第十章计算机恶意程序与病毒

第十章

计算机恶意程序与病毒

第十章计算机恶意程序与病毒

五、宏病毒 (Macro Virus) 一种利用应用程序宏语言编制的计算机病毒，它附着在某个文件上，当用户打开这个文件时，宏病毒就被激活，并产生连锁性的感染。针对MS Office的宏病毒通常感染Word 的DOT模板文件，尤其是 Normal.dot是系统中大部分文档和字模板的基础，系统缺省状态下该模板文件首先被打开，若该文件被病毒感染，当它被打开时，病毒就会扩散到其他文档和模板。迫使正在编辑的文档以指定模板格式存盘，以便进行传播。宏病毒无法附着在标准格式的 DOC文件中，只有文档模板可以存储实际的宏代码，从而作为病毒载体。


1。宏的概念宏（ Macro ）是微软公司为其 OFFICE 软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

OFFICE 中的 WORD 和 EXCEL 都有宏。 Word 便为大众事先定义一个共用的通用模板（ Normal ． dot ），里面包含了基本的宏。只要一启动 Word ，就会自动运行 Normal ．dot 文件。如果在 Word 中重复进行某项工作，可用宏使其自动执行。 Word 提供了两种创建宏的方法：

宏录制器和 Visual Basic 编辑器。


2。宏病毒的概念 1995年出现第一例， 1996年出现５种，目前，已经出现或变异成了上千种，其破坏性已经从良性发展到恶性。宏病毒编制机理由 Joel McNamara 所公开，通过 Internet网络的主题新闻组和电子公告牌详细阐述了计算机文档、电子邮件以及 OLE环境的安全脆弱性，阐述了采用宏编写特殊程序（病毒）的可能性和文档，并公开了完整的、带注释的源程序 DMV(Document Macro Virus) ，该文档本身有意感染上病毒，这个源程序则成为以后那些别有用心的人编制宏病毒的教材和示例。


1 ）宏病毒是怎样传播的？　一个宏病毒传播主要发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏 , 由此进一步感染随后打开和存贮的所有 Doc 文档。　当 Word 打开一个 .doc 文件时，先检查里面有没有模板 / 宏代码 , 如果有，就认为这不是普通的 doc 文件，而是一个模版文件 , 并执行里面的 auto 类的宏 ( 如果有的话 ) 。　一般染毒后的 .doc 被打开后，通过 Auto 宏或菜单、快捷键和工具栏里的特洛伊木马来激活，随后感染诸如 Normal.dot 或 powerup.dot 等全局模板文件得到系统“永久”控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为 .doc 的模板文件；另外，当一定条件满足时，病毒发作。


2 ）宏病毒本身的局限性

　由于只有模板文件才能储存宏指令 , 所以宏病毒只能以模板文件形式传播。而 Word 在存储模板文件时 (Save AS/ 另存为时 ), 不能选择保存类型 ,只能存为 " 文档模板 " (.dot) 。由此，很容易判断出一个文件是否为一个模板文件。如果是一个以 .doc 为后缀的模板文件，那么可以肯定的说，这是一个被染毒的文件，或者是一个 " 宏病毒遗体 " 。

宏病毒具有如下特征：

①与操纵系统平台无关它可以感染DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。

②利用MS Word字处理软件特性自动装载病毒宏代码

③感染数据文件宏病毒可以感染DOC, DOT, XLS等类型的数据文件④检测消除困难


宏病毒

正常文件

模板

正常文件

模板病毒模板

宏病毒主要针对微软软件 OFFICE ，包括Word, Excel, Powerpoint等

病毒模板附着在正常程序后部

病毒程序用宏 BASIC 语言写成，可用 VB 工具读出。


3 ）宏病毒防御与消除　对付“宏” 宏病毒通过 Auto 宏和特洛伊木马来激活，通过修改全局模板文件来传播，因此，首先要禁止Word 执行 Auto 类的宏。如果不用向导类模板 ( 其后缀一般为 .wiz ，一般人很少用 ) ，就完全可以禁止 Auto 宏的执行，方法很简单 ,自己建立一个宏，名字叫做 Autoexec, 里面内容写上一句： DisableAutoMacros 1即可，此宏是 Auto 宏里的老大，仅在 Word 启动时执行一次，即使有人对它作了篡改，只要不重起Word 就不会起作用。


