【正文】 潰， Windows XP 系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。該蠕蟲(chóng)病毒不能成功攻擊 Windows Server 2023，但是可以造成 Windows Server 2023 系統(tǒng)的 RPC 服務(wù)崩潰，默 第 13章 計(jì)算機(jī)病毒 (10) 病毒檢測(cè)到當(dāng)前系統(tǒng)月份是 8 月之后或者日期是 15 日之后，就會(huì)向微軟的更新站點(diǎn) windows 發(fā)動(dòng)拒 : (1) 病毒通過(guò)微軟的最新 RPC 漏洞進(jìn)行傳播，因此用戶應(yīng)先給系統(tǒng)打上 RPC (2) 病毒運(yùn)行時(shí)會(huì)建立一個(gè)名為 BILLY 的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個(gè)名為 第 13章 計(jì)算機(jī)病毒 (3) 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為 %systemdir%＼，用戶可以手動(dòng)刪除該病毒文件 (%systemdir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄 ) (4) 手工清除注冊(cè)表的 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows＼ CurrentVersion＼ Run 項(xiàng)中的 windows auto update= (5) 使用防火墻軟件將病毒會(huì)用到的 13 444 69 等端口禁止，或者使用“ TCP/IP 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 紅色代碼 Ⅱ 病毒是紅色代碼病毒的改良版，病毒作者對(duì)病毒體做了很多優(yōu)化，同樣可以對(duì)紅色代碼病毒可攻擊的聯(lián)網(wǎng)計(jì)算機(jī)發(fā)動(dòng)進(jìn)攻，它不同于以往的文件型病毒和引導(dǎo)型病毒，只存在于內(nèi)存，傳染時(shí)不通過(guò)文件這一常規(guī)載體，而是直接從一臺(tái)計(jì)算機(jī)內(nèi)存到另一臺(tái)計(jì)算機(jī)內(nèi)存。但與紅色代碼病毒不同的是，紅色代碼 Ⅱ 病毒這種新變型不僅只對(duì)英文系統(tǒng)發(fā)動(dòng)攻擊，還攻擊其他語(yǔ)言的系統(tǒng)，而且這種病毒還可以在遭到攻擊的機(jī)器上植入“特洛伊木馬”，使得被攻擊的機(jī)器“后門(mén)大開(kāi)”。 紅色代碼 Ⅱ 病毒擁有極強(qiáng)的可擴(kuò)充性，通過(guò)程序自行完成的木馬植入工作，使得病毒作者可以通過(guò)改進(jìn)此程序來(lái)達(dá) 第 13章 計(jì)算機(jī)病毒 紅色代碼 Ⅱ 病毒的程序流程如下 : 當(dāng)本地 IIS 服務(wù)程序收到某個(gè)來(lái)自紅色代碼 Ⅱ 病毒發(fā)的請(qǐng)求數(shù)據(jù)包時(shí)，因存在漏洞而導(dǎo)致處理函數(shù)的堆棧溢出 (overflow)。當(dāng)函數(shù)返回時(shí)，原返回地址已被病毒數(shù)據(jù)包覆蓋，程序運(yùn)行線跑到病毒數(shù)據(jù)包中，此時(shí)病毒被激活，并運(yùn)行在 IIS服務(wù)程序的堆棧中。病毒代碼首先會(huì)判斷內(nèi)存中是否已注冊(cè)了一個(gè)名為 CodeRed Ⅱ [JP]的 Atom (系統(tǒng)用于對(duì)象識(shí)別 )，如果已存在此對(duì)象，則表示此機(jī)器已被感染，病毒進(jìn)入無(wú)限休眠狀態(tài)，未感染則注冊(cè)Atom 并創(chuàng)建 300個(gè)病毒線程。 