防火墙病毒常见病毒和防治

防火墙病毒常见病毒和防治防火墙病毒常见病毒和防治第1页第三章常见病毒与预防宏病毒：所谓宏是为防止重复一样工作而设计一个工具。起源：MicroSoftWord，利用软件支持宏命令编写可复制、感染宏。特点：跨平台、相对简单、不感染comexe文件、经过DocDot文件进行自我复制和传输防火墙病毒常见病毒和防治第2页第三章常见病毒与预防宏病毒：特征：传输快：使用广泛制作变种快：易于修改多平台防火墙病毒常见病毒和防治第3页第三章常见病毒与预防宏病毒：症状：打开文档或模板文件时激活包含AutoOpenAutoCloseAutoNewAutoExit包含对文档读写命令DocDot中以BEF(BineryFileFormat)格式存放将文档改为模板，但不改变扩展名不能用SaveAs打开激活，复制到Normal.dot通用模板中。防火墙病毒常见病毒和防治第4页第三章常见病毒与预防宏病毒：作用机制Word文档中含有代码、数据。该代码能够被Word解释执行。Word文档经过模板建立。缺省为Normal.dot。Word中每个操作都对应一个宏命令，如：FileSaveFileSaveAs。打开文件时，检验AutoOpen是否存在。存在则执行。AutoClose在文件关闭时执行。含病毒代码宏将其移植到通用模板代码段。Word开启时打开通用模板，该宏替换正常宏，用户调用后进行非法操作。防火墙病毒常见病毒和防治第5页第三章常见病毒与预防宏病毒：传输路径：软盘交流文档硬盘感染光盘携带Internet下载BBS交流电子邮件附件防火墙病毒常见病毒和防治第6页第三章常见病毒与预防宏病毒：去除手工：打开宏菜单，从Normal.dot中删除可疑宏打开带有宏病毒文档，打开宏菜单去除保留清洁文档软件去除防火墙病毒常见病毒和防治第7页第三章常见病毒与预防Concept病毒（又称Prank）

当第一次发觉Word感染该病毒时，会出现一个对话框，对话框中文本只有一个“1”，按钮也只有一个“OK”键（在汉字环境中为“确定”键）。病毒加载之后，就会修改【文件】菜单【保留】命令所代表宏，然后在每次保留文件时候，就会将病毒保留到文件中。

受此病毒感染后，所编辑文档只能按模板格式保留。Concept病毒不会造成文件数据丢失。其症状是WordNormal模板中会出现两个名字为AAAZAO和AAAZFS宏命令，如图13-1所表示。另外还有一个PayLoad宏，该宏只包含一句话“这足以证实我观点（That’senoughtoprovemypoint.）”，而不做其它事情。

防火墙病毒常见病毒和防治第8页第三章常见病毒与预防即使Concept在这个宏里面没有包含任何内容，不过任何一个对宏有一定了解人都能够修改这个宏，做一些可怕事情，比如删除一些文件，修改磁盘上一些关键参数或生成另外一个更可怕病毒。所以，即使能够认为Concept是良性病毒，不过必须注意，它随时都能够变成恶性病毒（这也是其它病毒发展必定过程）。防火墙病毒常见病毒和防治第9页第三章常见病毒与预防Nuclear病毒

该病毒会对文档打印功效造成破坏，并会破坏MS-DOS系统文件。感染该病毒后，WordNormal模板将出现以下宏命令：AutoExec、AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、FileSaveAs、InsertPayLoad、PayLoad，如图13-2所表示。

Nuclear宏病毒可能造成以下危害：

（1）假如在任何时间55~57秒之间操作文件，病毒会在打印文档上加入“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC（停顿法国在太平洋全部核试验）”这句话。

（2）假如在下午5点~6点（系统时间）打开感染了Nuclear病毒文件，这台计算机将被PH33R病毒感染，PH33R病毒会产生一个DOS驻留程序。

（3）每年4月5日，Nuclear病毒会将计算机中IO.SYS和MSDOS.SYS两个文件长度置为零，并删除COMMOND.COM文件，使DOS无法开启。防火墙病毒常见病毒和防治第10页第三章常见病毒与预防图片来自滚石咨询防火墙病毒常见病毒和防治第11页第三章常见病毒与预防DMV病毒

