【正文】 潰， Windows XP 系統(tǒng)可能會自動重啟計算機。該蠕蟲病毒不能成功攻擊 Windows Server 2023，但是可以造成 Windows Server 2023 系統(tǒng)的 RPC 服務(wù)崩潰，默 第 13章 計算機病毒 (10) 病毒檢測到當(dāng)前系統(tǒng)月份是 8 月之后或者日期是 15 日之后，就會向微軟的更新站點 windows 發(fā)動拒 : (1) 病毒通過微軟的最新 RPC 漏洞進(jìn)行傳播，因此用戶應(yīng)先給系統(tǒng)打上 RPC (2) 病毒運行時會建立一個名為 BILLY 的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個名為 第 13章 計算機病毒 (3) 病毒運行時會將自身復(fù)制為 %systemdir%＼，用戶可以手動刪除該病毒文件 (%systemdir%是一個變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄 ) (4) 手工清除注冊表的 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows＼ CurrentVersion＼ Run 項中的 windows auto update= (5) 使用防火墻軟件將病毒會用到的 13 444 69 等端口禁止，或者使用“ TCP/IP 第 13章 計算機病毒 第 13章 計算機病毒 第 13章 計算機病毒 紅色代碼 Ⅱ 病毒是紅色代碼病毒的改良版，病毒作者對病毒體做了很多優(yōu)化，同樣可以對紅色代碼病毒可攻擊的聯(lián)網(wǎng)計算機發(fā)動進(jìn)攻，它不同于以往的文件型病毒和引導(dǎo)型病毒，只存在于內(nèi)存，傳染時不通過文件這一常規(guī)載體，而是直接從一臺計算機內(nèi)存到另一臺計算機內(nèi)存。但與紅色代碼病毒不同的是，紅色代碼 Ⅱ 病毒這種新變型不僅只對英文系統(tǒng)發(fā)動攻擊，還攻擊其他語言的系統(tǒng)，而且這種病毒還可以在遭到攻擊的機器上植入“特洛伊木馬”，使得被攻擊的機器“后門大開”。 紅色代碼 Ⅱ 病毒擁有極強的可擴充性，通過程序自行完成的木馬植入工作，使得病毒作者可以通過改進(jìn)此程序來達(dá) 第 13章 計算機病毒 紅色代碼 Ⅱ 病毒的程序流程如下 : 當(dāng)本地 IIS 服務(wù)程序收到某個來自紅色代碼 Ⅱ 病毒發(fā)的請求數(shù)據(jù)包時，因存在漏洞而導(dǎo)致處理函數(shù)的堆棧溢出 (overflow)。當(dāng)函數(shù)返回時，原返回地址已被病毒數(shù)據(jù)包覆蓋，程序運行線跑到病毒數(shù)據(jù)包中，此時病毒被激活，并運行在 IIS服務(wù)程序的堆棧中。病毒代碼首先會判斷內(nèi)存中是否已注冊了一個名為 CodeRed Ⅱ [JP]的 Atom (系統(tǒng)用于對象識別 )，如果已存在此對象，則表示此機器已被感染，病毒進(jìn)入無限休眠狀態(tài)，未感染則注冊Atom 并創(chuàng)建 300個病毒線程。 當(dāng)判斷到系統(tǒng)默認(rèn)的語言 ID 是中華人民共和國或中國臺灣時，線程數(shù)猛增到 600個，創(chuàng)建完畢后初始化病毒體內(nèi)的一個隨機數(shù)發(fā)生器，此發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)計算機 IP 地址。 第 13章 計算機病毒 每個病毒線程每 100ms 就會向一隨機地址的 80 端口發(fā)送長度為 3818 B的病毒傳染數(shù)據(jù)包。完成上述工作后，病毒將系統(tǒng)目錄下的 文件分別復(fù)制到系統(tǒng)根目錄＼ ipub＼ scripts 和＼ progra~1 mon~1 system＼[JP2]MSADC 下，并取名為 。然后從病毒體內(nèi)釋放出一個木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為，此木馬運行后會調(diào)用系統(tǒng)原 ，運行效果和正常 Explorer 程序無異，但注冊表中的很多項已被修改。由于釋放木馬的代碼是個循環(huán)，如果目的目錄下 發(fā)現(xiàn)被刪，則病毒又會釋放出一個木馬。最后病毒休眠 24 小時 (中文版為 48小時 )強行重啟計算機。