篇一:计算机病毒实验之宏病毒
计算机病毒实验报告
实验3.2 台湾No.1宏病毒
3.2 台湾No.1宏病毒
3.2.1 实验目的
了解台湾No.1宏病毒的基本概念
实验自己的台湾No.1宏病毒
3.2.2 实验原理
台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏,其代码主要是造成恶作剧,并且有可能使用户计算机因为使用资源枯竭而瘫痪。
3.2.3 实验预备知识点】
什么是Word宏
对VBA语言有一定的了解
3.2.4 实验环境
操作系统:WINDOWS2000
JDK版本:Java Standard Edition 1.4.0以上 数据库:Mysql
Web服务器:Tomacat
Office版本:MS office2000/2003
3.2.5 实验步骤
打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒
教学实验系统登录面界,输入用户名和密码。(注意:实验前先关闭所有杀毒软件。)
1.病毒感染实验
由于该病毒特征码明显,因此请首先将病毒防火墙关闭,将系统时间调整到13日。
进入病毒防护教学实验后,点击左侧的“台湾N0.1宏病毒”,然后在点击下面的“病毒感染实验”,要根据要求和提示操作配置客户端的邮件地址,如下图3-2-1所示。根据提示下载提供的台湾No.1病毒,亲自运行并记录自己的实验报告。
图3-2-1 病毒样本下载页面
2.病毒代码分析
进入病毒防护教学实验后,点击左侧的“台湾N0.1宏病毒”,然后在点击下面的“病毒代码分析”,可以分析页面中的台湾No.1病毒源代码,根据相关代码分析,填写页面中空白的参数,点击确定系统将自动生成代码。新建一个word文档作为自己编写的该病毒文件,然后把生成的代码复制并粘帖至Word自带的VBA编译工具中,可以参照美丽莎宏病毒实验中的图4-3至4-4 。将自行编制的病毒备份待用。
3.杀毒实验
进入病毒防护教学实验后,点击左侧的“台湾N0.1宏病毒”,然后在点击下面的“杀毒实验”,学习病毒防范方法,根据系统页面上的提示,使用手动杀毒,并写入实验报告中。 运行步骤3中编制的病毒,并使用步骤4中提到的方法清除病毒的危害。
3.2.6 实验思考
1台湾No.1宏病毒的主要特征是什么?是如何传播的?
2台湾No.1宏病毒有没有变种?举出2个例子,并简单描述他们的特征。
3比较美丽莎宏病毒和台湾No.1宏病毒,分析他们的相同点与区别。 答:1 出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。
将自己隐藏在word文档中,打开这个文档即被执行,然后拷贝到全局宏的区域,使得所有打开的文档都可以使用这个宏。
答:2有
答:3梅丽莎病毒一般通过邮件传播,邮件的标题通常为“这是给你的资料,不要让任何人看见”。一旦收件人打开邮件,病毒就会自动向用户通讯录的前50位好友复制发送同样的邮
篇二:宏病毒相关
脚本(script)是使用一种特定的描述性语言,依据一定的格式编写的可执行文件,又称作宏或批处理文件。 脚本是批处理文件的延伸,是一种纯文本保存的程序,一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合,在其中可以实现一定的逻辑分支等。 脚本简单地说就是一条条的文字命令,这些文字命令是可以看到的(如可以用记事本打开查看、编辑),脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行。因为脚本在执行时多了一道翻译的过程,所以它比二进制程序执行效率要稍低一些。 脚本通常可以由应用程序临时调用并执行。各类脚本被广泛地应用于网页设计中,因为脚本不仅可以减小网页的规模和提高网页浏览速度,而且可以丰富网页的表现,如动画、声音等。举个最常见的例子,当点击网页上的Email地址时能自动调用Outlook Express或Foxmail这类邮箱软件,就是通过脚本功能来实现的。也正因为脚本的这些特点,往往被一些别有用心的人所利用。例如在脚本中加入一些破坏计算机系统的命令,这样当用户浏览网页时,一旦调用这类脚本,便会使用户的系统受到攻击。所以用户应根据对所访问网页的信任程度选择安全等级,特别是对于那些本身内容就非法的网页,更不要轻易允许使用脚本。通过“安全设置”对话框,选择“脚本”选项下的各种设置就可以轻松实现对脚本的禁用和启用。
/////////////////////////////////////////////////////
//////////////////////////////////////////////////////
