恶意代码的特征.ppt

* 宏病毒是使用VBA(Visual Basic For Application)编写的病毒，不感染.EXE、.COM等可执行文件，而是以“宏”的形式潜伏在Office文档中。当采用Office软件打开这些染毒文件时，这些代码就会被执行并产生破坏作用。由于“宏”这样的高级语言写的，因此其编写过程相对来说也比较简单，而功能又十分强大。 任何人只要掌握一些基本的“宏”编写技巧即可编写出破坏力极大的宏病毒。随着Office的不断普及，宏病毒成为传播最广泛、危害最大的一类病毒。 宏病毒 宏病毒示例 * Google调研人员从全球数以十亿计的网站中抽取的450万个网页的分析测试中发现，至少有45万个页面中含有恶意脚本，即平均每十个搜寻结果里，就有一个含有可能会破坏用户电脑的隐藏性恶意程序。而这还只是一个保守的估计，另外还有70万个网页被视为可疑页面。 江民科技发布了类似的数据，80％以上的用户是因为浏览网页而感染病毒，有近50%以上的用户是在使用有哪些信誉好的足球投注网站引擎有哪些信誉好的足球投注网站查看信息时感染病毒，同时上正规网站浏览信息未进行其它任何操作而莫名染毒的也占到了近30%。 浏览器恶意代码 * 浏览器恶意代码 攻击IE的恶意代码非常多。由于浏览器大部分配置信息都存储在注册表中，所以恶意代码大多是通过修改注册表来实现对浏览器的攻击。 * 浏览器恶意代码 * #include stdio.h #include windows.h main() { HKEY hKey1; DWORD dwDisposition; LONG lRetCode; lRetCode = RegCreateKeyEx ( HKEY_LOCAL_MACHINE, SOFTWARE\\Microsoft\\Internet Explorer\\Main, 0， NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, NULL, hKey1, dwDisposition); 浏览器恶意代码 创建键值 * if (lRetCode != ERROR_SUCCESS) { printf (Error in creating key\n); return (0) ; } lRetCode = RegSetValueEx ( hKey1, Default_Page_URL, 0, REG_SZ, (byte*), 100); if (lRetCode != ERROR_SUCCESS) { printf ( Error in setting value\n); return (0) ; } printf(注册表编写成功！\n); return(0); } 浏览器恶意代码 创建出错处理 设置键值 创建出错处理 * U盘病毒也称AutoRun病毒，能通过产生的AutoRun.inf进行传播的病毒，都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及，U盘病毒也开始泛滥。最典型的地方就是各个打字复印社、学校多媒体教室控制台电脑，几乎所有电脑都带有这种病毒。 U盘病毒 * U盘病毒会在系统中每个磁盘目录下创建AutoRun.inf病毒文件；借助“Windows自动播放”的特性，使用户双击盘符时就可立即激活指定的病毒。病毒首先向U盘写入病毒程序，然后更改AutoRun.inf文件。AutoRun.inf文件记录用户选择何种程序来打开U盘。如果AutoRun.inf文件指向了病毒程序，那么Window就会运行这个程序，引发病毒。一般病毒还会检测插入的U盘，并对其实行上述操作，导致一个新的病毒U盘的诞生。 U盘病毒 * AutoRun.inf关键字 说明 [AutoRun] 表示AutoRun部分开始 icon=X:\“图标”.ico 给X盘一个图标 open=X:\“程序”.exe或者“命令行” 双击X盘执行的程序或命令 shell\“关键字”＝“鼠标右键菜单中加入显示的内容” 右键菜单新增选项 shell\“关键字”\command＝“要执行的文件或命令行” 对应右键菜单关键字执行的文件 U盘病毒 * U盘病毒 只要单击“打开”或“我的资源管理器”均会执行指定的病毒程序！ * 1） 作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。 2） 伪装成其他文件。由于一般人们不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。 3） 藏于系统文件