1、河北理工大学毕业设计说明书 第 1 页 共 83 页目 录引 言 1第一章 计算机病毒简介 21.1 计算机病毒的认识 21.1.1 计算机病毒的产生 .21.1.2 计算机病毒的起源识 .41.2 计算机病毒的结构特征 41.2.1 病毒的结构 .41.2.2 病毒的特征 .51.3 计算机病毒的发展历史 61.4 蠕虫病毒 61.5 计算机病毒发展趋势 .10第二章 冲击波病毒简述 .112.1 冲击波病毒介绍 .112.2 冲击波病毒的操作与症状 112.2.1 冲击波病毒的操作 112.2.2 计算机病毒的发作症状 122.3 冲击波病毒的具体说明 132.4 冲击波病毒的解决方案 .
2、142.4.1 应急解决 142.4.2 DOS 下清除该病毒 .152.4.3 安全模式下清楚该病毒 152.4.4 安全建议 17第三章 VB 介绍 183.1 VB 的诞生 183.2 VB 的特性 183.3 VB 中的 API 函数 19河北理工大学毕业设计说明书 第 2 页 共 83 页3.3.1 什么是 API 函数 193.3.2 软件中涉及的 API 函数及其定义 20第四章 冲击波的杀毒软件 .234.1 杀毒软件介绍 .234.2 杀毒软件具体实现 .254.3 杀毒软件流程图 .29第五章 设计总结 .30致谢 .36参考文献 .37附录 .38河北理工大学毕业设计说明
3、书 第 3 页 共 83 页摘 要目前,计算机病毒可以渗透信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,因此研究对算机病毒的分析与清除的方法是迫在眉睫的,本论文从对病毒的分析入手,结合计算机病毒传染的现状,概述了计算机病毒的发展历史及危害性,给出计算机病毒的一种计算模型,并针对具体的实例冲击波病毒,初步分析其有关性质和作用原理,仔细阅读它的源程序,根据病毒的发作机制,提出了它的清除方式。冲击波病毒主要是利用微软系统的漏洞,实现其破坏目的的。我主要是采用对所有的文件进行二进制扫描,如果发现病毒特征码就认为是病毒感染文件,保留文件的路径后,根据路径删除感染
4、文件,同时清楚注册表中被病毒改写过的内容。从而最终实现其杀毒的目的。关键词:病毒 冲击波 二进制 路径 注册表全套源程序代码,联系 153893706河北理工大学毕业设计说明书 第 4 页 共 83 页AbstractAt present, computer virus could permeate every region of the society. And it brings great destruction and potential threat to the computer system. In order to insure the safety and expedite
5、of the information, so study the analysis which is computer virus and the method which is used to clear away the virus is pressing. This paper generalizes the development and the harm of the computer virus, by analyzing the actuality of the computer virus and beginning with analysis of the computer
6、virus. We also get a compute model of the computer virus , our model is more practical and reasonable in respect of the computer virus characters of infection and spread. According a in detail example that is Worm. Blaster, preliminarily analyze the character and action principle about the Worm. Bla
7、ster, carefully read its source program,according to the outbreak mechanism of the virus bring forward its way which is used to clear way. Worm. Blaster accomplishes destructive aim by using the leak of Microsoft system. We mainly use binary scanning which is used for all files. If finding out chara