脚本语言是比较多的,一般的脚本语言的执行只同具体的解释执行器有关,所以只要系统上有相应语言的解释程序就可以做到跨平台。脚本
(Script),就是含有bind和alias等命令的集合,你可以把这个集合存为一个独立的文件然后在需要的时候执行,这样就可以方便你在CS中的使用。脚本可以存为后缀名为.cfg的文件放在cstrike文件夹下,执行时在控制台输入:exec(脚本文件名).cfg即可。比如将一个脚本存为 buys.cfg文件,则在控制台中输入:execbuys.cfg则可以实现我们所需要的功能。要实现一个命令只要把这一过程定义(alias)好,并且分配一个键位给这个命令,以后只要按分配好的键位,就可以实现这一过程。所有的脚本都是通过这一方法实现的。
常见的脚本语言:Scala、JavaScript,VBScript,ActionScript,MAX Script,ASP,JSP,PHP,SQL,Perl,Shell,python,Ruby,JavaFX,Lua,AutoIt等。
/////////////////////////////////////////////////////////////////
什么是宏
计算机科学里的宏是一种抽象的,根据一系列预定义的规则替换一定的文本模式。Excel 办公软件自动集成了“VBA”高级程序语言(Visual Basic for Applications(简称VBA)是新一代标准宏语言),用此语言编制出的程序就叫“宏”。使用“VBA”需要有一定的编程基础和耗费大量的时间,因此,绝大多数的使用者仅使用了Excel的一般制表功能,很少使用到“VBA”。
解释器或编译器在遇到宏时会自动进行这一模式替换。对于编译语言,宏展开在编译时发生,进行宏展开的工具常被称为宏展开器。宏这一术语也常常被用于许多类似的环境中,它们是源自宏展开的概念,这包括键盘宏和宏语言。绝大多数情况下,使用“宏”这个词的使用暗示着将小命令或动作转化为一系列指令。
宏的用途在于自动化频繁使用的序列或者是获得一种更强大的抽象能力--但这常常是一回事。
计算机语言如C或汇编语言有简单的宏系统,由编译器或汇编器的预处理器实现。C的宏预处理器的工作只是简单的文本搜索和替换,使用附加的文本处理语言如M4,C 程序员可以获得更精巧的宏。
Lisp类语言如Common Lisp和Scheme有更精巧的宏系统: 宏的行为如同是函数对自身程序文本的变形,并且可以应用全部语言来表达这种变形。一个C宏可以定义一段语法的替换,然而一个Lisp的宏却可以控制一节代码的计算。
获得了控制代码的执行顺序(见惰性计算和非限制函数)的能力,使得新创建的语法结构与语言内建的语法结构不可区分。例如,一种Lisp 方言有 cond 而没有if ,就可以使用宏由前者定义后者。Lisp 语法的去部主要扩展,比如面向对象的CLOS 系统,可以由宏来定义。
宏的典型应用
加速日常编辑和格式设置
组合多个命令
使对话框中的选项更易于访问
使一系列复杂的任务自动执行
微软Word和宏病毒
Visual Basic for Applications (VBA),是 Microsoft Office 里的一种编程语言. 但由上面的定义,它完全不是一种宏语言。然而,它的功能已经从中发展并最终替代了用户应用程序的宏思想,所以他被广泛地错误地称为是一种宏语言。
VBA 可以访问许多操作系统函数并支持文档打开时自动执行宏。这使得用这种语言写计算机病毒成为可能。1990年代中后期,宏病毒成为了最流行的计算机病毒类型之一。其它的包括宏语言的项目,如openoffice.org,
故意从其宏语言中排除了一些功能(如:自动执行)以避免破坏程序。然而,这一特性在很多事务中受到欢迎。 Word宏是将一系列的word指令和命令组合在一起形成命令,以实现任务执行的自动化。
美丽莎病毒
新泽西程序员大卫·史密斯1999年12月9日在州法院表示认罪,史密斯被控制造并传播了美丽莎病毒,这种病毒曾一度肆虐全球电子邮件系统。不出所料,在蒙默思郡高级法院31岁的史密斯向检察官表示服罪,他被指控犯有计算机盗窃罪,估计他将于晚些时候在Newark联邦法庭对一些其他相关指控认罪。
史密斯承认美丽莎造成了八千万美元的损失。八千万美元的损失是指系统管理员们在清除受染计算机里的病毒时系统的误时费。根据与史密斯的律师达成的协议,新泽西检察官们建议处史密斯以十年监禁,这也是法律对这种罪行的最大判罚。同时,史密斯将面临十五万美元的罚款。
