名的可执行文件。它们每一次激活时，感染文件把自身复制到其他可执行文件中，并能在内存中保存很长时间，直到病毒又被激活。当用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.1计算机病毒概述3.宏病毒 4.源码病毒 5.入侵型病 6.操作系统病毒 7.外壳病毒 8.驻留型病毒 9.感染计算机后 10.无害型病毒 根据病毒特有的算法，病毒还可以划分为：伴随型病毒；“蠕虫”型病毒；练习型病毒，自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段；诡秘型病毒，一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术，利用DOS空闲的数据区进行工作；变型病毒（又称幽灵病毒），使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般由一段混有无关指令的解码算法和被变化过的病毒体组成。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒 3.2.1 硬盘主引导记录和引导扇区硬盘的主引导分区是磁道号为0、磁头号为0、扇区号为1（C0，H0，Rl）的扇区，它是硬盘的第一个物理扇区。主引导分区中的数据由硬盘主引导记录和硬盘分区表组成，最后2个字节是55H、AAH。主引导记录占用位置0000EFH，硬盘分区表占用位置01BE01FEH。分区表包含4个16字节的表项，共64个字节，每一个表项描述一个分区，表项的内容参见P150表5-1所示。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒5.2.2 2708病毒的分析2708病毒是一种引导型病毒，它在传染软盘时，把正常引导扇区放到磁盘的1面27道(以十六进制表示)08扇区，因此取名为2708病毒。在病毒发作时，病毒程序将BIOS中的打印端口地址数据置0，从而封锁打印机。12708病毒的引导过程 22708病毒的传播方式 32708病毒的发作 2708病毒在传染硬盘主引导扇区后，每次从硬盘启动时，都会将启动次数加 1，并将这个计数器保存在主引导扇区中。当启动次数达到32次后，计数器不再增加，覆盖BIOS区域中的并口和串口地址，而不能进行打印操作。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒5.2.3 引导型病毒的检测和防治 1引导型病毒的引导过程引导型病毒在系统起动时，在正常系统引导之前将其自身装入到系统中。在传染硬盘时它覆盖了硬盘的主引导扇区或DOS引导扇区，在传染软盘时则覆盖了引导扇区。在系统引导时，ROM BIOS把这些扇区的内容读入内存并执行。这样，病毒程序就获得了控制权。它首先把自己复制到内存高端，在完成安装过程后再继续DOS引导过程。为了保护内存高端的病毒程序不被系统使用，要将内存容量减少若干KB。2引导型病毒的传播方式引导型病毒的传染对象是软盘的引导扇区和硬盘的主引导扇区及硬盘DOS引导扇区。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒3引导型病毒的表现形式在满足特定条件后，就会激活病毒的表现模块。而病毒的表现方式，可以说是各种各样，它集中体现了病毒炮制者的企图。4引导型病毒的检测对于这类病毒的诊断比文件型病毒要容易得多，可以从以下几个方面进行诊断：（1）察看系统内存容量是否减少。(0:0413一个字)（2）检查系统高端内存中是否有病毒代码。（3）检查软盘的引导扇区和硬盘的主引导扇区及硬盘DOS引导扇区。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒 用DEBUG读入引导扇区的方法：A）DEBUG -A 100 XXXX：0100 MOV AX，0201 XXXX：0103 MOV BX，7C00 XXXX：0106 MOV CX，0001 XXXX：0109 MOV DX，0080 XXXX:010C INT 13 XXXX:010E INT 3 XXXX：010F -G -L 100 0 0 1 -L 300 2 0 1 -Q 计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒5引导型病毒的清除在检测到磁盘被引导型病毒感染以后，消除病毒的思路是用正常的系统引导程序覆盖引导扇区中的病毒程序。