8、cteristic, we will consider that it is the file that is infected by computer virus. After conserving the path which is infected file, according this path delete this file. At the same time clear off the content of the register which is recomposed by computer virus. Thereby we finally accomplish the
9、aim which is clear off virus.Keywords: virus Worm. Blaster binary path register河北理工大学毕业设计说明书 第 5 页 共 83 页引 言随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与
10、军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒越来越受到各国的高度重视。在科技年鉴记载的种种丰功伟绩当中,在科技年鉴记载的种种丰功伟业当中,Fred Cohen 的贡献绝对堪称一绝:是他把“ 病毒”(virus)一词引进电脑词典。 在 1984 年发表的研究论文中,这位 New Haven 大学教授首度使用“病毒”一词,用来形容会自我扩散的程序及其带来的威胁,并建议可能的防御之道。21 世纪全世界的计算机都将通过 Internet 联到一起,这是一个信息的社会、网络的社会,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专
11、门的领域变成了无处不在。 计算机病毒是能改变或破坏存在计算机中的数据的程序,而且它能在操作过程中不断自我复制,从而造成损害。1987 年,计算机病毒在美国四处蔓延,而且第一种计算机病毒“小球”在当年年底传播到我国。从那以后,已经发现进口和国内的病毒。迄今为止,计算机病毒已经增加到 20,000 多种;其中90以上能攻击微型计算机。在本次设计中,我主要是选择了冲击波病毒作为研究的课题。通过对冲击波的有关性质和作用原理进行系统的分析,找到它的发作机制,提出了一套事实可行的解决方案。主要是采用对所有的文件进行二进制扫描,如果发现病毒特征码就认为是病毒感染文件,保留文件的路径后,根据路径删除感染文件,
12、同时清楚注册表中被病毒改写过的内容。河北理工大学毕业设计说明书 第 6 页 共 83 页第一章 计算机病毒的简介1、1 计算机病毒的认识什么是计算机病毒,怎样预防及消灭病毒?关于这个话题,众说纷纭。有人说,只要拥有了一套功能强大的杀毒软件便万事大吉;有人说,只要不上网就可抗拒病毒的侵害;还有人认为,只要定期格式化硬盘就能把病毒扼制在萌芽状态面对种种说法,其实病毒不是那么神奇,对它的预防与剿灭也远不是如此简单。计算机病毒(computer virus)最早是由美国计算机病毒研究专家F.Conhen 博士提出,病毒,是指能够破坏计算机系统,影响计算机工作并能实现自我复制的一段程序或指令代码。它有着
13、与生物病毒极为相似的特点。一是寄生性,它们大多依附在别的程序上面。二是隐蔽性,它们是悄然进入系统的,人们很难察觉。三是潜伏性,它们通常是潜伏在计算机程序中,只在一定条件下才发作的。四是传染性,它们能够自我复制繁殖,通过传输媒介蔓延。五是破坏性,轻则占用一定数量的系统资源,重则破坏整个系统。随着计算机工业的发展,病毒程序层出不穷,到了 21 世纪的今天它的种类已经达到千万种。虽然病毒的类型有很多,变型的病毒更无法计算,但是就其传染对象来分只不过四类:BIOS、硬盘引导区、操作系统与应用程序病毒。1、1、1 计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段
14、的必然产物。它产生的背景是:(1)计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。河北理工大学毕业设计说明书 第 7 页 共 83 页(2)计算机软硬件产品的危弱性是根本的技术原因计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中
15、。这些脆弱性就为病毒的侵入提供了方便。(3)微机的普及应用是计算机病毒产生的必要环境1983 年 11 月 3 日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在 IBMPC 系统及其兼容机上广泛流行着各种病毒就很说明这个问题。其产生原因也不外乎以下几种:1. 一些计算机爱好者出于好奇或者兴
