【文章內(nèi)容簡介】 模塊根據(jù)預(yù)定條件滿足與否，控制病毒的感染或破壞動 作。病毒的觸發(fā)條件有多種形式，主要有 :日期和時(shí)間觸發(fā)、鍵盤觸發(fā)、啟動觸發(fā)、磁盤訪問觸發(fā)和中斷訪問觸發(fā)、其他觸發(fā)方式。病毒觸發(fā)模塊的主要功能為： ①檢查預(yù)定觸發(fā)條件是否滿足； ②如果滿足，返回真值； ③如果不滿足，返回假值。 (3) 破壞模塊 破壞模塊負(fù)責(zé)實(shí)施病毒的破壞工作。其內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動作的代碼。這些破壞動作可能是破壞文件、數(shù)據(jù)，也可能是破壞計(jì)算機(jī)的空間效率和時(shí)間效率或使計(jì)算機(jī)運(yùn)行崩潰。有些病毒的該模塊 9 并沒有明顯的惡意破壞行為，僅在被感染的系統(tǒng)設(shè)備上表現(xiàn)出特定的現(xiàn)象，該模塊有時(shí)又被稱為表現(xiàn) 模塊。在結(jié)構(gòu)上，破壞模塊一般分為兩部分，一部分判斷破壞的條件，另一部分執(zhí)行破壞的功能。 (4) 主控模塊 主控模塊在總體上控制病毒程序的運(yùn)行，染毒程序運(yùn)行時(shí)，首先運(yùn)行的是病毒的主控模塊。其基本動作為： ①調(diào)用感染模塊，進(jìn)行感染； ②調(diào)用觸發(fā)模塊，接收其返回值； ③如果返回真值，執(zhí)行破壞模塊； ④如果返回假值，執(zhí)行后續(xù)程序。 10 第三章 Windows 病毒分析 現(xiàn)在的用戶一般都安裝 Windows 操作系統(tǒng)，而 Windows 病毒種類繁多，下面主要研究宏病毒、網(wǎng)頁病毒、郵件病毒、及蠕蟲病毒等一些常見的病毒。 宏病毒是一些制作病毒的專業(yè)人利用 MS Office 的開放性即 Word和 Excel中提供的 Word Basic/ Excel Basic 編程接口，專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合，這種病毒宏的集合影響到計(jì)算機(jī)的使用，并能通過 doc 文檔及 dot模板進(jìn)行自我復(fù)制及傳播。 宏病毒的原理 宏病毒的產(chǎn)生，是利用了一些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏命令編程語言的特性而形成的。這些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏編程語言的存在使得宏病毒有機(jī)可乘，病毒可以把特定的宏命令代碼附加在指定文件上，通過文件的打開或關(guān)閉來 獲取控制權(quán)，實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞，從而在未經(jīng)使用者許可的情況下獲取控制權(quán)，達(dá)到傳染目的。目前在可被宏病毒感染的文件中，以 Word、 Excel 居多。 Word 宏病毒與 Excel 宏病毒的特性較為相似，因此僅以 Word 宏病毒為例，說明宏病毒的作用、傳染以及發(fā)作的機(jī)理和特性。 一旦病毒宏侵入 Word，它就會替代原有的正常的宏，如 FileOpen、FileSave、等，并通過這些宏所關(guān)聯(lián)的文件操作功能獲取對文件交換的控制。當(dāng)某項(xiàng)功能被調(diào)用時(shí)，相應(yīng)的病毒宏就會篡奪控制權(quán)，實(shí)施病毒所定義的非法操作，包括傳 染操作、表現(xiàn)操作以及破壞操作等。宏病毒在感染一個(gè)文檔時(shí)，首先要把文檔轉(zhuǎn)換成模板格式，然后把所有病毒宏(包括自動宏 )復(fù)制到該文檔中。被轉(zhuǎn)換成模板格式后的染毒文件無法轉(zhuǎn)存為任何其他格式。