《3-3-2梅丽莎病毒剖析.pptVIP

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 教学单元3-3 宏病毒防治 梅丽莎病毒源码分析 梅丽莎病毒特点 梅丽莎病毒行为分析 第二讲 梅丽莎病毒剖析 计算机病毒与防治课程小组 梅丽莎病毒的手工清除 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 梅丽莎病毒特点 计算机病毒与防治课程小组 病毒名称：梅丽莎,又称 Macro.Word97.Melissa 病毒类型： 宏病毒 危险级别： ★★★★★ 影响系统 Word97/Word2000? 梅丽莎病毒简介 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 梅丽莎病毒特点 计算机病毒与防治课程小组 “梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。 1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案。 梅丽莎病毒简介 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 梅丽莎病毒特点 计算机病毒与防治课程小组 2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他表示认罪，认为设计电脑病毒是一个“巨大的错误”，自己的行为“不道德 ”。 病毒制造者 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 梅丽莎病毒特点 计算机病毒与防治课程小组 该病毒通过电子邮件的方式传播, 当用户打开附件中的“list.doc”文件时，将立刻中招。 病毒的代码使用Word的VBA语言编写, 开创了此类病毒的先河, 如同病毒作者的猖狂之言“It’s a new age!”。 病毒通过对注册表进行修改, 并调用Outlook发送含有病毒的邮件, 进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的, 因此往往被很多人忽视。同时, 该病毒会自动重复以上的动作, 由此引起连锁反应, 在短时间内, 造成邮件服务器的大量阻塞, 严重影响正常网络通讯。 该病毒可感染Word97、Word2000的Doc文件, 并修改通用模板Normal.dot, 使受害者几乎永无“ 脱离苦海”之时。 梅丽莎病毒特点 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 梅丽莎病毒源码分析 计算机病毒与防治课程小组 梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。 1、梅丽莎病毒被激活后, 将修改注册表中的“HKEY_CURRENT_USER\Software\Microsoft\office\”键, 并增加项“Melissa？”, 赋值为“… by Kwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。 病毒中相关操作的核心代码如下所示： ’读取注册表项的内容, 进行判断 If System.PrivateProfileString(“”,“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)“… by Kw