该病毒与Concept病毒类似，使Word中【另存为】命令无效

13.2.4宏病毒一些变种

从第一个宏病毒Concept诞生到1998年底，Word宏病毒已经出现了几千个变种，其中不少是恶性病毒，不过万变不离其宗，全部病毒都需要在宏里面增加一个名字为“AutoLoad”宏，下面介绍一些另外常见宏病毒。

1.Alliance

感染.DOC和.DOT文件，仅在每个月2、7、11和12日感染和复制，而且屏幕显示一个信息窗，提醒用户已感染病毒。

2.Boom

感染德文版MSWord软件.DOC和NORMAL.DOT文件，每年3月13日13时13分13秒发作，发作时胡乱更改菜单，显示政治笑话。

3.Clock：DE

感染德文版MSWord软件，在每个月1、2、13、21和27日，每个整点过后5分钟发作，发作时将文件打开和存取功效交替颠倒，并产生混乱。

4.Concept.F

基于Concept病毒原型宏病毒，病毒经过本身加密，在每个月16日发作，发作时分别用“，”、“e”和“not”替换文本中全部“.”、“a”和“and”，而且屏幕显示一个信息窗，提醒用户已感染病毒。

图片来自滚石咨询防火墙病毒常见病毒和防治第12页第三章常见病毒与预防5.Concept.L

感染.DOC和.DOT文件，每个月17日发作，发作时将删除“C：”根目录下相关文件，而且屏幕显示一个信息窗，提醒用户已感染病毒。

6.Helper

感染.DOC和.DOT文件，在每个月10日发作，发作时全部经过打开和创建操作后关闭文件将被设置一个加密口令。

7.Kompu

该病毒是一个使用了加密、隐性技术宏病毒。感染.DOC和.DOT文件，在每个月6日和8日发作。发作时在屏幕上显示一个信息窗，提醒用户输入口令，用户必须输入“KOMM”以关闭此窗口，不然，病毒将经过打印机打印出混乱信息。

8.MDMA.A

每个月1日发作，可感染各种操作系统（Windows、Windows95、Macintosh和WindowsNT），在Windows3.x下发作时，会在AUTOEXEC.BAT文件中加入“deltree/YC:”恶意指令，后果严重。

9.MDMA.C

上述病毒一个变种，每个月20日后任何一天都可能发作，可感染Windows、Windows95和WindowsNT，设置密码口令，删除C:\Windows\system\*.CPL文件。

防火墙病毒常见病毒和防治第13页第三章常见病毒与预防10.Nuclear.B

有三种可能发作方式：

（1）4月5日，删除C文件。

（2）17~18日使用，释放一个DOS可执行文件病毒PH33R.1332。

（3）在某时某分54~59秒间打印文件时，将会加入下面一行文字：“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC（停顿法国在太平洋全部核试验）”。