四月一日,史密斯被捕,他被指控制造并传播了三月二十六日以来肆虐互联网的美丽莎病毒。史密斯是新泽西州亚伯丁镇人,他在伊顿镇其兄弟处被捕。史密斯是在美国在线(AOL)的帮助下落网的。史密斯被认为是因传播计算机病毒而最早被判刑者之一。据路透社报道,史密斯在法庭上表示:“我并非蓄意也没有想到后来发生的破坏···我没想到会对别人造成如此深重的后果”。八月,史密斯承认编写了美丽莎宏病毒并非法侵入美国在线,其目的是把病毒传上互联网并销毁他用来传播病毒的计算机。在本案调查中新泽西检察官们得到了联邦调查局的协助。
四月,史密斯曾拒绝对他的指控认罪,他被指控破坏公共通讯、密谋进行破坏以及企图进行破坏等罪行。据悉,联邦检察官们将就本案召开新闻发布会。
病毒急診室-Taiwan No.1
作者:張晉榮
「十三號台灣No.1巨集病毒」,這隻病毒隨著INTERNET與BBS網路 流傳。此病毒是跨平台式的病毒,可以在Windows、Windows95、 Windows NT、OS/2,麥金塔SYSTEM 7等作業系統上執行病毒行為。 而每月的十三號還會發作跟您挑戰心算,考驗您的數學能力。
發病情形
若日期不是十三號時,病毒只是會寄生在Word內將正常文件檔感 染成含有巨集病毒的文件檔案流傳出。而到了每月的十三號,只要
您隨便開啟一份文件來看的話,病毒即馬上發作,在螢幕上出現一 對話方塊視窗跟您玩心算遊戲。當您輸入正確的數值後,病毒還會 恭賀您答對了。然後會出現一份調侃的文件。上面會寫「何謂巨集 病毒」,「答案:我就是....」,「如何預防巨集病毒」,「答案:不 要看我......」。
若您輸入錯誤的數值後,病毒就會展現它所謂的震撼教育,開出 20份新文件,最後一份文件會秀出「巨集病毒」的字樣,若您有開 音效功能的話,還可以一路聽到音效聲,最後又出現對話方塊視窗 ,再跟您玩一次心算遊戲。答錯了,就再開20份文件,又跟您玩一 次心算遊戲,如此循環下去,因此就會佔用了記憶體,甚至會造成 硬碟LOST CHAINS。除非您答對才能跳出程式。
病毒特性
這隻病毒的乘法運算式是用亂數來取得,所以每次出現的數值都 不一樣,故沒有所謂的標準答案。若您不輸入數字而按取消按鈕的 話,也無法跳出程式,一樣會再出現另一組乘法運算式跟您玩,所 以只好輸入正確數值了。此病毒在流傳時,也將自己的原始檔一齊 流傳,所以很容易被修改與學習,因此近來發展出來不少的WORD巨 集病毒。巨集病毒大都利用Word所提供的自動巨集功能。【註:將本 身所含的巨集寫入NORMAL.DOT共用範本內,再感染其它的乾淨文件 資料。像這隻台灣NO.1巨集病毒即是會寫入AutoOpen、AutoClose、 AutoNew三個自動巨集到NORMAL.DOT共用範本。】
解毒方法
一、沒有掃毒軟體時的處理方式:
取得正確答案。雖說是心算遊戲,只要看到這一組乘法運算式, 真的可以心算出來的可能是超人了。若是用一般的計算機或Windows 上的小算盤來算的話,可能也會有誤差而輸入錯誤。所以若不幸病 毒發作了,趕快利用別台電腦上的Word巨集程式來算,(自家人對自 家人)才能精確算出數值。例:您可以選擇「工具欄」內的「巨集」 ,隨便命一個名稱,按「建立」之後,鍵入counter=int(對話方塊 視窗上的乘法運算式),再按「逐步執行巨集」之按鈕二次之後,再 按「顯示變數」之按鈕。即可得到正解,當您輸入正確的數值後, 病毒還會恭賀您答對了。若您輸入錯誤的數值後,嘿!嘿!您就知 道它的勵害了。(請見發病情形)。
二、有掃毒軟體時:
以下就以中心目前所提供的掃毒軟體為例,並假設您的電腦沒有 任何開機型或檔案型病毒時,有下列三種解決方法:
1.未使用中心所提供之整套掃毒程式者:
請使用"SSCAN"解毒:直接在C:\>下進入SSCAN所在的目錄 例C:\>CD\SSCAN [ENTER]
接著鍵入指令SSCAN C: D: /F/AC
↑
所要掃瞄的磁碟機代號
其中/F為掃瞄所有檔案,/AC自動清除巨集病毒
2.Windows 95的使用者可用中心所提供之VTHUNT 97中的 SCANHD.BAT,在Windows 95的桌面上直接執行即可。
3.MSDOS,Windows 3.1的使用者,請直接用中心所提供之磁片或在 C:\>下直接鍵入SCANHD.BAT [ENTER]即可
第2及第3種乃提供有使用中心所提供之解毒磁片之使用者,而第1 項則若是沒有中心所提供的程式磁片,可直接到ftp Server 上下傳 SSCAN
預防之道
1.盡量不要看來歷不明的文件檔,或是含有巨集的範本。若是單 純的文字檔是不應該含有巨集的。
2.將NORMAL.DOT共用範本設成唯讀檔,如此可避免一些外來的巨 集寫入。但您要修改NORMAL.DOT時,會出現無法修改的訊息,除非 將唯讀功能拿掉。但此法適用於不常更改NORMAL.DOT者。