　对付特洛伊木马　　对付特洛伊木马，要建立自己的工作环境。　计算机病毒能大规模传染的一大原因是：环境的一致。如果每台机器都有其特殊之处 ,那么计算机病毒就很难传播和存活。 Word 本身有着很强的定制功能，它可以被病毒利用进行传播，也可以被我们用来抵御病毒进攻。用户可以自己完全个性化整个界面，但所花功夫太大。但可以只定制一个 FileSaveAs放在工具栏里，就可以进行简单防护了。


　　保护全局模板文件　保护全局模板文件的关键是做备份，这是最后的防线，需要我们格外保护的是 4 个全局模板文件是：　　 \MSOffice\Template\Normal.dot 　　 \MSOffice\Winword\STARTUP\POWERUP.DOT 　　 \MSOffice\Winword\STARTUP\PRCADDIN.DOT 　　 \MSOffice\Winword\STARTUP\SYMBAR.DOT 　把这几个文件做一个备份，至少能保证Word每次重启动时总是处于无毒状态。


　　打开带毒文件时的防护　如果发现一个 abc.doc 文档带毒，可如下手工杀除： 1 ）关闭并重启起Word, 如果系统提示因为只读无法写 normal.dot 或其他 dot 时 ,千万别上当打开只读，导致病毒感染 Normal.dot 等系统模板文件。


　　

2 ） copy abc.doc -> abc.doc.vir做个备份 3 ）在 Word 里选“工具 (T)/ 模板和加载项(I)/", 再点 "管理器 (O)"按钮 , 在 " 宏 (M)" 栏先点 "关闭文件 (F)" ，使它变成 " 打开文件 (F)",打开染毒的 abc.doc,然后删除里面所有的宏，再把它关闭。


4 ）打开修改过的 abc.doc,观察是否有异常 5 ）如果 abc.doc 一切正常，在资源管理器中，右键击 abc.doc ，然后选新建，再把新建文档存盘即可。如果 abc.doc 文档遭到破坏，则解决起来较难。


常见宏病毒使用的宏： AutoOpen, AutoExec, Autoclose, AutoLoad, FileSaveAs, FileExit, FilePrint, FilePrintDefault, InsertPayLoad, PayLoad DropSuriv,


常见宏病毒感染的 Word 模板： NORMAL.DOT

该模板文件通常存放在： C:\Windows\Program Files\Office\ Templates\Normal.dot

手动检查宏病毒的方法： 1 ）在工具栏中使用宏（ m ） \ 宏（ m ） 2 ）使用 Versual BASIC 编辑器


第四节计算机反病毒技术永远的对抗！计算机反病毒技术的难点和困惑病毒制造和病毒机理的不可预知反病毒技术发展迟缓，处于被动局面关键技术：检测、确认；清除、恢复；预防、免疫。技术间的相互依赖，彼此影响。反病毒技术的副作用。并非所有病毒和未来病毒都能够检测、清除、免疫和进行系统恢复。病毒预报能够提出安全警告，但不一定能确认病毒。


一、计算机病毒的检查与识别

1. 静态检查以病毒特征码扫描检查特征码：特殊的病毒程序指令代码或数据 . 单一特征码串；组合特征码；整体扫描、分区扫描、循环扫描、解压扫描、缺点：特征码不全、缺少；欺骗性特征码；变异型特征码


单一特征码组合特征码欺骗特征码变异特征码

病毒 B

病毒 A 病毒 A’