如果在被病毒感染以前，读取并保存了硬盘主引导扇区和DOS引导扇区中的内容，就很容易清除病毒。可以用DEBUG把保存的内容读入内存，再写入引导扇区。引导扇区中的病毒即被正常引导程序所替代。假如 MBP.DAT和 BOOT.DAT分别保存的是硬盘的主引导扇区和 DOS引导扇区的内容，长度为 512字节。按以下步骤执行：ADEBUG N MBP.DAT L 7C00 N B00T.DAT L 7E00计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。A 100XXXX:0100 MOV AX,0301XXXX:0103 MOV BX,7C00XXXX:0106 MOV CX,0001XXXX:0109 MOV DX,0080XXXX:010C INT 13XXXX:010E INT 3 XXXX：010FGW 7E00 2 0 1Q备份：-L 100 0 0 1-N BOOT.DAT-R CXCX:200-W-Q备份主引导记录：A 100MOV AX,0201MOV BX,7C00MOV CX,0001MOV DX,0080INT 13INT 3G-N MBP.DAT-R CXCX:200-R BXBX:0000-W-Q计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.2 引导扇区型病毒如果没有保存引导扇区的信息，则清除其中的病毒比较困难。对于那些把引导扇区内容转移到其他扇区中的病毒，需要分析病毒程序的引导代码，找出正常引导扇区内容的存放地址，把它们读入内存，再按上面介绍的方法写到引导扇区中。而对于那些直接覆盖引导扇区的病毒，则必须从其他微机中读取正常的引导程序。对于硬盘DOS引导扇区中的病毒，可以用和硬盘上相同版本的DOS（从软盘）启动，再执行SYS C：命令传送系统到 C盘，即可以清除硬盘 DOS引导扇区中的病毒。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒 5.3.1 COM文件格式文件格式COM文件中只使用一个段，文件中的程序和数据的大小限制在64KB内。在执行一个COM文件时，DOS分配一个内存块，包括所有的可用内存空间。在内存块的最前面为该程序建立程序段前缀PSP。PSP的大小为100H字节。COM文件的内容直接读人到PSP之后的内存。四个段寄存器CS、DS、ES、SS都被初始化为PSP的段地址，堆栈指针SP被设置为FFFEH，指令指针IP设置为0100H。然后开始执行这个COM程序计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒5.3.2 EXE文件格式EXE文件中可包含多个段，每个段的大小在64KB内，但文件中的程序、数据总的大小可以超过64KB。EXE文件分为两个部分，EXE文件头和装入模块。文件头描述关于整个EXE文件的一些信息，在装入过程中由DOS使用。EXE文件的格式如P157图5-3所示.在执行一个EXE文件时，分配内存块、生成环境段、建立PSP的过程和执行COM文件时完全相同。EXE文件中装入模块的内容直接读人到PSP之后的内存，内存的段被称为起始段值。DS、ES初始化为PSP的段地址，CS、IP和SS、SP根据文件头中相应字段的内容进行初始化，CS和SS的内容再加上起始段值。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒5.3.3黑色星期五病毒分析1黑色星期五病毒的特点 黑色星期五病毒是一种文件型病毒。它驻留在后缀为COM和EXE文件中。当运行带病毒的文件时，病毒程序首先获得控制。如果系统中还没有驻留这种病毒，则将其自身驻留，修改系统的INT 21H和INT 8H中断向量，指向病毒程序的相应位置，之后再执行原文件中的程序。2黑色星期五病毒的组成引导驻留部分、传播部分、破坏（表现）部分。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒(1)引导驻留部分文件运行时，根据INT 21H的E0H功能的返回值，判断当前系统是否已被病毒感染。如未被感染，则截获INT 21H和INT 8H向量，使它们指向病毒程序的相应部分。病毒程序将自身移动到内存的某一位置，从XXXX:0000至XXXX:0710H。病毒程序将自身驻留后，才转去执行原可执行文件。（2）传播部分病毒驻留系统，运行一个可执行文件，则传染该文件。