（4）连接IRC服务器并接受黑客指令
• 病毒会自动连接、服务器并接受指令，使中毒计算机可被黑客远 程控制。
10.3.2 魔波（Worm.Mocbot.a）和魔波变种B蠕虫病 毒分析
2、魔波病毒分析报告
（5）试图通过IM（即时通信软件）传播
• 针对性 • 变异性 • 不可预见性
10.1.3 计算机病毒的分类
• 根据技术手段和发展阶段大致可以分为：
• 传统病毒
• 传统病毒主要在计算机和网络发展的早期阶段（如DoS、WINDOWS 95等）大量出现，这些病毒主要攻击单台 用户电脑，一般通过软盘、光盘传播
• 传统病毒中还有一种是文件型病毒，这种病毒主要寄生在文件中并以文件作为主要感染对象的一种病毒，它 可以感染可执行文件和数据文件
图10-7 蠕虫病毒工作流程
10.3.2 魔波（Worm.Mocbot.a）和魔波变种B蠕虫病 毒分析
1、魔波病毒概述
• 驻留内存，受影响系统包括WINDOWS 2000和WINDOWS XP。该病毒利用MS06-040漏洞进行传播， 传播过程中可导致系统服务崩溃，网络连接被断开等现象。被感染的计算机还会自动连接指定 的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种 AWP”的木马病毒。
10.2.1 宏病毒概述
• 宏病毒的作用机制
• 一旦病毒宏侵入WORD，它就会替代原有的正常宏，如fileopen、filesave、filesaveas或fileprint等， 并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病 毒宏就会夺取控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。 宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏（包括自动宏） 复制到该文档中，被转换成模板格式后的染毒文件无法转存为任何其它格式。当含有宏病毒的 文档被其它电脑的WORD系统打开时，便会自动感染该电脑。例如，如果病毒捕获并修改了 fileopen（打开文件）操作，那么它将感染每一个被打开的WORD文件。
• 微软OFFICE中的WORD宏病毒利用一些数据处理系统内置宏命令编程语言的特性而形成的。这 些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附 加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和 传递，从而在未经使用者许可的情况下获取系统控制权，达到传染的目的。
第10章 病毒与木马攻击和防范
• 10.1 计算机病毒概述 • 10.2 宏病毒分析和防范 • 10.3 蠕虫病毒分析和防范 • 10.4 木马分析和防范 • 10.5 网页脚本病毒分析和防范 • 10.6 即时通信病毒分析与防范 • 10.7 手机病毒分析与防范
10.1 计算机病毒概述
• 10.1.1 计算机病毒的定义 • 10.1.2 计算机病毒的特征 • 10.1.3 计算机病毒的分类 • 10.1.4 防病毒软件
• 梅丽莎病毒分析报告
（1）病毒通过电子邮件的方式传播，当用户打开附件中的“list.doc”文件时将立刻感染。 （2）病毒的代码使用OFFICE WORD的VBA语言编写，通过对注册表进行修改，并调用OUTLOOK发 送含有病毒的邮件，进行快速传播。 （3）修改注册表 （4）发送邮件 （5）修改WORD模板
• 病毒会在IM类软件中发送消息，消息中包含一个URL下载地址，如果用户点击地址并下载该地址的程 序，则好友列表里的人都将收到该条包含URL的消息。
（6）利用MS06-040漏洞传播
• 病毒会利用WINDOWS的服务远程缓冲区溢出漏洞（MS06-040）。WINDOWS的远程服务在处理RPC通 讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执 行任意代码。
10.2.3 宏病毒防范
• 宏病毒感染主要通过两条路径，一是电子邮件，二是移动存储介质（U盘、移动硬盘等）， 其共同特点是只能通过OFFICE文件格式传播
• 但是同一种程序下编制的宏病毒只能感ቤተ መጻሕፍቲ ባይዱ同一类型的文件，不同类型宏病毒不能交叉感染
10.2.3 宏病毒防范
1、如何判断是否感染宏病毒
（1）鉴于绝大多数人都不需要或者不会使用OFFICE中的“宏”这个功能，因此，如果OFFICE文档在打 开时，出现是否启动“宏”的提示，则极有可能带有宏病毒。 （2）在WORD工具栏及菜单中看不到某些原有的选项，或某些选项不可用，某些命令不能执行。例如， “工具菜单”中看不到“宏”选项，或能看到“宏”，但鼠标单击无反应，则可以肯定感染了宏病毒， 因为病毒制造者不希望用户查觉病毒的存在或不想让用户查看、编辑源程序，而限制了对它们的使用。 （3）在运行OFFICE的过程中，WINDOWS桌面图标突然全部改变，有可能是宏病毒所致。 （4）打开OFFICE应用后，在存储文件时无法以正常文件格式存储，而只能存储为模板文件，或在“另 存为”窗口中只能以模板方式存盘，则有可能感染了宏病毒。 （5）打开一个OFFICE文件，不进行任何操作马上就退出，且提示需要存盘，则该文件极有可能带有宏 病毒。 （6）OFFICE中经常执行一些错误的操作，比如在WORD中单击“模板与加载项”时却弹出别的窗口， 或者文件中出现莫名其妙的提示和文字信息，则有可能是感染了宏病毒。