16、趣,也有的是为了满足自己的表现欲。故意编制出一些特殊的计算机程序,以显示自己的才干。次类病毒破坏性一般不大。2. 产生于个别人的报复心理,此种病毒对电脑用户会造成一定的灾难。3. 来源于软件加密。一些商业软件公司为了不让自己的软件被非法复制和使用,运用加密技术,编写一些特殊程序附加在正版软件上, 如遇到非法使用,则此类程序自动激活,于是又会产生新的病毒,如巴基斯坦病毒。4. 用于研究或实验而设计的“有用“的程序,由于某种原因失去控制而扩散出来5. 由于政治,经济和军事等特殊目的,一些组织或个人也会编写一些程序用于进攻对方的电脑,给对法官造成灾难或者直接经济损失。其感染的途径主要有1. 引进的计
17、算机系统和软件中带有病毒河北理工大学毕业设计说明书 第 8 页 共 83 页2. 各类出国人员带回的计算机和软件染有病毒3. 染有病毒的游戏软件4. 非法拷贝病毒5. 计算机生产,经营单位销售的计算机和软件染有病毒6. 维修部门交叉感染7. 有人研制,改造病毒8. 敌对分子以病毒为媒体或武器进行宣传和破坏9. 通过互联网(访问 Web,下载 E-Mail 和文件等)传入的1、1、2 计算机病毒的起源计算机病毒并非是最近才出现的新产物。事实上,早在 1949 年,距离第一部商用电脑的出现仍有好几年,电脑的先驱者冯.诺伊曼(John Von Neumann)在他所提出的一篇论问复杂自动装置的理论及
18、组织的进行中勾勒出了病程序的蓝图。他指出,数据和程序并无本质的区别。十年后,在美国电话电报公司(AT&T)的贝尔(Bell)实验室中,这些观念在一种很奇怪的电子游戏中实现了,这种电子游戏叫做“磁芯大战”(core war)这其实就是病毒的起源。1、2 计算机病毒的结构和特征1、2、1 病毒的结构计算机病毒是能改变或破坏存在计算机中的数据的程序,而且它能在操作的过程中不断复制自己,从而造成更大的损害。综合分析计算机病毒它通常由五部分构成:感染符、传染模块、破坏模块、触发模块和主要控制模块。(1)感染符感染符也称作病毒签名,由若干数字或字符的 ASCII 编码构成。当病毒传染正常程序时,它在程序上
19、留下病毒签名作为感染符。在病毒打算传染一个程序时,它首先检查是否有感染符;如果有,程序就已经被感染,病毒不会进一步传染它,如果没有,就传染它。多数病毒遵循这种一次性传染。如果病毒不检查感染符,则可能发生多次传染,该程序的长度将不断增加,这种情况很少见。(2)传染模块河北理工大学毕业设计说明书 第 9 页 共 83 页这是传染寄宿程序的模块。它完成三项任务:查找可执行的文件或被覆盖的文件检查该文件上是否有感染符传染它如果没有发现感染符,就在寄宿程序中写人病毒编码。(3)破坏模块破坏模块主要是负责按照病毒设计者在破坏编码中的企图执行破坏任务,包括删除文件、删除数据、格式化软盘和硬盘、降低计算机效率
20、和减少使用空间等。(4)触发模块它主要是检查是否具备触发条件(例如,日期、时间、资源、传染时间、中断调用、启动次数等)。如果条件成熟,它返回“真”值,并且调人破坏模块进行破坏,否则它返回“假”值。(5)主要控制模块控制模块顾名思义它是控制上述四个模块的。此外,它还确保受传染的程序能继续正常工作,在意外情况下不会发生死机。1、2、2 病毒的特征根据病毒的结构分析,综合各种病毒的发作机制和以及它们的关系原理,可以发现所有病毒是有共同特征的,主要表现在基本特征和一般特征两个方面。一、基本特征(1)传染:计算机病毒作为一个程序,能自我复制到其他正常程序或者系统的某些部件上,例如磁盘的引导部分。这是病毒
21、程序的基本特征。随着网络日益广泛发展,计算机病毒能够在短时间内通过网络广泛传播。(2)潜伏:隐藏在受感染系统内的病毒并不立即发作;相反,在它发作前,需要一定时间或具备某些条件。在潜伏期内,它并不表现出任何扰乱行动,因此很难发现病毒并且病毒能够继续传播。一旦病毒发作,它能造成严重破坏。(3)可触发性:一旦具备某些条件,病毒便开始攻击。这一特征称作可触发性。利用这一特征,我们能控制其传染范围和攻击频率。触发病毒的条件可能是预设的日期、时间、文件种类或计算机启动次数等。河北理工大学毕业设计说明书 第 10 页 共 83 页(4)破坏:计算机病毒造成的破坏是广泛的它不仅破坏计算机系统、删除文件、更改数
22、据等,而且还能占用系统资源、扰乱机器运行等。其破坏表现出设计者的企图。(5)非授权:一般正常程序是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的,透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时,窃取到系统的控制权,先于正常程序执行,病毒的动作,目的对用户是未知的,是未经用户允许的。病毒的执行对系统而言是未授权的(6)不可预见:从病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒他们的代码千差万别,但有些操作上一共有的(常驻内存,改中断) 。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新的病毒,但由于目