病毒程序将读写指针移到文件尾部，判断文件尾部是否有标识“4D 73 44 6F 73”，如果有，则感染该文件再执行该文件中的原有程序；如果没有病毒标识，则认为该文件未被感染。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒感染步骤：病毒程序首先将文件建立日期时间、属性保存下来，再修改文件属性。然后病毒将自身链接于文件之中，并修改文件长度。最后，恢复原文件的属性和建立日期时间。病毒在感染文件后，再转去执行原文件，使用户难于发现病毒的感染。在病毒对文件的感染过程中，修改了 DOS的 INT 24H中断。INT 24H是 DOS的出错处理中断，如果屏蔽了这个中断，就可以使病毒传染过程中可能发生的一些错误(如磁盘写保护、文件读写出错等)不被用户发现。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒（3）破坏部分一种是降低系统的运行速度，另一种是删除被执行的文件。它截获了INT 8H时钟中断服务程序，满足其激活条件（病毒驻留内存约半小时后）时，在屏幕上显示黑色的方块，并且在程序中执行无用循环，耗用CPU的处理周期，使用户程序的执行速度大大降低。如果机器日期是十三日及星期五，而且不是1987年，则病毒在DOS加载COM或EXE可执行文件时，删除这些文件。3黑色星期五病毒的传染机制黑色星期五病毒的传染是在执行 DOS的加载执行功能调用（即 INT 21H的 4BH）时完成的。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒在 DOS系统下，DOS外部命令和所有的可执行文件，执行时都要调用 INT 21H的 4BH功能。其入口参数是：DS:DX指向可执行文件的文件名ASCII串ES:BX指向执行此命令的参数块；AX4B00H在带有病毒的系统中，INT 21H中断指向病毒程序。病毒程序从加载执行功能的入口参数处取出文件名，根据文件名后缀判断文件的类型。如果是COM文件，检查其是否被病毒感染，未感染的情况下则将病毒程序放置在原COM文件的前面，并在其尾部加上病毒标志。如果被感染，则调用 INT 21H的 4BH功能执行原COM文件。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒如果是EXE文件，则将病毒程序写到EXE文件的最后，然后修改EXE文件的文件头参数，使其指向病毒程序，因此执行受感染EXE文件时即让病毒程序获得控制权。在感染完成后，执行原EXE文件的内容。5.3.4文件型病毒的检测与防治 1文件型病毒的引导过程 可执行文件的装人执行，是由DOS系统INT21H的4BH功能调用完成的。DOS执行这个调用时，从磁盘上装入可执行文件，进行加载并将控制权交给被加载的用户程序。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒对于COM文件，第一条指令位于CS:100地址处；对于EXE文件，由文件头中的CS、IP字段确定程序的第一条指令。病毒感染可执行文件，为了获得控制，修改了原文件的头部参数。对于COM文件，要修改文件头三个字节的内容；对于EXE文件，则要修改文件首部(文件头)偏移1415H处的IP指针和偏移1617H处的CS段值。为了不影响用户程序的堆栈段内容，还要修改偏移0E0FH处的SS段值和偏移1011H处的SP指针。还要修改EXE文件头部0205H处的文件长度标识。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒 2文件型病毒的传染方式 在传染过程中，病毒程序或者位于文件的首部，或者位于文件的尾部，并且使原文件的长度增加若干字节。位于文件中间的病毒则较为少见。病毒程序在引导过程中，修改 INT 21H系统中断，具有向外传播的能力。INT21H是对文件进行各种操作的系统调用入口，病毒籍此控制可执行文件的装入执行和对文件的读、写等操作。在装入执行或读写可执行文件时，病毒就可能传染这个文件。病毒程序首先判断文件是否存在特殊标志（即是否被感染），如果文件已被感染则跳过传染过程；如果未被感染，则把病毒程序链接在文件之中。最后再执行系统功能调用。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒3文件型病毒的检测 常用的办法是借助于“查毒软件”，其基本思想是：在一个文件的特定位置，查找病毒的特定标识，如果存在，则认为文件被病毒感染。