11.Phardera

发作时屏幕显示一个信息窗，干扰用户正常工作，同时从【工具】菜单中删除【宏】和【自定义】命令，妨碍用户手工杀毒。

12.Saver:DE

德文版宏病毒，4月21日发作。

13.Taiwan.Theatre

双字节宏病毒，每个月1日发作，破坏系统硬盘数据。

14.TW-No.1（台湾1号）

每个月13日发作，发作时在屏幕上显示一个窗口，要求用户做4位数连乘，若做错，将连续打开窗口，让用户继续做题，因为系统资源不停消耗，系统运行速度将越来越慢。防火墙病毒常见病毒和防治第14页第三章常见病毒与预防宏病毒：预防：将Normal.dot该为只读提醒保留选项关闭自动宏以宏制宏Word报警设置Normal.dot进行密码保护加装杀毒软件防火墙病毒常见病毒和防治第15页第三章常见病毒与预防CIH病毒：破坏硬件系统病毒由台湾大学生陈盈豪编写，由1.0～1.4五个版本1.0不具破坏性1.1能够自动判断运行系统，隐蔽1.2增加了破坏硬盘及BIOS代码，能够感染ZIP文件，使其解压错误，发作时间4月26日1.3不感染ZIP自解压文件，时间为6月26日1.4修改了发作器及病毒版权信息，时间为每个月26日防火墙病毒常见病毒和防治第16页第三章常见病毒与预防CIH病毒：破坏作用从硬盘主引导区开始依次写入垃圾数据，直到全部破坏，症状就是硬盘转动不停最大破坏作用就是对系统主机BIOS破坏。向BIOS写入垃圾数据，造成无法开启。主要针对EEPROM防火墙病毒常见病毒和防治第17页第三章常见病毒与预防CIH病毒作用机理属文件型病毒，使用VXD技术。主要感染WIN9X可执行文件修改INT3中止指向CIHINT3程序本身产生INT3终端获取最高等级CPU使用权限判断DR0=0?0:一由CIH驻留，不然感染使用VXD技术分配内存从被感染文件中组合起来调入内存在进入INT3调用INT20来截获文件调用操作，保留Ring0文件I/O入口地址，便于它调用，驻留内存假如是PE格式文件，将本身分解插入文件空白区，并修改文件执行参数，使其首先指向CIH病毒体防火墙病毒常见病毒和防治第18页第三章常见病毒与预防CIH病毒：防治安装详细查解压文件病毒和实时监控病毒反病毒软件将硬盘分区，将主要数据放在D以后分区，这么能够经过修复分区表方式修复数据备份主要数据，不使用不明来历软件和光盘CIH病毒免疫，复制病毒“感染标识”。防火墙病毒常见病毒和防治第19页第三章常见病毒与预防CIH病毒补救BIOS修复更换、写入、热插拔（使用其它BIOS开启后拔下，更换）硬盘修复复制相同分区其它硬盘分区表，进行修复FinalrecoveryEasyrecovery只能修复未被破坏数据防火墙病毒常见病毒和防治第20页第三章常见病毒与预防蠕虫病毒Explore网络蠕虫经过EMAIL附件方式传送，复制出一个Explore.exe文件，修改Win.ini，NT下则修改注册表。经过激活OutLook，OutLookExpress，MsExchange发送函数来实现。详细内容：“IreceiveyouremailandIshallsendyouareplayASAP,tillthentakealookattheattachedzippeddocs”。主题不定，附件名称为：“Zipped_files.exe”210，432BWinzip图标，运行时无法打开错误信息防火墙病毒常见病毒和防治第21页第三章常见病毒与预防蠕虫病毒破坏性窃取口令，盗取特权，借用OS错误和漏洞。经过网络复制自己，不感染文件，重写内存特定区。抢夺系统资源，影响系统效率，后果可能造成系统瓦解。发作后：寻找cccplasmdocxlsppt文件，将字节数设置为0变种后可能破坏全部类型文件。防火墙病毒常见病毒和防治第22页第三章常见病毒与预防蠕虫病毒引导和传染过程将自己复制到c:\windows\system或c:\windows\system32下更名为explore.exe修改win.ini加入“run=c:\windows\system\explore.exe”NTsystem:“HKEY_CURRENT_USER\Software\Microsoft\windows\windowsNT\CurrentVersion\windows”将Run值该为“C:\WinNT\System32\Explore.exe”防火墙病毒常见病毒和防治第23页第三章常见病毒与预防蠕虫病毒：防治软件去除手工去除（WinNT）Regedit删除Explore.exe防火墙病毒常见病毒和防治第24页第三章常见病毒与预防Happy99病毒：1999年初，附件happy99.exe现象：自动打开一个名为“HappyNewYear1999”黑色背景窗口，并不停放烟花。是伪装成电子贺卡形式蠕虫文件：windows\system目录下ska.exeska.dllwsock32.ska，特点：字符串加密防火墙病毒常见病毒和防治第25页第三章常见病毒与预防Happy99病毒引导Wsock32.dll指向Wsock32.ska修改connect.send入口地址为ska.exe对应功效模块修改注册表：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\runonce\添加“ska.exe=c:\windows\system\ska.exe”防火墙病毒常见病毒和防治第26页第三章常见病毒与预防Happy99病毒：传染发送EMAIL－调用Connect.Send－调用ska.dll－调用ska.exe发送同一地址带有附件happy99.exe预防不轻易执行来历不明邮件附件将Wsock32.dll设置为只读去除软件手工：去除文件、去除注册表防火墙病毒常见病毒和防治第27页第三章常见病毒与预防爱虫病毒5月4日全球发作，借助母亲节，开玩笑式。当日经济损失达10亿美元。美国加州“电脑经济”研究机构，指出，在第二天，有4500万台电脑中毒，经济损失达26亿美元。特征：主题不定：ILoveYou，Joke，今晚见面喝咖啡等附件：VB编写，删除电脑上12种扩展名文件，然后逐一发送电子邮件。对象：win98，NT4.0，win95（ie5.0)，依赖于EXPRESS。APPLE，LINUX不感染防火墙病毒常见病毒和防治第28页第三章常见病毒与预防防火墙病毒常见病毒和防治第29页第三章常见病毒与预防爱虫病毒机制一个蠕虫病毒，经过电子邮件扩散，10307字节，可造成网络瓦解。来自菲律宾，马尼拉。学生编写。能够寻找当地和映射驱动器，在全部目录中寻找目标破坏：覆盖扩展名为：vbsvbejsjsecsswshscthtajpgjpegmp2mp3文件；vbs扩展名，比如：study.mp3study.mp3.vbs(病毒体)扩展名为mp2,mp3文件被隐藏传输：发送邮件，通讯录中每个地址邮件附件：Love_letter_for_you.txt.vbs邮件主体：KindlychecktheattachedLOVELETTERcomingfromme.防火墙病毒常见病毒和防治第30页第三章常见病毒与预防爱虫病毒：机制运行后在\WINDOWS\目录下产生win32dll.vbs，在\WINDOWS\system\下产生mskernel32.vbs和LOVE_LETTER_FOR_YOU.txt.vbs(不一样名称病毒体本身)修改注册表：HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run\mskernel32\windows\system\mskernel32.vbs\RunService\win32dll\windows\win32dll.vbs查找\windows\system\winfat32.exe防火墙病毒常见病毒和防治第31页第三章常见病毒与预防爱虫病毒机制(续)查找win_bugsfix.exe，有则默认为“blank”。无则添加HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\win_bugsfixwin_bufsfix.exe不存在则修改IE默认项为（某个网站）/~/win_bugsfix.exe（已经无效）能够利用mIRC软件经过IRC通道传输，给该通道其它用户发送HTM文件，打开后出现以下窗口。防治：不要打开邮件附件，删除邮件中毒后，与其它人（含有邮件地址联络人）联络下载软件关闭WIN95/98VB脚本选项