當(dāng)判斷到系統(tǒng)默認(rèn)的語(yǔ)言 ID 是中華人民共和國(guó)或中國(guó)臺(tái)灣時(shí)，線程數(shù)猛增到 600個(gè)，創(chuàng)建完畢后初始化病毒體內(nèi)的一個(gè)隨機(jī)數(shù)發(fā)生器，此發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)計(jì)算機(jī) IP 地址。 第 13章 計(jì)算機(jī)病毒 每個(gè)病毒線程每 100ms 就會(huì)向一隨機(jī)地址的 80 端口發(fā)送長(zhǎng)度為 3818 B的病毒傳染數(shù)據(jù)包。完成上述工作后，病毒將系統(tǒng)目錄下的 文件分別復(fù)制到系統(tǒng)根目錄＼ ipub＼ scripts 和＼ progra~1 mon~1 system＼[JP2]MSADC 下，并取名為 。然后從病毒體內(nèi)釋放出一個(gè)木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為，此木馬運(yùn)行后會(huì)調(diào)用系統(tǒng)原 ，運(yùn)行效果和正常 Explorer 程序無(wú)異，但注冊(cè)表中的很多項(xiàng)已被修改。由于釋放木馬的代碼是個(gè)循環(huán)，如果目的目錄下 發(fā)現(xiàn)被刪，則病毒又會(huì)釋放出一個(gè)木馬。最后病毒休眠 24 小時(shí) (中文版為 48小時(shí) )強(qiáng)行重啟計(jì)算機(jī)。當(dāng)病毒線程判斷日期大于 2023 年 10 月時(shí)，會(huì)立刻強(qiáng)行重啟計(jì)算機(jī)。 第 13章 計(jì)算機(jī)病毒 紅色代碼病毒的清除方案如下 : (1) (2) 斷掉網(wǎng)絡(luò)并重新啟動(dòng)系統(tǒng)，防止病毒通過(guò)網(wǎng)絡(luò)再次 (3) 刪除以下病毒釋放的木馬程序 : C: ＼ ipub＼ Scripts＼ 。 D: ＼ ipub＼ Scripts＼ 。 C: ＼ progra~1＼ Common~1＼ System＼ MSADC＼。 D: ＼ Progra~1＼ Common~1＼ System＼ MSADC＼ 第 13章 計(jì)算機(jī)病毒 使用以下命令刪除文件 : ATTRIB C: ＼ H A –R。 DEL C: ＼ 。 ATTRIB D: ＼ H A –R。 DEL D: ＼ 。 (4) 將鍵值 HKLM＼ SOFTWARE＼ Microsoft＼WindowsNT＼ Current Version＼ WinL改為 0 第 13章 計(jì)算機(jī)病毒 4. AV AV終結(jié)者病毒是由隨機(jī) 8位數(shù)字和字母組合而成的病毒，是閃存寄生病毒，它是通過(guò)閃存等存儲(chǔ)介質(zhì)或者注入服務(wù)器來(lái)實(shí)現(xiàn)的。“ AV終結(jié)者”病毒運(yùn)行后會(huì)在系統(tǒng)中生成如下幾個(gè)文件 : C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機(jī)生成病毒名 .dat。 C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機(jī)生成病毒名 .dll。 C: ＼ windows＼隨機(jī)生成病毒名 .chm 第 13章 計(jì)算機(jī)病毒 “ AV終結(jié)者”的病毒名是由大寫(xiě)字母 +數(shù)字隨機(jī)組合而成的，其長(zhǎng)度為 8位，可以說(shuō)生成同名病毒的概率是很低的。因此即使我們知道了這是病毒生成的文件，也無(wú)法通過(guò)病毒名在網(wǎng)絡(luò)上找到病毒的清除方法。 第 13章 計(jì)算機(jī)病毒 “ AV終結(jié)者”病毒運(yùn)行后會(huì)在本地磁盤(pán)和移動(dòng)磁盤(pán)中復(fù)制病毒文件和 ，當(dāng)用戶雙擊盤(pán)符時(shí)就會(huì)激活病毒，即使重裝系統(tǒng)也無(wú)法將病毒徹底清除。