病毒欺骗 : 病毒欺骗通常指：在一种病毒代码中（如病毒 A 中）故意显式地设置另一种病毒（如病毒 B ）的代码，从而欺骗病毒检测和扫描程序，使其误认为是另一种病毒，造成错报和错误删除。

病毒A

病毒B


2. 动态检查关键部位操作企图、可疑操作，对敏感部位和关键数据取的访问企图。例如：对中断矢量的修改对系统参数的修改对配置参数的修改


对中断矢量的修改地址： 00000-003FF对系统参数的修改地址： 00400-005FF 如： 00413 = 0280 = 640KB容量不能减少。对配置参数的修改 I/O 地址 70-71 ，如： IN AL , 70 OUT 71 , AL


3. 病毒检测的副作用 1)漏报系统中有病毒但不能够检查出来。原因 : 未知新病毒、病毒变异、多形性病毒或者隐形病毒；检测程序功能有限、检查技术、位置、途径不对。无病毒特征码，病毒特征码不断改变，压缩文件方式多样，病毒体加密解密方式改变 (如循环加密等 )，病毒采用反跟踪技术和迷惑技术，内存高端和 XMS/EMS 区驻留，病毒技术避开检测技术等。


2)误报系统中没有病毒报成有病毒。原因 : 病毒特征码选择不合理，正常操作与非正常操作不能区分、判断失误，检测技术错误或者不妥。因特殊的干扰而作出错误推测。


3)错报将一种病毒错报成另一种病毒。原因 : 特征码交叉，病毒交叉感染，病毒、重复感染、病毒欺骗等。一般性错报 : ①病毒名称的人为命名确认病毒名称，采用对应反病毒软件。②多种病毒具有相同的特征码选择合适的病毒特征码，选用反病毒软件。


对实用而言，少许的漏报和误报是允许的，而错报可能会带来一定问题。但误报率超过一定限度，就会对用户产生干扰，也会对反病毒软硬件的质量与可靠性产生怀疑。


二、计算机病毒的清除 1. 计算机病毒清除的机理只把病毒程序清除掉并不一定能保证系统恢复正常，理论上应当将那些被病毒改动和覆盖的代码、数据和参数完全恢复，但这是困难的。目前的方式：删除、覆盖、替换、恢复 2. 计算机病毒清除问题的讨论 1) 安全干净清除（期望） 2) 不能够安全清除（可用，可信） 3) 不能清除（保守疗法）


计算机病毒清除问题的讨论

例如：引导区病毒的覆盖、替换性清除

正常引导扇区

正常引导扇区

转移

病毒程序扇区

替换

病毒程序扇区

重复感染病毒程序扇区

覆盖清除

1 ）第一次感染清除用正常引导区覆盖病毒区可以完整清除病毒。2 ）重复感染后清除，仍然用病毒区覆盖病毒区，不能有效清除。


三、病毒清除后的系统恢复病毒消除的副作用 : 带毒程序可以执行，但病毒消除后却反而不能执行甚至死机。带毒系统本来可以正常启动，但消除病毒后反而系统不能启动，而且很难恢复。


产生的问题：用户反感、怀疑、愤怒、不愿使用。反病毒技术和消病毒软件失去实用性，可信性。这种副作用在病毒变异和病毒交叉感染情况下尤其严重，对病毒的错误消除将产生文件或者系统的不可能恢复。

第十章计算机恶意程序与病毒错误检测将导致错误消除，可能引起系统崩溃、死机，使系统不能恢复。目前，很多病毒不能安全清除，或清除后系统恢复不全。不能清除的原因 : 新型病毒机理不完全了解，计算有误，恢复点不完全，重要数据已经丢失。不能恢复的原因 : 破坏性感染，复