这种检测病毒的方法称为“特征标识匹配法”，它一次可以检查磁盘上的所有可执行文件。(1）检测系统内存中是否含有病毒 病毒的传染性是它的重要特性。病毒一般都是修改 INT 21H中断来截获系统调用，因此可以根据INT 21H中断向量的入口地址来判断是否有病毒驻留内存。用DOS命令MEM，可以列出系统中驻留的所有程序，检查其中是否有非法程序驻留。如果发现非法驻留的程序，则可以判定系统内存中含有病毒。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒（2）检查文件中的病毒对可执行文件中病毒的判定，一般情况下只能采用比较法，即通过观察文件的长度或日期时间是否变化来判断有无病毒。4文件型病毒的清除文件型病毒和被感染文件的链接方式是多种多样的，有的病毒驻留在文件的首部，有的则驻留在尾部，而且各个病毒保存被感染文件的参数的方法和位置也各不相同。因此要清除文件中的病毒，就要分析病毒程序代码，找出病毒和被感染文件之间的链接关系，才有可能把病毒从被感染文件中分离出来。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒清除文件中的病毒一般应按照以下步骤进行：(1)分析病毒与被感染文件之间的链接方式；(2)确定病毒程序驻留在文件的位置，并找到病毒程序的开始和结束位置。把被感染文件的主要部分还原。(3)恢复被感染文件的头部参数。对于COM文件，它的头三个字节被替换为病毒程序，这三个字节被保存在病毒体中，找出这三个字节，放到文件的头部。对于EXE文件，文件头中的CS、IP、SS、SP等字段被病毒程序修改，这些字段的原有值被存放在病毒体中。找出恢复,还需要修改文件头中的长度参数。（4）把恢复后的内容写到文件中。文件长度要变短一些，只把文件的正常内容写到文件中，病毒体就从文件中“剥离”出来。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.3 文件型病毒 要正确清除文件中的病毒，首先要了解病毒的传染方法。对于不同病毒，具体的清除方法也是不同的。如果用DEBUG等工具清除病毒，其效率是很低的，而且容易出现失误。一般的方法是编制“杀毒程序”，把上面的步骤用程序实现，这样，对同一种病毒感染的多个文件，可以用程序逐个清除。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒 宏病毒的产生，是利用了一些数据处理系统，如字处理或表格处理系统，内置宏命令编程语言的特性而形成的。这种特性可以把特定的宏命令代码附加在指定文件上，在未经使用者许可的情况下获取某种控制权，实现宏命令在不同文件之间的共享和传递。由于“宏”是使用 Visual Basic For Applications这样的高级语言编写的，其编写过程相对比较简单，而功能又十分强大，因此宏病毒的产生不再需要病毒制造者具有较多的计算机专业知识和技巧，一个心怀不轨的人只需掌握一些基本的“宏”编写手段，即可编出破坏力很大的宏病毒。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒3.4.l VBA与宏病毒 VBA是把DOS版本的Basic的一些实现方法转变到Windows中。只要在Office环境中打开这些文件，为了特定的任务，VBA的代码就会随之而来地解释执行。而且VBA的进一步升级，使其具备访问系统和控制系统的能力，直接调用 Windows API，访问系统资源，采取“Shell+命令行”方式直接调用DOS或windows命令等等。VBA的出现是面向知识阶层的计算机用户的，他们不需要更深入的编程知识和经验，只要懂得Basic就可以将一系列费时而重复的操作和命令，根据不同的使用要求和基本命令组合在一起形成宏。目的是为了让用户能够用简单的编程方法，来简化这些经常性的操作，就像DOS的批处理程序将多个执行命令依次放在一起执行一样。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒它的编制技术与其他的编程技术相比，要求是很低的，Office系统甚至提供了不用编程，仅依靠录制用户实际操作的方法就可以生成宏的功能。宏，简单的理解可以是Office应用产品中，点击菜单命令的录音机。系统能够重复执行用户曾经执行或者设计的一系列的点击命令。这就使那些对计算机编程语言没有多少知识但却对病毒“一往情深”者也可以加入到病毒制造者的行列中。