含有自動宏的宏病毒染毒文檔，當(dāng)被其他計(jì)算機(jī)的Word 系統(tǒng)打開時(shí)，便會自動感染該計(jì)算機(jī)。例如，如果病毒捕獲并修改了 FileOpen，那么，它將感染每一個(gè)被打開的 Word 文件。目前，幾乎 11 所有已知的宏病毒都沿有了相同的作用機(jī)理，即如果 Word 系統(tǒng)在讀取一個(gè)染毒文件時(shí)遭受感染，則其后所有新創(chuàng)建的 DOC 文件都會被感染。 宏病毒的 破壞表現(xiàn) 有些病毒對用戶進(jìn)行騷擾，但不破壞系統(tǒng)。但也有些宏病毒極具破壞性，如 ，這種病毒既感染中文版 Word 又感染英文版 Word，發(fā)作時(shí)間是每月的 1 日。此病毒在不同的 Windows 平臺上有不同的破壞性表現(xiàn)，輕則刪除幫助文件，重則刪除硬盤中的所有文件。宏病毒的破壞主要表現(xiàn)在兩方面： (1)對 Word 和 Excel 運(yùn)行的破壞：不能正常打印；封閉或改變文件存儲路徑；將文件發(fā)展改名；亂復(fù)制文件；封閉有關(guān)菜單；文件無法正常編輯。 (2)對系統(tǒng)的破壞： Word Basic和 Excel Basic 語言能夠調(diào)用系 統(tǒng)命令，造成破壞。 宏病毒的主要特點(diǎn) (1) 傳播極快 宏病毒通過 doc文檔及 dot 模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類型。多年來，人們大多重視保護(hù)自己計(jì)算機(jī)的引導(dǎo)部分和可執(zhí)行文件不被病毒感染，而對外來的文檔文件基本是直接瀏覽使用，這給宏病毒傳播帶來很多便利。特別是因特網(wǎng)的普及， Email的大量應(yīng)用更為 Word 宏病毒傳播鋪平道路。 (2) 制作、變種方便 以往病毒是以二進(jìn)制的計(jì)算機(jī)機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言 Word Basic 形式出現(xiàn)，所以編寫和修 改宏病毒比以往病毒容易。 (3) 破壞可能極大 鑒于宏病毒用 Word Basic 語言編寫， Word Basic 語言提供了許多系統(tǒng)級低層調(diào)用，如直接使用 DOS 系統(tǒng)命令、調(diào)用 Windows API、調(diào)用DDE 或 DLL 等。這些操作均可能系統(tǒng)直接構(gòu)成威脅，而 Word在指令安全性、完整性上檢測能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒Nuclear 就是破壞操作系統(tǒng)的典型一例。 12 (4) 多平臺交叉感染 宏病毒沖破了以往病毒在單一平臺上傳播的局限，當(dāng) Word或 Excel這類著名應(yīng)用軟件在不同平臺上運(yùn)行時(shí)，會被宏病毒交叉 感染。以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了人們的“數(shù)據(jù)文件不會傳播病毒”的錯(cuò)誤認(rèn)識。 宏病毒的檢測 (1)在自己使用的 Word 中打開工具中的宏菜單，點(diǎn)中通用 Normal模板，若發(fā)現(xiàn)有“ AutoOpen”等自動宏，“ FileSave”等文件操作宏或一些怪名字的宏，而自己又沒有加載特殊模板，這就有可能有病毒了。因?yàn)榇蠖鄶?shù)用戶的通用 (Normal)模板中是沒有宏的。 (2)如發(fā)現(xiàn)打開一個(gè)文檔，它未經(jīng)任何改動，立即就有存盤操作，也有可能是 Word 帶有病毒。 (3)打開以 DOC 為后綴的文件在另存菜單中只能以模板方式存盤而此時(shí)通用模板中含有宏，也有可能是 Word 有病毒。 宏病毒的防范 (1) 利用 Word 提供的“宏病毒防護(hù)”功能 防御宏病毒的一種比較簡單的方法，就是在打開 Word 文檔時(shí)先禁止所有自動執(zhí)行的宏 (以 Auto 開頭的宏 )的執(zhí)行。