防火墙病毒常见病毒和防治第32页第三章常见病毒与预防爱虫病毒去除删除全部染毒邮件删除文件删除注册表项mp2,mp3文件恢复更改文件隐藏属性命令行：attrib–h*.mp2/*.mp3防火墙病毒常见病毒和防治第33页第三章常见病毒与预防恶性漂亮杀变种病毒-W97M.SKEPTIC轰动全球漂亮杀（melissa）病毒造成欧美等国家数十万台计算机遭到该病毒攻击，同时造成大量著名网络邮件服务器瘫痪；W97M.SKEPTIC:比漂亮杀传输更广、更复杂其变种恶性病毒。

该病毒与漂亮杀病毒非常相同，病毒以附件方式经过电子邮件进行自我扩散，病毒查找Outlook用户地址簿，自动地把感染文件发送给地址簿前60个用户。邮件主题是"Important

MessageFrom"；邮件内容为"LookwhatIfound…"。防火墙病毒常见病毒和防治第34页第三章常见病毒与预防恶性漂亮杀变种病毒-W97M.SKEPTIC该病毒感染MicrosoftWord97NORMAL.DOT模板和全部在感染系统中打开和创建Word文件。病毒在注册表"HKEY_CURRENT_USER\Software\Microsoft\Office\"中插入一名为"SixtiethSkeptic"注册键并赋值为"WhereˊsJamie？"。该病毒经过检验该增加键名来判断其本身是否经过email传输。

该病毒在C盘根目录下产生两个文件："C:\SS.BAS"和"C:\SS.VBS"。SS.BAS文件包含有加密宏代码。SS.VBS是一个VBScript程序文件，它能够在WSH（WindowsScriptingHost）支持系统运行。在缺省情况下，Windows98支持WSH系统。VBScript文件SS.VBS创建一Word可运行目标，然后用SS.BAS文件感染NORMAL.DOT文件.

