震荡波病毒论文(华北电力大学科技学院)--副本教程.doc

题 目： 震荡波病毒 院 系： 信息工程 班 级： 网络12K1 学 号： 学生姓名： 日期： 年 月 日 引言 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏。计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作， 会使电脑变慢。计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。综上所术，计算机具有繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性这六个特征。 震荡波(Shockwave)是一种电脑病毒，为I-Worm/Sasser.a的第三方改造版本。电脑中了震荡波病毒后，它会开机以后马上出现一个对话框，上面有一个关机的倒计时，时间到了马上关机。中了病毒的电脑将无法开机，让人头疼加蛋疼。 震荡波病毒具有以下特征： （1）感染系统为：Windows 2000、Windows Server 2003、Windows XP、Windows 7； （2）利用微软的漏洞：MS04-011;　 （3）病毒运行后将自身复制为%WinDir%\napatch.exe； （4）在注册表中启动 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:napatch.exe = %WinDir%\napatch.exe;这样，病毒在Windows启动时就得以运行； （5）在TCP端口5554建立FTP服务，用以将自身传播给其他计算机； （6）随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。病毒利用后门端口9996，使得远程计算机连接病毒打开的FTP端口5554，下载病毒体并运行，从而遭到感染； （7）病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。 震荡波的原理：“开始--程序--启动”这个文件夹大家都知道，将运行程序复制在里面，所有的程序都会开机自动启动。就像我们安装了QQ，都要进入那个“启动”文件夹，删掉里面的QQ，防止其自动启动。震荡波病毒的原理就是，一个关机的程序被恶意复制到“启动”文件夹里。关机程序其实很简单，就是一个VBS脚本，或者是BAT脚本。大家可以自己制作：新建一个记事本，输入shutdown -t 60 -c 你的电脑中了病毒，必须关机，然后保存成“震荡波.BAT”，执行一下，看看效果。然后再复制到“开始--程序--启动”里，注意：如果执行了以后是立即关机，就不要放在“开始--程序--启动”里了，否则电脑永远打不开。 计算机病毒是一个程序，一段可执行代码，震荡波病毒也是一段代码，它的源代码如下：#include stdio.h?#include strings.h?#include signal.h?#i