這是目前很多病毒熱衷的傳播方法，不少用戶也懂得刪除病毒生成的，但是當(dāng)我們進(jìn)入“文件夾”選項(xiàng)，想顯示 第 13章 計(jì)算機(jī)病毒 針對(duì)殺毒軟件的攻擊，是“ AV終結(jié)者”的特點(diǎn)。病毒會(huì)終止大部分的殺毒軟件和安全工具的進(jìn)程。國(guó)內(nèi)絕大多數(shù)的殺毒軟件和安全工具都被列入了黑名單。當(dāng)殺毒軟件暫時(shí)失去作用時(shí)，病毒就會(huì)乘勝追擊，通過(guò)一種“映像劫持”技 第 13章 計(jì)算機(jī)病毒 “映像劫持”會(huì)在注冊(cè)表的“ HKEY_LOCAL_MACHINE＼ SOFTWARE＼ Microsoft＼ Windows NT＼ CurrentVersion＼Image File Exeution Options”位置新建一個(gè)以殺毒軟件和安全工具程序名稱命名的項(xiàng)。建立完畢后，病毒還會(huì)在里面建立一個(gè) Debugger鍵，鍵值為“ c: ＼ progra~1＼ mon~1 ＼ micros~1＼ msinfo＼ ”。這樣當(dāng)我們雙擊運(yùn)行殺毒軟件的主程序時(shí)，運(yùn)行的其實(shí)是病毒程序。 第 13章 計(jì)算機(jī)病毒 為了避免在“任務(wù)管理器”中露出破綻，病毒會(huì)將自己的進(jìn)程注入到系統(tǒng)的資源管理器進(jìn)程 ，這樣我們就無(wú)法通過(guò)“任務(wù)管理器”發(fā)現(xiàn)病毒的進(jìn)程了。病毒進(jìn)程的主要作用是監(jiān)視系統(tǒng)中的用戶操作，例如用戶想手動(dòng)清除病毒，修改注冊(cè)表，病毒每隔一段時(shí)間就會(huì)把注冊(cè)表改回去，讓用戶做無(wú)用功 。另一個(gè)作用是監(jiān)視 IE窗口，發(fā)現(xiàn)用戶搜索病 第 13章 計(jì)算機(jī)病毒 此外，病毒還會(huì)破壞 Windows防火墻和安全模式，封堵用戶的后路。最重要的是，病毒會(huì)從網(wǎng)絡(luò)上下載大量盜號(hào)木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。其預(yù)防措施如下 : (1) 要禁止自動(dòng)播放功能，并能及時(shí)更新系統(tǒng)補(bǔ)丁，尤其是 MS06 014和 MS07 017 第 13章 計(jì)算機(jī)病毒 (2) 要限制 IFEO的讀寫(xiě)權(quán)，達(dá)到限制病毒通過(guò) IFEO劫持殺毒軟件的目的。運(yùn)行 regedit, 找到 HEKEY_LOCAL_MACHINE＼ SOFTWARE＼ microsoft＼windows NT＼ currentversion＼ image file execution options， 右擊此選項(xiàng)，在彈出的菜單中選擇“權(quán)限”，然后把a(bǔ)dministrators用戶組和 users用戶組的權(quán)限全部取消即可。最后，限制 SAFEBOOT , 達(dá)到限制“ AV終結(jié)者”修改或刪除 Drives (3) 把防病毒軟件病毒碼更新到最新，進(jìn)行全盤(pán)掃描。 第 13章 計(jì)算機(jī)病毒 5. 機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號(hào)的安全。 該病毒采用 hook系統(tǒng)的磁盤(pán)設(shè)備棧來(lái)達(dá)到穿透的目的，其危害極大，可穿透目前技術(shù)條件下的任何軟件、硬件還原。目前已知的還原產(chǎn)品都無(wú)法防止這種病毒的穿透感染和傳播。