3.在開啟檔案的時候,按住Shift鍵,直到開啟檔案完畢,即可以 關閉Word自動巨集的功能,(即不啟動AutoOpen、AutoClose、
AutoNew、AutoExit四個自動巨集)。或是下winword/m的指令行也可 以。若要關掉AutoExec的自動巨集,可以在進Word程式的時候,按 住Shift鍵,直到完全進入Word選單畫面或是下winword/m
DisableAutoMacros的指令行即可。關掉這些自動巨集後,若有看來 歷不明的文件檔,可以檢查看看有沒巨集附在裡面,若您確定不要 所附的巨集,即可將之清除掉。以台灣No.1巨集病毒為例,當您開 啟NEWS.DOC之後,您可以在NEWS.DOC範本裡面看到它含有AutoOpen 巨集,按「刪除」鈕將之清除掉,即可以解毒完成。若病毒已存在 Word內的話,您也可以在NORMAL.DOT共用範本內發現AutoOpen, AutoClose,AutoNew這三個自動巨集,一樣按「刪除」鈕將之清除 掉即可。
此外;若是您在解掉巨集病毒之後,發現WORD文件有無法另存新檔 的情形(WORD文件格式已被修改為”範本格式”無法儲存成其他格式
篇三:宏病毒分析
宏病毒分析
一、宏病毒简介
宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。
宏病毒是一种寄存在文档或模板的宏中计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后所以自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行病毒感染,本质上,它是嵌入到字处理文档或其他类型文件中的一段可执行代码。
二、宏病毒特点
(1)、宏病毒的主要破坏
1.对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将○
文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。 2.对系统的破坏是:Word Basic语言能够调用系统命令,造成破坏。 ○
(2)、宏病毒隐蔽性强,传播迅速,危害严重,难以防治
与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以治愈等特点。
(3)、宏病毒具体表现
1.隐蔽性强 ○
由于人们忽视了在传递一个文档时也会有传播病毒的机会。
2.毒传播迅速 ○
因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话,那么这一招对Word病毒将束手元策。 3.危害严重 ○
无数的DOC文件从上级机关传播到基层, 基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。
4.难以防治 ○
由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法不同。一般情况下,人们大多注意可执行文件(.COM、.EXE)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。
(4)、四种常见宏病毒
? startup病毒
借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,
新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。
? book1病毒
book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel文件中添加和复制一个宏表,利用宏表4.0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。
? VBA病毒
打开EXCEL文档,提示EXCEL VBA中包含无法禁用的宏( excel4.0的),禁用宏则文档为空什么都不显示;发邮件提示有病毒文件发送不成功;在打开EXCEL文件时,自动新建无数个EXCEL文件。
? poppy病毒
如果将宏的安全性设为非常高,禁用宏,会弹出一个警告:“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”,该表打不开;如果要打开这个表,必须降低excel宏安全性等级,将它设为中或低,即运行宏病毒,但又多出了一个book1表。
三、宏病毒检测
宏病毒离不开可供其运行的系统软件(WORD,EXCEL 等OFFICE 软件),所以宏病毒的检测其实非常容易。只要留意一下常用的OFFICE 系统软件是不是出现了一些不正常的现象,就能大概知道计算机是不是染上了宏病毒。