由于宏病毒的肆虐，微軟公司在 Word97 版本中提供了“宏病毒防護(hù)”的功能選項(xiàng)。如果打開的文件帶有“自動宏”， Word 97 將自動彈出警告對話框，來讓用戶選擇是否執(zhí)行宏，如果選擇了“取消宏”，那么這個(gè) Word 文檔將用只讀形式打開，其包含 的所有宏都沒有執(zhí)行。這個(gè)方法在理論上能防住所有宏病毒的侵襲，但它有很大的缺陷：一是它拒絕了所有宏的執(zhí)行，包括正常宏和病毒，這會造成某些文檔在打開時(shí)出現(xiàn)錯(cuò)誤：二是很多病毒都屏蔽了工具中對應(yīng)宏的子菜單。所以“宏病毒防護(hù)”并不能徹底解決“宏病毒”的問題。 (2) 智能宏代碼掃描清除宏病毒 微軟的 Word 文檔采用了“二進(jìn)制文件格式”，它是微軟公司為 Word等文檔定義的特殊文件存儲格式。普通文檔通常是平面結(jié)構(gòu)的，由文件頭、正文內(nèi)容和控制符組成，不存在與其它信息的鏈接，其文件頭和控 13 制符本身都不具備自動執(zhí)行能力。在未加密 的情況下，如果將文件頭和控制符去掉，就可以得到一份干干凈凈的純文本。采用 BFF格式的 Word文檔是立體結(jié)構(gòu)的，文檔中除了包括文本外，還包括字體、頁面布局、圖形、圖像等信息，這些信息相互鏈接，形成完整的 Word 文件。因此，要干凈、徹底地清除宏病毒，就必須對 BFF格式有透徹地理解，否則就可能在殺除宏病毒時(shí)出現(xiàn)以下現(xiàn)象：文檔被殺“死”，用戶再也無法用Word 打開這份文件：殺毒不干凈，在文檔中殘留有宏病毒的結(jié)構(gòu)，因而在重新打開文檔時(shí)可能出現(xiàn)非法錯(cuò)誤或“內(nèi)存不足”等現(xiàn)象；清除了宏病毒本身，但殘留了病毒的“空殼”，使得 殺毒后的文檔仍然不能另存，并且在用 Office97 打開該文檔時(shí)， Word 總會提示用戶文檔中包含“可疑宏”。 根據(jù) Word 文件的結(jié)構(gòu)，清除宏病毒的首要任務(wù)是斷開宏結(jié)構(gòu)鏈表，使病毒無法被讀出。通過試驗(yàn)，在 Word2021 版本下，宏病毒的防御能力得到了很大的提高， NormaTemplate,VBProject 等對象都被設(shè)為禁用，使 Word97 版本下的病毒在 Word2021下編譯出錯(cuò)，只能禁止或運(yùn)行菜單選項(xiàng)，但已失去傳染性。 隨著網(wǎng)絡(luò)的發(fā)展與普及，互聯(lián)網(wǎng)對我們來說起到了越來越重要的作用，但是與此 同時(shí)，惡意網(wǎng)頁代碼的出現(xiàn)，給廣大網(wǎng)絡(luò)用戶帶來了一些災(zāi)難。這里所指的網(wǎng)頁病毒是指在 HTML 文件中用于非法修改用戶計(jì)算機(jī)配置的 HTML 文件，有別于一般通過網(wǎng)頁傳染的病毒。 修改注冊表是網(wǎng)頁惡意代碼采用的最常見的一種方法。惡意攻擊性網(wǎng)頁正是自動修改了網(wǎng)頁瀏覽者電腦的注冊表，從而達(dá)到修改 IE 首頁地址、鎖定部分功能等目的?，F(xiàn)在我們來分析一下其修改注冊表的代碼。首先我們還得了解一下微軟的 ActiveX 技術(shù)。 ActiveX 是 Microsoft 提出的一組使用 COM 使得軟件部件在網(wǎng)絡(luò)環(huán)境中進(jìn)行交互的技術(shù)集。它與具體的編程 語言無關(guān)。作為針對 Inter應(yīng)用開發(fā)技術(shù)， ActiveX 被廣泛應(yīng)用于 Web 服務(wù)器以及客戶端的各個(gè)方面。同樣 ActiveX 可以應(yīng)用于網(wǎng)頁編制語言中，利用 JavaScript 語句輕易就可以把 ActiveX嵌入到 Web 頁面中。目前，很多第三方開發(fā)商編 14 制了各式各樣的 ActiveX控制。