23、前的软件种类极其丰富,且有些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术,使用这种方法对病毒进行检测势必会造成较多的误报,而且病毒制作技术也在不断的提高,病毒技术对反病毒软件永远是超前,不可预见的。二、一般特征(1)快速影响:1984 年,弗雷德科登博士获准在使用 UNIX 操作系统的XAX11 / 750 计算机上进行病毒实验。在多次实验中,计算机瘫痪的平均时间为 30 分钟,最短的时间为 5 分钟。通常,如果受传染的微机与因特网相联,则病毒在几小时内能传染数千台计算机。(2)难以消除:一方面,日复一日出现新病毒或其变种;另一方面,一些病毒在被消除后可能死灰复燃,例如在重新使用受感
24、染的软盘时。(3)载体特征:病毒能够作为载体传播正常信息,因而避开我们在系统中设置的保护措施。在用户正常操作系统时,病毒偷偷控制系统。用户可能还认为他的系统运行正常。(4)难以探测:病毒通过各种超出我们控制的方式传染,此外,随着非法复制和盗版软件大行其道,病毒探测变得更加困难。(5)欺骗特征:病毒往往隐藏自己,避免被探测到。1、3 计算机病毒发展的历史河北理工大学毕业设计说明书 第 11 页 共 83 页第一个计算机病毒是在科学家的实验室诞生的,这一天是 1983 年 11 月 3日,距离今天整整 20 年。在这 20 年间,共诞生了一万多种病毒,极大地威胁着我们的计算机信息安全。在第一个病毒
25、诞生后,一些技术天才逐渐掌握了病毒的制作技术。1986 年初,在巴基斯坦小镇拉合尔,巴锡特和阿姆杰德两兄弟编写了 Brain 病毒,被感染的电脑都会在屏幕上闪烁一则信息,为两兄弟经营的 Brain 计算机服务公司做广告。Brain 病毒在一年内流传到了世界各地,使人们认识到计算机病毒对 PC 机的影响。1987 年,计算机病毒第一次大爆发,大麻、IBM 圣诞树、黑色星期五等病毒突然袭击,使众多计算机用户甚至专业人员都惊慌失措。人们甚至只好在星期五关闭计算机以免被黑色星期五摧毁系统。1988 年,一个蠕虫病毒钻进了 Internet 网络,致使网络中的 6000 多台 UNIX 计算机受到感染,
26、直接经济损失达 9600 万美元。作者是美国康耐尔大学 23 岁的研究生罗伯特莫里斯,不过他后来改邪归正,成为了美国军方的安全专家。同年,著名的小球病毒登陆中国,中国的计算机用户第一次尝到了病毒的厉害。到了 1995 年,病毒的制作技术更加多样化,传统的反病毒技术已经力不从心。以变形金刚病毒为代表的变形病毒出现了。它可以根据数学原理改变自身的特征,让反病毒软件难以察觉它的存在。科学家发现在它背后有一种“计算机病毒生产机”软件,这种软件可以随意产生变形病毒。“魔高一尺,道高一丈”,反病毒专家终于研究出了虚拟机技术,这种技术可以引诱变形病毒现出真身,从而把它消灭。1996 年,病毒继续发展,出现了
27、针对微软公司 Office 系列的宏病毒。它看起来像是 Word 文件,却包含有一段病毒程序,打开之后就可以运行。1998年,台湾的陈盈豪编写了历史上破坏最大的计算机病毒CIH,它是第一个直接攻击、破坏硬件的计算机病毒。1998 年后,随着 Internet 的高速发展,病毒的种类越来越多,传播越来越广,红色代码、尼姆达、冲击波等病毒为代表的网络病毒大量出现,给用户造成的经济损失也越来越大。反病毒技术期待再次创新,人们和计算机病毒之间的战争注定将继续下去。河北理工大学毕业设计说明书 第 12 页 共 83 页通过上面对计算机病毒的简单了解,让我们对它有了一个初步认识。在意识上不再是望而生惧的感
28、觉,但是我们知道计算机一旦感染病毒就会给我们带来很多不必要的麻烦,因此如何预防病毒是一件刻不容缓的工作。下面我将选择冲击波病毒,具体介绍它的机制和原理,从而完成杀毒的最终目的。1、4 蠕虫病毒蠕虫病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。其实脚本病毒是很容易制造的
29、,它们都利用了视窗系统的开放性的特点。特别是 COM 到 COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能。以 VB 脚本病毒(如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage 病毒等)为例,他们都是把.vbs 脚本文件添在附件中,最后使用*.htm.vbs 等欺骗性的文件名。病毒需要传播,电子邮件病毒的传播无疑是通过电子邮件传播的。对于OutLook 来说地址簿的功能相当不错,可是也给病毒的传播打开了方便之门。几乎所有通过 OutLook 传播的电子邮件病毒都是向地址簿中存储的电子邮件地址发送内同相同的脚本附件完成的。要使病毒潜伏,对于“脚本”语