盖型感染，转移型 + 复盖性感染，物理性删除等。最后形成：系统安全恢复，系统部分恢复，系统带毒运行，系统不能恢复。


四、计算机病毒的预防与免疫防患于未来，反病毒技术的宗旨。没有一劳永益的事，能有一种反病毒软、硬件能防止未来的病毒吗？否！免疫法和以毒攻毒的办法能否有效？对某些病毒有效，有些无效。并非所有病毒都是可以免疫的。由于病毒的变异，某些病毒免疫标志也会发生变化，甚至消失。这样，免疫法在时过境迁的情况下是不能阻止病毒的再次感染，也不能防止未来的病毒。以毒攻毒的办法只适合于某类病毒，并非都有效。


必须防止以毒攻毒办法的滥用。反病毒技术是针对一定的硬件环境，针对病毒的机理和技术形成的，要防止未来形病毒，必须找出计算机系统本身的薄弱点，加强系统本身的安全。如果只是针对病毒而寻找反病毒方法，研究反病毒技术，将永远是被动的，会永远受病毒技术制约，落后于病毒技术。

第十章计算机安全与恶意程序几种重要病毒 1 。 CIH 病毒（病毒编写人：陈益豪，台湾） CIH 病毒又名“切尔诺贝利病毒”（病毒被设定在前苏联切尔诺贝利核电站事故的周年纪念日发作），是已知计算机病毒中危害最大的一种，传染力强、破坏性非常大，甚至会对硬件设备造成损害。与一般计算机病毒不同，它既破坏软件，又破坏与硬件有关的固件（ firmware ：存储有程序指令和数据的硬件芯片）中的内容，使计算机主板失效（注意，不是直接摧毁硬件，这是一个概念问题）。

第十章计算机安全与恶意程序

几种重要病毒截止 2000年， CIH 病毒有３个重要版本： 1.2版本（４月 26日爆发）， 1.3 版本（ 6月 26日爆发）， 1.4 版本（ 5 月 26 日爆发），变异版本（每月 26日爆发）。 CIH 病毒的防范措施： 1 ）提前检查和清除病毒，可利用各种反病毒软件。 2 ）人工在病毒发作前修改计算机上的时间，避开病毒爆发。 3 ）病毒入侵途径通过国际互联网，建议用户在下载网上文件时一定要谨慎。

第十章计算机安全与恶意程序第二代 CIH 病毒第二代 CIH 病毒主要攻击ＮＴ网和汉字简码库，主要针对我国计算机系统进行攻击，新病毒具有微软 Windows.NT 版和微软 Windows汉字简码库两个版本进行攻击，造成 NT整个网络瘫痪和所有汉字系统破坏。

第十章计算机安全与恶意程序 CIH 病毒受损修复方法　 CIH 病毒发作后的现象：硬盘不能正常启动，所有逻辑分区丢失，显示器不能正常显示，系统BIOS 被病毒改写，软盘不能正常启动计算机。　 1 ．磁盘修复　对于已经被 CIH破坏的硬盘 , 可以作以下处理：　 1 ）第一个逻辑盘（ C盘）通常不能完全恢复，如果使用 KILL 98 制作过应急盘，可以用KILL 98应急盘中保存的主引导区记录、分区表记录恢复硬盘，找回大部分文件。

第十章计算机安全与恶意程序

2 ）其它逻辑盘，只要不是 FAT32格式，可以用 NDD之类的磁盘工具或用 KILL98急救盘恢复，但需要使用者对硬盘的物理结构有足够的了解。　 3 ）对 FAT32分区的逻辑盘，需要对 FAT32结构具有深入了解的专业人员用 debug 等工具手工恢复。

第十章计算机安全与恶意程序　 2 ．主板修复　CIH破坏主板，实际上是破坏系统 BIOS ，可以作以下处理，恢复 BIOS　 1 ）如果是能够提供良好服务的厂家的品牌主板，请与厂家联系。 2 ）找一个相同型号的主板（要求 BIOS 的厂家和版本必须严格相同），下载主板厂家提供的升级文件，取下坏 BIOS芯片，用新的 BIOS片启动电脑，并在带电的情况下换回坏的 BIOS片，从 A盘写入。 ( 此办法由于带电操作，有很大危险，用户操作有可能操作后造成硬件整体被破坏，请用户慎重！ )