當(dāng)病毒線程判斷日期大于 2023 年 10 月時，會立刻強行重啟計算機。 第 13章 計算機病毒 紅色代碼病毒的清除方案如下 : (1) (2) 斷掉網(wǎng)絡(luò)并重新啟動系統(tǒng)，防止病毒通過網(wǎng)絡(luò)再次 (3) 刪除以下病毒釋放的木馬程序 : C: ＼ ipub＼ Scripts＼ 。 D: ＼ ipub＼ Scripts＼ 。 C: ＼ progra~1＼ Common~1＼ System＼ MSADC＼。 D: ＼ Progra~1＼ Common~1＼ System＼ MSADC＼ 第 13章 計算機病毒 使用以下命令刪除文件 : ATTRIB C: ＼ H A –R。 DEL C: ＼ 。 ATTRIB D: ＼ H A –R。 DEL D: ＼ 。 (4) 將鍵值 HKLM＼ SOFTWARE＼ Microsoft＼WindowsNT＼ Current Version＼ WinL改為 0 第 13章 計算機病毒 4. AV AV終結(jié)者病毒是由隨機 8位數(shù)字和字母組合而成的病毒，是閃存寄生病毒，它是通過閃存等存儲介質(zhì)或者注入服務(wù)器來實現(xiàn)的。“ AV終結(jié)者”病毒運行后會在系統(tǒng)中生成如下幾個文件 : C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機生成病毒名 .dat。 C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機生成病毒名 .dll。 C: ＼ windows＼隨機生成病毒名 .chm 第 13章 計算機病毒 “ AV終結(jié)者”的病毒名是由大寫字母 +數(shù)字隨機組合而成的，其長度為 8位，可以說生成同名病毒的概率是很低的。因此即使我們知道了這是病毒生成的文件，也無法通過病毒名在網(wǎng)絡(luò)上找到病毒的清除方法。 第 13章 計算機病毒 “ AV終結(jié)者”病毒運行后會在本地磁盤和移動磁盤中復(fù)制病毒文件和 ，當(dāng)用戶雙擊盤符時就會激活病毒，即使重裝系統(tǒng)也無法將病毒徹底清除。這是目前很多病毒熱衷的傳播方法，不少用戶也懂得刪除病毒生成的，但是當(dāng)我們進(jìn)入“文件夾”選項，想顯示 第 13章 計算機病毒 針對殺毒軟件的攻擊，是“ AV終結(jié)者”的特點。病毒會終止大部分的殺毒軟件和安全工具的進(jìn)程。國內(nèi)絕大多數(shù)的殺毒軟件和安全工具都被列入了黑名單。當(dāng)殺毒軟件暫時失去作用時，病毒就會乘勝追擊，通過一種“映像劫持”技 第 13章 計算機病毒 “映像劫持”會在注冊表的“ HKEY_LOCAL_MACHINE＼ SOFTWARE＼ Microsoft＼ Windows NT＼ CurrentVersion＼Image File Exeution Options”位置新建一個以殺毒軟件和安全工具程序名稱命名的項。建立完畢后，病毒還會在里面建立一個 Debugger鍵，鍵值為“ c: ＼ progra~1＼ mon~1 ＼ micros~1＼ msinfo＼ ”。這樣當(dāng)我們雙擊運行殺毒軟件的主程序時，運行的其實是病毒程序。 第 13章 計算機病毒 為了避免在“任務(wù)管理器”中露出破綻，病毒會將自己的進(jìn)程注入到系統(tǒng)的資源管理器進(jìn)程 ，這樣我們就無法通過“任務(wù)管理器”發(fā)現(xiàn)病毒的進(jìn)程了。病毒進(jìn)程的主要作用是監(jiān)視系統(tǒng)中的用戶操作，例如用戶想手動清除病毒，修改注冊表，病毒每隔一段時間就會把注冊表改回去，讓用戶做無用功 。另一個作用是監(jiān)視 IE窗口，發(fā)現(xiàn)用戶搜索病 第 13章 計算機病毒 此外，病毒還會破壞 Windows防火墻和安全模式，封堵用戶的后路。最重要的是，病毒會從網(wǎng)絡(luò)上下載大量盜號木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。其預(yù)防措施如下 : (1) 要禁止自動播放功能，并能及時更新系統(tǒng)補丁，尤其是 MS06 014和 MS07 017 第 13章 計算機病毒 (2) 要限制 IFEO的讀寫權(quán)，達(dá)到限制病毒通過 IFEO劫持殺毒軟件的目的。