(1)通用模版中出现宏。
(2)无故出现存盘操作。
(3)office功能混乱,无法使用。
(4)office菜单命令消失。
(5)office文档的内容发生变化。
(6)尝试保存文档时,只允许将文档保存为文档模版的格式。
(7)文档图标的外形类似模板而非文档图标。
四、宏病毒的清除
1、手工清除
(1)、通过删除宏命令的形式删除宏病毒。
(2)、通过复制粘贴方式清除宏病毒。
(3)、通过删除NORMAL.DOT来除掉Word宏病毒。
(4)、通过格式转换清除Word 宏病毒。
(5)、通过高版本的Word发现病毒宏。
(6)、为防万一,在打开怀疑感染了宏病毒的文档时按住SHIFT键,这样可以避免宏自动运行,如果有宏病毒,则不会加载宏。
(7)、四种常见病毒清除方法
? strartup.xls病毒。
首先把宏的安全性设置为最高级,禁止所有宏运行。然后在电脑中搜索xlstart文件夹,找到后把该文件夹中的strartup.xls文件删除掉,然后逐个打开已中病毒的文件,按atl+f11打开VBE编辑器。把含病毒的模块删除掉。 ? book1病毒
同样先把宏的安全设置为最高级,然后去xlstart文件夹下删除book1名子的所有文件。然后打开含病毒代码的excel文件,然后插入--名称--定义。把陌生的定义名称全删除掉。
? poppy病毒
1、备份表格,防止万一损坏。
2、找到xlstart文件夹,删除里面的book1,其它文件也可删掉。
3、将excel 2003 宏的安全性设置为高,禁止宏病毒运行。
? VBA病毒
①格式-工作表—取消隐藏,会多出来一个“00000PPY”的工作表,请把该隐藏的工作表删除。如取消隐藏为灰色,则文件没中该病毒、EXCEL2007操作方法为:选中某一工作表后右键—取消隐藏
② 插入-名称-定义,把所有的多余的名称定义删除。EXCEL2007操作方法为:公式—名称管理器
此时该文件的病毒已删除。但如果新建EXCEL文件,则还会中该病毒,请执行第三步
③打开ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,执行1、2步。(BOOK1文件为无扩展名,请用右键-打开方式-选择EXCEL打开)
④找到ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,右键—属性—只读打勾—确定。由于EXCEL每次启动时自动打开ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,经过第3、4步处理后,不会在本机上再传播此病毒,但已感染的文件必须逐一进行第1步和第2步处理。
2、专杀工具
常见的宏病毒专杀工具有MacroClean(又名“Office病毒专杀”)是毒霸资深反病毒工程师boom的业余作品,用于解决Book1、Startup、Results、Poppy等Office常见宏病毒。
五、宏病毒的预防
(1)、根据AUTO宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。
(2)、当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏,特别是出现一些怪名字的宏,肯定是病毒无疑,将它删除即可。具体做法是,选择“工具”→“宏”→“Visual Basic编辑器”,删除各宏代码模块即可。
(3)、当使用外来可能有宏病毒的WORD文档时,如果没有保留原来文档排版格式的必要,可先使用WINDOWS自带的写字版来打开,将其转换为写字版格式的文件保存后,再用WORD调用。因为写字版不调用、不记录、不保存任何宏,文档经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
(4)、最好把C 盘中的AutoExec.bat和Config.sys文件设为“只读”, 把自动执行宏功能禁止, 让宏病毒无法被激活。在Word中, 选择“工具→选项”, 进入“常规”标签, 选取“宏病毒保护”, 这样Word 就有了防止自动宏执行的功能。当然, 我们也可以用下面的命令行来使自动宏无效:Winword.exe/m( 注: 在打开Word 文档时, 按住Shift 键也有同样的作用), 同时, 选择“工具→宏→安全性”, 将安全级设置为最高, 并且取消“可靠来源”中的“信任所有安装的加载项和模版”, 这让我们在预防宏病毒时更加有效。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有