30、言并不是很难的一件事,因为这种语言并不是面向对象的可视化编程,自然就不存在窗体,所以可以免去隐藏窗体的麻烦。从 I love you 病毒中,很容易看出蠕虫病毒在潜伏时的特点,它们多数是修改注册表等信息以判断各种条件及取消一些限制。网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带有破坏性的程序改名字,比如把 改成 ,那样病毒的河北理工大学毕业设计说明书 第 13 页 共 83 页编辑者就无发实现用调用本地命令来实现这一功能。它是通过死循环语句完成的,且一开机就运行这程序,等待触发条件。用 Ctrl+Al
31、t+Del 弹出关闭程序对话框方可看见一个叫 Wscript.exe 的程序在后台运行(那样的程序不一定是病毒,但病毒也常常伪装成那样的程序),我们为了防止病毒对我们的机算机进行破坏,我们不得不限制这类程序的运行时间(宁可错杀一千,也不可放过一个),以达到控制的效果。首先在“开始”菜单的“运行”里输入“Wscript”,然后会弹出一个窗体。单击“经过以下数秒终止脚本”前面的复选框,使复选框前面打起钩,然后调整下方的时间设为最小值即可。这样可以破解一部分这样的病毒的潜伏,消除潜伏性自然触发性就破解了。另外,由于蠕虫病毒大多是用 VBScript 脚本语言编写的,而 VBScript 代码是通过
32、Windows Script Host 来解释执行的,因此将 Windows Script Host删除,就再也不用担心这些用 VBS 和 JS 编写的病毒了!从另一个角度来说,Windows Script Host 本来是被系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH 并没有多大用处,所以我们可以禁止 Windows Script Host。卸载 Windows Scripting Host:在 Windows98 中(NT4.0 以上同理),打开“控制面板”,打开“添加/删除程序”,点选“Windows 安装程序”,再鼠标双击其中的“附件
33、”一项,然后再在打开的窗口中将“Windows Scripting Host”一项的“对勾”去掉,然后点“确定”,再点“确定”,这样就可以将 Windows Scripting Host 卸载。 如果你嫌麻烦,可以到 Windows 目录中,找到 WScript.exe 和JScript.exe,更改其名称或者干脆删除。 3.接下来就该破解病毒的自我复制能力功能模块。河北理工大学毕业设计说明书 第 14 页 共 83 页大多数利用 VBscript 编写的病毒,自我复制的原理基本上是利用程序将本身的脚本内容复制一份到一个临时文件,然后再在传播的环节将其作为附件发送出去。而该功能的实现离不开“F
34、ileSystemObject”对象,因此禁止了“FileSystemObject”就可以有效的控制 VBS 病毒的传播。具体操作方法:用regsvr32 scrrun.dll /u 这条命令就可以禁止文件系统对象。4.破解完了以上四个功能模块,自然第五个功能模块传播性就不攻自破了。你还记不记得以上我们所说过的破解功能模块的不足,虽然限制别人不能调用你的带有破坏性的程序,但你也别忘了,别人可以用网页拷贝的方式放入你的计算机中,再通过以上方法对你的计算机进行危害。要彻底防治网络蠕虫病毒,还须设置一下你的浏览器。方法是:在 IE 窗口中点击“工具Internet 选项,在弹出的对话框中选择“安全”
35、标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有 ActiveX 插件和控件以及 Java 相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用 ActiveX 的网站无法浏览。1、5 病毒的发展趋势1病毒向有智能和有目的的方向发展。2未来凡能造成重大危害的,绝大多数是如蠕虫。蠕虫的特征是快速不断复制自身,以求在最短的时间内传播到最大的范围。3病毒开始与黑客技术结合,他们的结合将给世界带来不可估量的损失。4病毒的大面积传播与网络的发展密不可分5基于分布式通信的病毒很可能在不久即将出现。6未来病毒与反病毒之间比的就是速度,而增强对新病毒的反应和