第十章计算机安全与恶意程序　　 3 ）有的主版升级程序在写入时会检测 BIOS 版本号，如无则无法改写，此种无法写入 BIOS情况则必须更换计算机的 BIOS芯片 , 可以与您的硬件购买商 , 或主板在中国的代理商联系。　 3 ．采用反病毒程序利用 KV300 、瑞星等反病毒程序中提供功能解决。例如，采用 Symantec 公司研制的 KILL_CIH 软件来检测 CIH 病毒，该程序可以十分简洁迅速地“关闭”受 CIH 病毒侵袭的计算机内存中所有的 CIH 病毒感染进程，但不会从文件中检测或清除W95 CIH 病毒，只会使内存中的病毒失效。

第十章计算机安全与恶意程序　　 2 。“压缩虫”病毒病毒（ Worm.Explorer.Zip ）是一种蠕虫类病毒，破坏性比“梅利莎”病毒更大，它能够销毁电脑里几乎所有的文件，对使用 Windows95 、98 和 NT操作系统的电脑用户影响很大。对于商业部门、政府机构和个人微电脑使用者会构成严重的威胁。该病毒于 1999年 6月 6日在以色列首次发现，现已扩散到全世界。

第十章计算机安全与恶意程序病毒通过电子邮件传播，它发出的邮件包含有如下的内容： "I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs."“我已收到了你的电子邮件，我将尽快发给你一个回件。收到后请打开附件。”

第十章计算机安全与恶意程序邮件的附件名称为 "zipped-files.exe" ，一旦该程序被打开（执行），将在硬盘上安装一个名为 "explore.exe" 的病毒程序，该程序将毁坏磁盘上的所有文件，并自动向外发出含有病毒体的电子邮件，以传播和感染新的用户。只要不打开邮件附件不会有危害。病毒修改 Win 9X 的 WIN.INI 以及 Win NT的注册登记文件，调用 MAPI 所查到的 E-mail应用程序，如： MS Outlook 、 MS Outlook Express 、 MS Exchange 和 Netscape-mail 等。

第十章计算机安全与恶意程序名为“ Zipped_files.exe” 的蠕虫病毒附在该答复邮件中，其大小为 210,432 bytes 。文件为 Winzip压缩图标，当收件人双击它进行解压时，在此过程中将会出现一个假错误提示信息：“ Cannot open file ： it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.”然后，该病毒搜索机器上所有驱动器，找到后会删除所有下列文件： .c .cpp .h .asm .doc .xls .ppt ，使其字节长度变为 "0" 。

第十章计算机安全与恶意程序清除 ExploreZIP.worm 病毒的有效方法：　　1 ） Win9X ：重启并进入 MS_DOS 模式，编辑WIN.INI 并删掉“ run=c:\windows\system\explore.exe” ，然后删除“ c:\windows\system\ explore.exe” ，再重启 Win9X 。2 ） WinNT ：该蠕虫作为一个进程，名为“ explore” ，用户可以终止该进程。运行 REGEDIT（注意不是 REGEDIT32 ）并在 [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current\Version\Windows 中删除“ run=C:\\WINNT\System32\Explore.exe” ，重启 NT 并删除文件“ c:\winnt\system32\Explore.exe”

第十章计算机安全与恶意程序计算机病毒的新动向： 1 ）多形性病毒越来越多 2 ）宏病毒泛滥 3 ）电子邮件成为病毒传播的主要途径 4 ）病毒进入各种系统平台 5 ）病毒机理错综复杂 6 ）产生移动系统中的病毒（手机病毒） 7 ）欺骗性病毒或者欺骗性程序产生心理障碍 , 假作真来真亦假