5.4.2 宏病毒的表现 有些宏病毒只进行自身的传播，并不具破坏性，如被一种Autoopen宏病毒感染了的文档，不能再被转存为其他格式的文件，也无法使用“另存为”（Save as）修改路径以保存到另外的磁盘子目录中，它具备与模板文档一致的内部格式。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒有些宏病毒或使打印中途中断，或打印出混乱信息，如 Nuclear、Kompu等属此类。有些宏病毒将文档中的部分字符、文本进行替换，如 ConceptF发作时，用“，“e”，“not”替换所有“。”，“a”，“and”。还有一些现象是：Word运行时出现如自动打开文件，打开窗口等情况；使用过的文件属性发生改变；Word文件自动对一张写保护的空盘强行存盘等。有些病毒极具破坏性，如MDMA.A（无政府者一号，最早发现于1996年夏）另 外 有 一 种 双 栖 复 合 型 病 毒，如 Nuclear是 由AutoExec、Dropsuriv、Fileexit等 9宏病毒复合成的一种 DOS和 Windows双栖型驻留宏病毒。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒3.4.3 宏病毒的特点宏病毒的特点1宏病毒制造容易。2它是一种真正跨硬件平台的病毒。3宏病毒的传播速度极快。4大多时宏病毒具有很好的隐蔽性，不易被发觉。5破坏性极强。5.4.3 宏病毒的传染性宏病毒的传染性在Office系统中集成了许多模板，如典雅型传真、报告、通讯录、改扩建项目表、经济社会发展计划、海报。企业财政报告等模板。这些模板不仅包含了相应类型文档的一般格式，而且还允许用户在模板内添加宏，使得用户在制作自己的特定格式时，减少重复劳动。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒Word最常用的是通用模板（Normal.dot），Excel最常用的是Excel.xlb等。任何一个Office文件背后都有相应的模板，我们打开或建立大多数Office文件时，系统都会自动装入通用或公用模板并执行其中的宏命令。其中的操作可以是打开文件、关闭文件、读取数据以及保存和打印，并对应着特定的宏命令，如存文件与FileSave相对应，另存文件对应着FileSaveAs，打印则对应着FilePrint等。如这些宏命令集合在一起构成了通用宏，通用宏保存在模板文件中，以使Office启动后可以有效地工作。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒以Word为例，当Word打开文件时，它首先要检查文件内包含的宏是否有自动执行的宏（AutoOpen宏）存在，假如有这样的宏，Word就启动并运行之。当然，如果AutoClose宏存在，则系统在关闭一个文件时，会自动执行它。通常，Word宏病毒至少会包含一个以上的自动宏，Word中运行这类自动宏时，实际上就是在运行病毒代码。宏病毒的内部都具有把带病毒的宏复制到通用宏的代码段，也就是说当病毒代码被执行过后，它就会将自身复制到通用宏集合内。当Word系统退出时，会自动地把包括宏病毒在内的所有通用宏保存到模板文件中。以后每当Word应用程序启动初始化时，系统都会随着通用模板的装入而成为带毒的Word系统，继而在打开和创建任何文档时感染该文档。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒实际上，宏病毒感染通用模板的目的，仅仅相当于普通病毒要感染引导扇区和驻留内存功能，附加在共用模板上才有“共用”的作用，感染Word或Excel系统是为了进一步地获得对系统，特别是对Office系统的控制权。它要传染的其他Office文件才是病毒传染的最终结果，即传染用户自己的文档文件或个人模板。可以说，在同一台计算机上宏病毒的传染主要靠通用模板的机制，在不同的计算机之间宏病毒的传播，就要靠具体的Office文件，通过磁介质或网络来进行了。其中也包括Office系统中“HTML模板”发布到网上的传染机制。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒一旦宏病毒侵入 Word系统，它就会替代原有的正常宏，如 FileOPen、FileSave、FileSaveAs和FilePrint等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的宏病毒就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有宏病毒复制到该文档中。