36、处理速度将成为核心。河北理工大学毕业设计说明书 第 15 页 共 83 页第二章 冲击波病毒的简述2、1 冲击波病毒的介绍2003 年 7 月 16 日,微软曾发布消息,表示其 Windows 操作系统中广泛存在着一处漏洞,即 RPCDCOM 漏洞,并提醒用户打补丁,然而并没有受到重视。在同一年的 8 月 12 日,冲击波病毒被瑞星全球反病毒监测网率先截获。它是一种高危险的网络蠕虫病毒,利用 RPC 的 DCOM 接口的漏洞,向远端系统上的 RPC系统服务所监听的端口发送攻击代码,能够使遭受攻击的系统操作异常、不停重启,甚至导致系统崩溃,并通过网络向仍有此漏洞的计算机传播这种病毒。另外,改病毒
37、还会对微软地一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。病毒别名:W32/Lovsan.worm McAfee/Kaspersky, Win32.Poza CA, Lovsan F-Secure, WORM_MSBLAST.A Trend, W32/Blaster-A Sophos, W32/Blaster Panda冲击波病毒长 6176 bytes, 主要影响 Microsoft Windows 2000 ,Microsoft Windows XP ,Microsoft Windows Server 2003 系统,在这种病毒中隐藏地存在一段文本信息:I j
38、ust want to say LOVE YOU SAN! Bill gates why do you make this possible? Stop making money and fix your software!它是后门和蠕虫功能混合型地病毒,包括三个组件:蠕虫载体、FTP 服务器文件、攻击模块,病毒会下载并运行病毒文件 msblast.exe 病毒特征描述:病毒体采用 UPX 进行压缩处理。利用 TCP 135 端口,通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ” (DCOM RPC) 漏洞进行攻击。2、2 冲击波病毒的操作和症状河北理工大学毕业设计说明书
39、 第 16 页 共 83 页计算机一旦感染上这种蠕虫病毒,就会在网络中持续扫描,寻找容易受到攻击的系统,从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,蠕虫驻留系统后在注册表中创建以下键值,以达到随系统启动而自动运行的目的。2、2、1 病毒的操作当冲击波病毒感染计算机系统后,随即会执行如下操作:1.创建一个线程“BILLY”2.修改注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun增加“windows auto update“=“msblast.exe“键值,使得病毒可以在系统启动时自动运行。3
40、.然后按照一定的规则来攻击网络上特点段的机器。该随机段 IP 段的机器的所有 135 端口发布攻击代码,成功后,在 TCP 的端口 4444 创建 cmd.exe。该病毒还能接受外界的指令,在 UDP 的端口 69 上接受指令,发送文件Msblast.exe 网络蠕虫主体。4.发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe 文件。5.如果是 8 月以后或者当前的系统日期是 15 号以后,此病毒还试图拒绝 服务,以使计算机系统失去更新补丁程序的功能。2、2、2 病毒的发作症状操作系统不断报“PRC 意外中止,系统重新启动” (与图 1 类似) ,客户机频繁重启,所有
41、网络服务均出现故障,如 IE 浏览器打不开,OUTLOOK 无法使用等。由于 RPC 服务终止可能造成其他的一些问题(这些功能依赖于 RPC 服务) ,如:无法进行复制、粘贴;无法查看网络属性;My Pictures 文件夹显示不正常;计算机“服务”管理不正常;无法使用 IE“在新窗口中打开” ;金山词霸无法取词;无法添加删除程序等。最重要的是,在任务管理器里有一个叫河北理工大学毕业设计说明书 第 17 页 共 83 页“msblast.exe”的进程在运行 (图 1)2、3 冲击波病毒的具体说明1. 病毒运行时会将自身复制到 window 目录下,并命名为: msblast.exe。2. 病
42、毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。4. 病毒会修改注册表,在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中添加以下键值:“windows auto update“=“msblast.exe“,以便每次启动系统时,病毒都会运行。5. 病毒体内隐藏有一段文本信息: I just want to say LOVE YOU SAN!billy gates