在 Inter上，有超過 1000 個(gè) ActiveX 控件供用戶下載使用。在 Windows 的 SYSTEM 目錄下，保存有很多 Windows 提供的 ActiveX控件。 請看下面程序： script // 初始化 activeX 控件 (“ applet height=0 width=0 code= /applet” ) //初始化 acitveX 控件結(jié)束 //定義結(jié)束 function f(){ try { // 設(shè)定 applet 為 0 a1=[0] // 初始化 Windows Script Host Shell Object (“ {f935dc221cf011d0adb900c04fd58a0b}” ) () sh1=() try { //開始定注冊表 //設(shè)定 IE的標(biāo)題為 Inter Explorer (“ HKEYCURRENTUSER\\Software\\Microsoft\\inter Explorer\\Main\\Window Title”，“ Inter Explorer” ) //設(shè)定 IE 的默認(rèn)首頁為我們自己 的主頁 (“ HKEYCURRENTUSER\\Software\\Microsoft\\InterExplorer\\Main\\StartPage” , ) //設(shè)定首頁那項(xiàng)變灰 (“ HKEYUSERS\\DEFAULT\\SoftWare\\Policies\\Microsoft\\ 15 InterExplorer\\ControlPanel\\HomePage” ,0x1.“ REGDWORD” ) {catch(){} }catch(){} } function init() { //1000 毫秒后開始調(diào)用函數(shù) f() setTimeout(“ f()” ,1000) } init() /script 說明： try{語句體 1} catch(e){語句體 2} 其中語句體 2是異常處理程序：如果語句體 1 運(yùn)行中發(fā)生異常，則行語句體 2 這樣當(dāng)語句體 1運(yùn)行過程中發(fā)生錯(cuò)誤時(shí)，就不會直接彈出錯(cuò)誤提示窗口，而由語句 2 處理。 以上網(wǎng)頁代碼修改了注冊表的 IE 標(biāo)題、首頁，并使用戶無法在 IE的“工具 Inter 選項(xiàng) 常規(guī) ” 中恢復(fù)首頁的默認(rèn)網(wǎng)頁，用戶無法設(shè)定分級審查。例如， 上面語句修改的 HKEYCURRENTUSER\Software\ Microsoft\InterExplorer\ Main\Start Page 鍵值，即修改了 IE 的首地址。如果再加入幾條，就可以修改、鎖定更多的功能了，其他功能這里就不一一列出對應(yīng)的注冊表子鍵了。 注冊表被修改后常見的現(xiàn)象有：修改 IE 的標(biāo)題、首頁、搜索頁、IE 工具欄背景圖、禁止 更改主頁設(shè)置；禁止更改歷史記錄設(shè)置；禁止使用鼠標(biāo)右鍵；禁止使用注冊表編程序 ；禁止使用任何程序等。 網(wǎng)頁病毒的防范 (1)禁用文件系統(tǒng)對象 FileSystemObject：用 regsvr32 /u 命令禁止文件系統(tǒng)對象，或者直接查找 文件將其刪除或 16 者改名。 (2)卸載 Windows Scripting Host：打開 控制面板 添加 /刪除程序Windows 安裝程序 附件，取消“ Windows Scripting Host”一項(xiàng)。 (3)刪 除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射：點(diǎn)擊我的電腦 查看 文件夾選項(xiàng) 文件類型，然后刪除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射。 (4)在 Windows目錄中，找到 或 ，更改名稱或者刪除。