防火墙病毒常见病毒和防治第35页第三章常见病毒与预防恶性漂亮杀变种病毒-W97M.SKEPTIC该病毒在Windows系统注册表

“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”中增加赋值为“C:\SS.VBS”“SixtiethSkeptic”注册键。当重新开启时系统会自动运行VBS程序。

此病毒传输性极强，不易去除。它利用全部可能方法进行传输和复制，比如作为email（60个地址）附件进行传输，感染NORMAL.DOT文件和全部打开过及新创建文件，还可经过修改注册表，在系统重新开启时自动激活病毒体并发作。防火墙病毒常见病毒和防治第36页第三章常见病毒与预防【ChinaByte综合消息】据控方提供法庭文件显示，因编制“漂亮杀”计算机病毒并对全球电脑网络造成严重破坏而受到起诉大卫·L·史密斯认可，“漂亮杀”病毒确实是他所为。曾做过程序员史密斯在4月1日被美国警方抓获。

新泽西州高级法院公布由州司法部副部长巴布提供文件显示，史密斯认可是他编制了“漂亮杀”宏病毒，非法进入美国在线以到达在网上传输该病毒目标，而且最终毁坏了他用来传输病毒电脑。史密斯辩护律师称巴布文件中描述与事实不符，但他拒绝作深入说明。

史密斯受到“扰乱公共通信”、“预谋破坏”和“企图破坏”等多项指控，不过他对全部指控自辩无罪。他对另外两项较轻指控，偷窃计算机服务和非法进入计算机系统也自辩无罪。

假如州司法当局指控成立，史密斯将被最轻判处40年监禁和罚款48万美元。史密斯在交纳了10万美元保释金后，迄今仍是自由之身。防火墙病毒常见病毒和防治第37页第三章常见病毒与预防Nimda病毒冲击波病毒：Msblaster.exe防火墙病毒常见病毒和防治第38页第三章常见病毒与预防防火墙病毒常见病毒和防治第39页第三章常见病毒与预防防火墙病毒常见病毒和防治第40页第三章常见病毒与预防冲击波病毒攻击对象Windows、windowsXP、windowsserver现象系统资源被大量占用有时出现RPC服务终止对话框系统重复开启不能收发邮件不能正常复制文件不能浏览网页复制、粘贴操作受到严重影响DNS、IIS服务遭到非法拒绝防火墙病毒常见病毒和防治第41页第三章常见病毒与预防冲击波病毒机理复制本身到Windows目录下，名称为msblast.exe建立名称为BILLY互斥量运行时，内存出现msblast.exe进程在注册表HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\run键下添加windowsautoupdate=msblast.exe间隔20秒检测一次网络，可用时建立TFTP服务器，UDP/69端口开启攻击传输线程，攻击随机IP地址，首先是子网内防火墙病毒常见病毒和防治第42页第三章常见病毒与预防冲击波病毒机理向对方TCP/135端口发送攻击数据135端口主要用于使用RPC（Remote

Procedure

Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。攻击成功后，建立TCP/4444端口后门，并绑定cmd.exe，蠕虫连接到这个端口，发送TFTP命令，回连到发起攻击主机，将msblast.exe传送到目标主机攻击失败时会造成RPC服务瓦解，系统重新开启8月之后、或每个月15日之后，向微软更新站点发起攻击，造成该站点拒绝服务。防火墙病毒常见病毒和防治第43页第三章常见病毒与预防震荡波(Worm.Sasser)”病毒经过微软高危漏洞—LSASS漏洞(微软MS04-011公告)进行传输，危害性极大，WINDOWS/XP/Server等操作系统用户都存在该漏洞，这些操作系统用户只要一上网，就有可能受到该病毒攻击。现象： 一、对话框防火墙病毒常见病毒和防治第44页第三章常见病毒与预防防火墙病毒常见病毒和防治第45页第三章常见病毒与预防二、系统日志中出现对应统计

假如用户无法确定自己电脑是否出现过上述异常框或系统重启提醒，还能够经过查看系统日志方法确定是否中毒。方法是，运行事