电子科技大学防火墙病毒第3章常见病毒与防治.pptVIP

第三章 常见病毒与预防 Happy99病毒： 传染 发送EMAIL － 调用 Connect.Send － 调用ska.dll － 调用ska.exe 发送同一地址带有附件happy99.exe 预防 不轻易执行来历不明的邮件附件 将Wsock32.dll设置为只读 清除 软件 手工：清除文件、清除注册表 第三章 常见病毒与预防 爱虫病毒 2002年5月4日全球发作，借助母亲节，开玩笑式。当天经济损失达10亿美元。美国加州“电脑经济”研究机构，指出，在第二天，有4500万台电脑中毒，经济损失达26亿美元。 特征： 主题不定：I Love You，Joke，今晚见面喝咖啡等 附件：VB编写，删除电脑上12种扩展名的文件，然后逐一发送电子邮件。 对象：win98，NT4.0，win95（ie5.0)，依赖于EXPRESS。APPLE， LINUX不感染 第三章 常见病毒与预防 第三章 常见病毒与预防 爱虫病毒 机制 一种蠕虫病毒，通过电子邮件扩散，10307字节，可导致网络崩溃。来自菲律宾，马尼拉。学生编写。可以寻找本地和映射驱动器，在所有目录中寻找目标 破坏： 覆盖扩展名为：vbs vbe js jse css wsh sct hta jpg jpeg mp2 mp3的文件；vbs扩展名， 例如：study.mp3 ? study.mp3.vbs(病毒体) 扩展名为mp2,mp3文件被隐藏 传播：发送邮件，通讯录中每个地址 邮件附件：Love_letter_for_you.txt.vbs 邮件主体：Kindly check the attached LOVE LETTER coming from me. 第三章 常见病毒与预防 爱虫病毒： 机制 运行后在\WINDOWS\目录下产生win32dll.vbs，在\WINDOWS\system\下产生mskernel32.vbs 和 LOVE_LETTER_FOR_YOU.txt.vbs(不同名称的病毒体本身) 修改注册表：HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run\mskernel32 ? \windows\system\mskernel32.vbs \RunService\win32dll ?\windows\win32dll.vbs 查找\windows\system\winfat32.exe 第三章 常见病毒与预防 爱虫病毒 机制(续) 查找win_bugsfix.exe，有则默认为“blank”。无则添加HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\win_bugsfix ? win_bufsfix.exe 不存在则修改IE默认项为 （某个网站）/~/win_bugsfix.exe（已经无效） 可以利用mIRC软件通过IRC通道传播，给该通道的其他用户发送HTM文件，打开后出现如下窗口。 防治： 不要打开邮件附件，删除邮件 中毒后，与其他人（具有邮件地址的联系人）联系 下载软件 关闭WIN95/98 VB脚本选项 第三章 常见病毒与预防 爱虫病毒 清除 删除所有染毒邮件 删除文件 删除注册表项 mp2, mp3文件恢复 更改文件的隐藏属性 命令行：attrib –h *.mp2 / *.mp3 第三章 常见病毒与预防 恶性美丽杀变种病毒 - W97M.SKEPTIC 轰动全球的美丽杀（melissa）病毒导致欧美等国家数十万台计算机遭到该病毒的攻击，同时造成大量著名的网络邮件服务器瘫痪； W97M.SKEPTIC:比美丽杀传播更广、更复杂的其变种恶性病毒。该病毒与美丽杀病毒非常相似，病毒以附件的方式通过电子邮件进行自我扩散，病毒查找Outlook用户地址簿，自动地把感染的文件发送给地址簿的前60个用户。邮件的主题是Important　Message From ；邮件的内容为Look what I found…。 第三章 常见病毒与预防 恶性美丽杀变种病毒 - W97M.SKEPTIC 该病毒感染Microsoft Word 97的NORMAL.DOT模板和所有在感染系统中打开和创建的Word文件。病毒在注册表HKEY_CURRENT_USER\Software\Microsoft\Office\中插入一名为Sixtieth Skeptic的注册键并赋值为Whereˊs Jamie？。该病毒通过检查该增加键名来判断其自身是否通过email传播。　　该病毒在C盘根目录下产生两个文件：C:\SS.BAS和C:\SS.VBS。 SS.BAS文件包含有加密的宏代码。SS.VBS是一