被转换成模板格式后的染毒文件无法另存为任何其他格式。含有自动宏的宏病毒染毒文档，当被其他计算机的Word系统打开时，便会自动感染该计算机。例如，如果病毒捕获并修改了FileOpen，那么它将感染每一个被打开的Word文件。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒5.4.4 宏病毒的检测与清除宏病毒的检测与清除(1)用操作系统的“查找”功能(2)用 Office系统的检查(3)还可以使用一种非常简单的办法，清除对Word系统的感染，即找到并且删除Autoexec.dot和Normal.dot文件。(4)使用专业杀毒软件.计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒5.4.5 宏病毒的预防1.当怀疑系统有宏病毒时，首先应查看是否存在“可疑”的宏。2.使用Word用户，在打开一个新文档时，系统将Word的工作环境按照用户的使用习惯进行设置，并使通用模板更新。3.当无法判断外来的Word文档是否带宏病毒时，在不保留原来文档的排版格式的必要前提下，可先用Windows提供的书写器或写字板来打开它们，将其先转换成书写器或写字板格式的文件并保存后，再用Word调用打开。4除对Word宏进行“过滤”外，还有一个简单的方法，就是在调用Word文档时先禁止所有的以“Auto”开头的宏的执行。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒5对于使用 Office 97版本的用户，系统已经提供禁止宏功能，将其激活或打开即可。6对于使用Excel的用户，在打开一个新文档时，系统将Excel的工作环境按照用户的使用习惯进行设置，并使Excel8.xlb文件更新。7如果用户自己编制有Autoxxxx这类宏，建议将编制完成的结果记录下来，即将其中的代码内容打印或抄录下来备查。8如果用户没有编制过任何以“Auto”开头的宏，而系统运行不正常而又完全能排除是由其他的硬件故障或系统软件配置问题引起的，那么，在打开“工具”菜单的“宏”选项后，最好删除掉这些自动宏，即便错删了，也不会对文档内容产生任何影响，仅是缺少了相应的“宏功能”。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒9将常用的模板文件改为只读属性，可防止Office系统被感染。DOS的autoexec.bat和config.sys文件最好也都设为只读属性文件。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒5.4.7 Office产品中对宏病毒的说明宏病毒主要是针对Office产品内嵌的较强功能的VBA技术而设计的。1Word文档宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。Word无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，Word能够显示警告信息。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒2Excel文档Microsoft Excel无法扫描软盘、硬盘或网络盘来查找和删除宏病毒。如果需要这种保护，则需要购买和安装反病毒软件。然而，每 次 打开 含 有 宏的 工 作簿时，MicrosoftExcel都会显示警告信息，然后选择是以允许运行宏的方式还是禁止运行宏的方式打开工作簿。如果以禁止运行宏的方式打开工作簿，则只能查看和编辑宏。宏病毒只有在允许运行时才是有害的，所以禁止宏的运行可以使打开工作簿更安全。如果要使工作簿中包含有用的宏（例如，公司中使用的订货表），则可单击“启用宏”，使打开工作簿中的宏有效；如果不想让工作簿中包含宏，或者不太确定工作簿来源的可靠性，则可单击“禁止宏”，使得打开工作簿中的宏失效。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒3PowerPoint文槁宏病毒是某种保存在演示文稿或模板内的宏中的计算机病毒。比如：PowerPoint可以在每次打开演示文稿，并且里面的宏可能包含病毒时，显示警告信息。可以自行决定打开演示文稿时是否激活宏或不激活宏。如果希望演示文稿能包含有用的宏，可以启用宏打开演示文稿。