（3）安装杀毒软件
• 所有杀毒软件都具有宏病毒的查杀功能，如360、金山毒霸、卡巴斯基、赛门铁克等
10.3 蠕虫病毒分析和防范
• 10.3.1 蠕虫病毒概述 • 10.3.2 魔波（Worm.Mocbot.a）和魔波变种B蠕虫病毒分析 • 10.3.3 防范蠕虫病毒
10.3.1 蠕虫病毒概述
• 蠕虫病毒是一个自包含的程序,它能通过网络传播它自身功能的拷贝或它的某些部分到其它的 计算机系统中
• 蠕虫病毒的程序结构通常包括三个模块：
（1）传播模块：负责蠕虫的传播，它可以分为扫描模块、攻击模块和复制模块三个子模块。 （2）隐藏模块：侵入主机后，负责隐藏蠕虫程序，防止被用户发现。 （3）目标功能模块：实现对计算机的控制、监视或破坏等。
10.3.1 蠕虫病毒概述
• 蠕虫病毒的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。首先蠕虫程序 随机（或在某种倾向性策略下）选取某一段IP地址，接着对这一地址段的主机扫描，当扫 描到有漏洞的计算机系统后将蠕虫主体迁移到目标主机；然后，蠕虫程序进入被感染的系 统，对目标主机进行现场处理；同时，蠕虫程序生成多个副本，重复上述流程，如图10-7 所示。
• 蠕虫病毒和一般的病毒有着很大的区别，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的 一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生（有 的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等。
• 蠕虫病毒主要分为两类，一类是面向企业用户和局域网，这种病毒利用系统漏洞主动进行攻击， 可以对整个互联网造成瘫痪性的后果；另一类针对个人用户，通过网络（主要是电子邮件、恶 意网页形式）迅速传播。
• 蠕虫病毒
• 蠕虫病毒是一种可独立运行的程序，它通过扫描网络中那些存在漏洞的计算机，获得部分或全部控制权来进 行传播，它能利用网络进行传播并能够自我复制
• 木马病毒
• 从严格意义上说，木马和病毒是两种不同的恶意软件，但因为两种能互相融合，所以习惯把木马当作病毒的 一种
• WEB时代出现的各种新型病毒
• 目前国内杀毒软件有三大巨头：360杀毒、金山毒霸、瑞星杀毒软件 • 国外的杀毒软件有：卡巴斯基、赛门铁克诺顿、趋势科技、迈克菲（MCAFEE）等 • VB100是国际上最严格的一项杀毒产品检测，安全软件厂商都会选择参与VB 100测试，并
以此来展现自己产品的质量
10.2 宏病毒分析和防范
• 10.2.1 宏病毒概述 • 10.2.2 梅丽莎（Macro.Melissa）宏病毒分析 • 10.2.3 宏病毒防范
• 这些新型病毒包括网页脚本病毒、网络钓鱼程序、移动通信病毒、即时通信病毒、流氓软件等，这些病毒的 一大特点是绝大部分以获取某种经济利益为目的，如盗号、窃取网银账户、非法转账等等
10.1.4 防病毒软件
• 对付病毒最重要的工具是防病毒软件，也称为杀毒软件或反病毒软件。杀毒软件是用于消 除电脑病毒、木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除 以及自动升级等功能，有的杀毒软件还可以进行数据恢复，是主机防御系统的重要组成部 分
10.2.3 宏病毒防范
2、防范宏病毒
• 在OFFICE 2000及以上版本中提供了防范宏病毒的感染和传播的功能 • 以OFFICE中的WORD为例，介绍如何防范宏病毒
（1）提高安全级别
• 选择“工具”->“宏”->“安全性”，在对话框中把宏的安全级别设为“高级”
（2）设置共用模板保存提示
• 选择“工具”->“选项”->“保存”，如图10-6所示。把“提示保存NORMAL模板”前面打上钩，这样如果共用 模板被修改，退出时就会出现需要保存的提示信息
10.2.1 宏病毒概述
• 宏病毒是一种寄存在文档或文档模板中的计算机病毒。一旦打开这样的文档，其中的宏会 被执行，宏病毒就会被激活，转移到计算机上，并驻留在NORMAL模板上，以后所有自动 保存的文档都会感染上这种宏病毒。如果其他用户打开了感染病毒的文档，宏病毒又会转 移到其它计算机上。
• 宏病毒工作原理
10.2.2 梅丽莎（Macro.Melissa）宏病毒分析
• 梅丽莎病毒
• 不驻留内存，受影响系统包括WORD2000与WORD2003。病毒伪装成一封来自朋友或同事的“重 要信息”电子邮件，用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。病毒不 会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。
10.1.2 计算机病毒的特征