43、why do you make this possible ? Stop making money and fix your software!6. 病毒会以 20 秒为间隔,每 20 秒检测一次网络状态,当网络可用时,病毒会在本地的 UDP/69 端口上建立一个 tftp 服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的 IP 地址,以便就近攻击。7. 当病毒扫描到计算机后,就会向目标计算机的 TCP/135 端口发送攻击数据。8. 当病毒攻击成功后,便会监听目标计算机的 TCP/4444 端口作为后门,并绑定 cmd.exe。然后蠕虫会连
44、接到这个端口,发送 tftp 命令,回连到发起进河北理工大学毕业设计说明书 第 18 页 共 83 页攻的主机,将 msblast.exe 传到目标计算机上并运行。9. 当病毒攻击失败时,可能会造成没有打补丁的 Windows 系统 RPC 服务崩溃,Windows XP 系统可能会自动重启计算机。该蠕虫不能成功攻击 Windows Server2003,但是可以造成 Windows Server2003 系统的 RPC 服务崩溃,默认情况下是系统反复重启。10. 病毒检测到当前系统月份是 8 月之后或者日期是 15 日之后,就会向微软的更新站点““发动拒绝服务攻击,使微软网站的更新站点无法为
45、用户提供服务。 11.感染病毒的计算机会尝试连接 20 个随机的 IP 地址,并且对有此漏洞的计算机进行攻击,然后该病毒会休息(sleep)1.8 秒,然后扫描下 20 个随机的IP 地址。病毒扫描 IP 地址(A.B.C.D,如:IP 为 192.168.0.1 时,A=192 B=168 C=0 D=1)符合如下规则:35 的可能当 D 等于 0 时,A、B、C 为 0 到 255 的随机数。另外 25 的可能,病毒扫描子网并取得染毒计算机的 IP 地址,提取其中的 A、B 值,并设置 D 值为 0,然后提取 C 的值。如果 C 的值小于等于 20 的时候,病毒不对其进行改变。例如:染毒计
46、算机的 IP 地址为 192.168.16.3 则病毒将从 192.168.16.0 开始扫描;如果 C 的值大于 20,则病毒会从 C 减去 19和 C 值之间随机选择一个数。例如:感染计算机的 IP 地址为192.168.135.161,则病毒将扫描的 IP 地址为 192.168.115-134.0。冲击波病毒原理: 与其他蠕虫病毒类似,“冲击波”(Worm.Blaster)病毒仍然是抓住了微软在前不久刚刚公布的一个 RPC 安全漏洞。由于冲击波病毒主要是利用 RPC 漏洞进行攻击,而其中波及到的计算机系统包括 NT4.0、WINDOWS2000 及 XP 等四类,WINDOWS 98
47、及 Me 的用户不会受到该病毒的袭击。感染了“冲击波”病毒的电脑,又会通过互联网自动扫描,寻找其他感染目标,在一定程度上造成了网络的拥堵。目前,“冲击波”病毒的传播已呈放缓趋势,专家声称今后的预防重点是其不断增加的变种河北理工大学毕业设计说明书 第 19 页 共 83 页2、4 冲击波病毒的解决方案2、4、1 冲击波应急解决第一步:终止恶意程序 打开 Windows 任务管理器,按 CTRL+ALT+DELETE 然后单击进程选项卡,在运行的程序清单中*, 查找如下进程:MSBLAST.EXE 。选择恶意程序进程,然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止,请关闭任务
48、管理器并再次打开看进程是否已经终止。而后关闭任务管理器。第二步:删除注册表中的自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行。单击 开始运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器在左边的列表中双击以下项目:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 在右边的列表中查找并删除以下项目Windows auto update“ = MSBLAST.EXE 关闭注册表编辑器。如果之前没有终止恶意程序进程,请重启您的系统 第三步:安装微软提供的补丁 Microsoft Security Bulletin MS03-026 建议用户对 135 端口的访问进行过滤,使得只能进行受信任以及内部的站点访问。 更多详情请参阅微软发布的漏洞报告。2、4、2 DOS 下清除该病毒1.当用户中招出现以上现象后,用 DOS 系统启动盘启动进入 DOS 环境下,进入C 盘的操作系统目录.操作命令集:C:CD C:windows (或 CD c:winnt)2. 查找目录中的“msblast.exe”病毒文件。命令操作集:河北理工大学毕业