如果不知道演示文稿的来源，例如，从电子邮件的附件、网络或不安全的Internet节点中得到的演示文稿，最好禁用宏打开演示文稿，不要冒险。要停止对宏病毒的检查，可以在看到病毒警告信息时，清除“每次打开包含宏的文档前确认”复选框。要彻底中止宏的检查，请单击“工具”菜单中的“选项”，单击“常规”选项卡，清除“宏病毒防护”复选框。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.4 宏病毒5.4.8 宏病毒实例Melissa中文为美丽莎，是第一个通过用户的邮件通信录中的地址“极其迅速地”向外传播的 MS-Word宏病毒。它是彻底的“互联网生存”病毒，感染对象是 Word 97和Word 2000系统，它利用计算机中的通信录，从 Outlook的全域地址表中获取成员地址信息，通过微软的Word宏和Outlook电子邮件程序传播。它会以当前计算机主人的名义，煞有其事地告诉被入侵者“这是来自XX的重要信息”，如果他敢打开附件中名为list.doc的Word文件，不仅会看到80个色情文学网址的列表，而且病毒会利用他的计算机实施传播。它传播方式颇为隐秘，其主题中的XX就是发件人的名字。它暂时还不会给用户的数据文件造成什么伤害，但会疯狂占用网络的邮件传送资源，有可能造成互联网的瘫痪！也称“美丽杀手”。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.5 其他类型的病毒 5.5.1 CIH病毒 1CIH病毒的版本（1）CIH病毒1.0版本（2）CIH病毒v1.1版本（3）CIH病毒v1.2版本 （4）CIH病毒v1.3版本（5）CIH病毒v1.4版本2CIH病毒特征与检测由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了 CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1”。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.5 其他类型的病毒3CIH病毒的清除手工的方法就是直接搜索特征代码，并将其修改掉。首先是处理掉两个转跳点，搜索：5E CC 56 8B F0特征串以及5E CC FB 33 DB特征串，将这两个特征串中的 CC改为 90（nop），接着搜索 CD 20 53 00 01 00 83 C4 20与 CD 20 67 00 40 00特征字串，将其全部修改为90即可（以上数值全部为16进制）。另外一种方法是将原先的PE程序的正确入口点找回来，填入当前人口点即可4.CIH的传染机理 5CIH病毒对BIOS的破坏 计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.5 其他类型的病毒5.5.2 爱虫病毒 爱虫病毒也称“I LOVE YOU”病毒，它在 2000年 5月 4日出现后，迅速在世界范围内蔓延，因为它是通过 Microsoft Outlook电子邮件系统传播的，传播速度极快。病毒代码以 VBS（Vsua Basic Script）的形式存在于附件中。一旦在 Outlook里双击打开这个邮件，就会执行附件中的VBS程序，它就会自动复制到系统中，然后向地址簿中的所有邮件地址发送这个病毒。它还将以病毒体覆盖到本地及网络硬盘的某些类型的文件。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.5 其他类型的病毒5.5.3 欢乐时光病毒欢乐时光病毒欢乐时光病毒也称作“Happy time”病毒，也是一种 VBS形式的病毒，通过邮件附件的形式传播。而它的主要特点是，只要在Outlook中收到了这个带病毒的邮件，即使你不打开和双击其附件，它也能在计算机上执行！具有同样特点的病毒还有Bubbleboy（泡沫小子）、Kak(野蛮蠕虫病毒)、Verona(罗密欧与朱丽叶）等。计算机安全技术计算机病毒分析与防治 资料仅供参考,不当之处，请联系改正。5.5 其他类型的病毒5.5.4 红色代码病毒红色代码病毒“红色代码”病毒是一种新型网络病毒，其传染过程充分体现了网络时代网络攻击技术与病毒机制的巧妙结合，它将网络蠕虫、计算机病毒、木马程序、分布式拒绝服务攻击等功能合为一体，可称之为新一代的病毒。对其中的代码进行改造后，其破坏能力更强，通过网络攻击得到目标主机的管理权限后，可以为所欲为，毁坏或盗走机密数据，严重威胁网络安全。