運行 regedit, 找到 HEKEY_LOCAL_MACHINE＼ SOFTWARE＼ microsoft＼windows NT＼ currentversion＼ image file execution options， 右擊此選項，在彈出的菜單中選擇“權(quán)限”，然后把administrators用戶組和 users用戶組的權(quán)限全部取消即可。最后，限制 SAFEBOOT , 達(dá)到限制“ AV終結(jié)者”修改或刪除 Drives (3) 把防病毒軟件病毒碼更新到最新，進(jìn)行全盤掃描。 第 13章 計算機病毒 5. 機器狗是一個木馬下載器，感染后會自動從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號的安全。 該病毒采用 hook系統(tǒng)的磁盤設(shè)備棧來達(dá)到穿透的目的，其危害極大，可穿透目前技術(shù)條件下的任何軟件、硬件還原。目前已知的還原產(chǎn)品都無法防止這種病毒的穿透感染和傳播。機器狗運行后會釋放一 個名為 ，與原系統(tǒng)中還原軟件驅(qū)動進(jìn)行硬盤控制權(quán)的爭奪，并通過替換 ，實現(xiàn) 第 13章 計算機病毒 是否中了機器狗病毒的關(guān)鍵就在于 文件，該文件在系統(tǒng)目錄的 system32文件夾中，點擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標(biāo)簽，則說明已經(jīng)中了機器狗病毒。 第 13章 計算機病毒 (1) 計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。傳染性是病毒的最基本的特征，此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發(fā)性、誘惑欺騙性 (2) 計算機病毒的感染動作受到觸發(fā)機制的控制，病毒觸發(fā)機制還控制了病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運行，協(xié)調(diào)其他模塊的運作。染毒程 小 第 13章 計算機病毒 (3) 計算機病毒從其發(fā)展來看分為 4個階段。早期病毒攻擊的目標(biāo)較單一，病毒傳染目 標(biāo)以后的 特征比較明顯，病毒程序容易被人們分析和解剖。網(wǎng)絡(luò)時代，病毒與黑客程序結(jié)合，傳播速 度非?？?， 破壞性更大，傳播渠道更多，實時檢測更困難。 第 13章 計算機病毒 (4) 引導(dǎo)型病毒和文件型病毒是典型的 DOS時代的病毒，對它們工作機理的研究同樣具 有重要的 意義。宏病毒不感染 EXE和 COM文件，它是利用 Microsoft Word的開放性專門制作的具有 病毒特點 的宏的集合。宏病毒在 1997年非常流行，并且該年成為“宏病毒年”。網(wǎng)頁腳本病毒和蠕蟲 病毒是隨著 網(wǎng)絡(luò)的發(fā)展而發(fā)展起來的，它們往往和木馬程序結(jié)合在一起 第 13章 計算機病毒 (5) 反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn)，并且必將伴隨著病毒的長期存在而長期存在下去。 反病毒技術(shù)一般有特征值掃描技術(shù)、啟發(fā)式分析技術(shù)、完整性驗證技術(shù)、虛擬機技術(shù)、沙箱技術(shù)及計算機免疫技術(shù)、動態(tài)陷阱技術(shù)、軟件模擬技術(shù)、數(shù)據(jù)挖掘技術(shù)、預(yù)先掃描技 (6) 計算機病毒發(fā)展到現(xiàn)在，其品種千變?nèi)f化，掌握一些經(jīng)典的計算機病毒是必須的。 第 13章 計算機病毒 1. 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組 或者 2. 3. 從制作結(jié)構(gòu)上分析，計算機病毒一般包括 、 、 和 4大功能模塊。 習(xí) 第 13章 計算機病毒 4. 機器狗運行后會釋放一個名為 的驅(qū)動文件，與原系統(tǒng)中還原軟件驅(qū)動進(jìn)行硬盤控制權(quán)的爭奪，并通過替換 5. 網(wǎng)絡(luò)時代，病毒的發(fā)展呈現(xiàn)出的趨勢是 : 、 、 、 、 。 第 13章 計算機病毒 1. 2. 3. 4. 紅色代碼 Ⅱ 5. AV 第 13章 計算機病毒 演講完畢，謝謝觀看！