機(jī)器狗運(yùn)行后會(huì)釋放一 個(gè)名為 ，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤(pán)控制權(quán)的爭(zhēng)奪，并通過(guò)替換 ，實(shí)現(xiàn) 第 13章 計(jì)算機(jī)病毒 是否中了機(jī)器狗病毒的關(guān)鍵就在于 文件，該文件在系統(tǒng)目錄的 system32文件夾中，點(diǎn)擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標(biāo)簽，則說(shuō)明已經(jīng)中了機(jī)器狗病毒。 第 13章 計(jì)算機(jī)病毒 (1) 計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。傳染性是病毒的最基本的特征，此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發(fā)性、誘惑欺騙性 (2) 計(jì)算機(jī)病毒的感染動(dòng)作受到觸發(fā)機(jī)制的控制，病毒觸發(fā)機(jī)制還控制了病毒的破壞動(dòng)作。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運(yùn)行，協(xié)調(diào)其他模塊的運(yùn)作。染毒程 小 第 13章 計(jì)算機(jī)病毒 (3) 計(jì)算機(jī)病毒從其發(fā)展來(lái)看分為 4個(gè)階段。早期病毒攻擊的目標(biāo)較單一，病毒傳染目 標(biāo)以后的 特征比較明顯，病毒程序容易被人們分析和解剖。網(wǎng)絡(luò)時(shí)代，病毒與黑客程序結(jié)合，傳播速 度非常快， 破壞性更大，傳播渠道更多，實(shí)時(shí)檢測(cè)更困難。 第 13章 計(jì)算機(jī)病毒 (4) 引導(dǎo)型病毒和文件型病毒是典型的 DOS時(shí)代的病毒，對(duì)它們工作機(jī)理的研究同樣具 有重要的 意義。宏病毒不感染 EXE和 COM文件，它是利用 Microsoft Word的開(kāi)放性專門(mén)制作的具有 病毒特點(diǎn) 的宏的集合。宏病毒在 1997年非常流行，并且該年成為“宏病毒年”。網(wǎng)頁(yè)腳本病毒和蠕蟲(chóng) 病毒是隨著 網(wǎng)絡(luò)的發(fā)展而發(fā)展起來(lái)的，它們往往和木馬程序結(jié)合在一起 第 13章 計(jì)算機(jī)病毒 (5) 反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn)，并且必將伴隨著病毒的長(zhǎng)期存在而長(zhǎng)期存在下去。 反病毒技術(shù)一般有特征值掃描技術(shù)、啟發(fā)式分析技術(shù)、完整性驗(yàn)證技術(shù)、虛擬機(jī)技術(shù)、沙箱技術(shù)及計(jì)算機(jī)免疫技術(shù)、動(dòng)態(tài)陷阱技術(shù)、軟件模擬技術(shù)、數(shù)據(jù)挖掘技術(shù)、預(yù)先掃描技 (6) 計(jì)算機(jī)病毒發(fā)展到現(xiàn)在，其品種千變?nèi)f化，掌握一些經(jīng)典的計(jì)算機(jī)病毒是必須的。 第 13章 計(jì)算機(jī)病毒 1. 計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組 或者 2. 3. 從制作結(jié)構(gòu)上分析，計(jì)算機(jī)病毒一般包括 、 、 和 4大功能模塊。 習(xí) 第 13章 計(jì)算機(jī)病毒 4. 機(jī)器狗運(yùn)行后會(huì)釋放一個(gè)名為 的驅(qū)動(dòng)文件，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤(pán)控制權(quán)的爭(zhēng)奪，并通過(guò)替換 5. 網(wǎng)絡(luò)時(shí)代，病毒的發(fā)展呈現(xiàn)出的趨勢(shì)是 : 、 、 、 、 。 第 13章 計(jì)算機(jī)病毒 1. 2. 3. 4. 紅色代碼 Ⅱ 5. AV 第 13章 計(jì)算機(jī)病毒 演講完畢，謝謝觀看！