第十章计算机安全与恶意程序手机病毒移动电话许多功能的实现，要依靠机器中的微处理器及其软件，计算机病毒程序侵入手机也产生了可能。病毒发作特征：手机正常响铃，屏幕显示“ Unavailable” ，此时，不能接听，应当立即关掉手机。如果接听手机，病毒会清洗掉手机存储的资料，令手机无法使用，严重的会损坏电话卡。手机病毒可以随时发作。


第四节反病毒技术的应用反病毒技术的应用必须根据具体的计算机系统平台环境来考虑，尽可能地避免反病毒技术可能出现的副作用。环境兼容性问题是指在反病毒软、硬件研究中，对该技术的适用范围、程度、效果所

依赖的硬件 (机型等 ) 和软件 (系统等 )环境的考虑。


一、系统硬件环境的兼容性硬件环境：病毒和反病毒技术所依赖的宿

主机 (机种与机型 ) ，受系统其他部件 (如功能卡 ) 的限制，可能产生的地址冲突，与多用户、多机和网络环境相配合的问题。病毒攻击的目标不同，反病毒技术能否顾及全面 ? 这是研究的热点。反病毒的硬件产品在与机器的配置上可能会出现地址和信号的冲突。如 :硬件配置结构、显示模式、磁盘格式和存储模式的不同，也会对病毒和反病毒技术产生影响。在单机上可行的反病毒技术和产品不一定能适用于多用户系统，不能与该系统兼容，也不一定能够在多机和网络环境下使用。


二、系统软件环境的兼容性软件环境包括的范围很宽，如系统软件、应用软件、工具软件等运行环境。如：操作系统版本，系统与应用软件版本上的兼容。系统版本的不兼容，涉及到系统中某些数据结构的不兼容，也可能涉及到文件系统和磁盘格式、工作区域等数据的差异，针对某一版本或者在某一操作系统环境下设计和开发的计算机反病毒软件，在另一版本环境下可能会产生某些副作用和不兼容性。这也是为什么有的计算机反病毒软件会造成系统错误的原因之一。这些在进行病毒的消除和系统的恢复中产生的副作用，将引发新的系统软故障。


第五节反病毒法律与法规为对付日益猖獗的计算机病毒和恶意程序，各国相继颁布了各种系统安全条例、规范和法律，毫无例外地对计算机病毒的制造传播和防御防护作出了相应的规定。日本信息处理振兴协会 (IPA) 公布电脑防毒守则，主要内容如下： 1.使用最新防病毒软件。因为过时的防病毒软件对新生病毒无效。 2.防患于未来，重要数据要求备份。数据备份是系统恢复的重要基础。


3.注意病毒发生征兆。当出现下述情况时应立即检查，即当操作突然中止；系统无法启动；文件消失，属性自动变更；程序大小和时间出现异常；非使用者意图的电脑自行操作等。 4.电子邮件附件在进行病毒检查后再开启。应当养成寄发和打开邮件前先检查的习惯。 5.接触有可能感染的文件时，避免自动执行连接操作。 6.从外部取得的盘片和下载的文档，应检毒后再使用。压缩文件应在解压后检查病毒。 7.严格管理公用电脑，确认何人、何时、作何使用。


中国颁布的与计算机安全有关的法律法规：1 ）中华人民共和国计算机信息系统安全保护条例（ 1994 ，国务院令 147号）2 ）中华人民共和国计算机信息网络国际联网管理暂行规定（ 1996 ，国务院令 195号）3 ）中华人民共和国计算机信息网络国际联网管理暂行规定实施办法（ 1997 ，国务院审定）4 ）中华人民共和国计算机信息网络国际联网安全保护管理办法（ 1997 ，国务院颁发）5 ）计算机信息系统国际联网保密管理规定 (1999 ，国家保密局发布 ) 其他安全法规（略）

Documents

第十章 计算机 恶意程序与病毒

第十章计算机恶意程序与病毒