计算机病毒的深入研究.docVIP

组员：范俊杰，张伟平，冼智键，李卫，卢洪权，李颖怡；指导教师：汤向东 前言、病毒的概念及其原理、病毒的种类及演变过程、病毒的预防和清除 一、 前言： 人类进入了信息社会创造了智能机器(电子计算机)，同时也创造了机器(电子计算机)病毒，福祸同降。人类在信息社会更容易与机器(电子计算机)融为一个整体，可是，破坏这个整体的一个方面将是机器病毒(计算机病毒)，人类同时在与生物病毒作斗争时又要与机器病毒作斗争，这是人类在方便自己时也在为难自己。从一九八三年计算机病毒首次被确认以来，并没有引起人们的重视。直到一九八七年计算机病毒才开始受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今，全世界已发现近数万种病毒，并且还在高速度的增加。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特洛依木马等有害代码大量涌现。下面按病毒出现的顺序，简要例举部分病毒的特性就可看出其发展过程。 二、病毒的概念及其原理： 回页首 病毒的概念：计算机病毒(Computer Virus)在 《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。” 病毒的原理： 文件型病毒将自身附着到一个文件当中，(如：一个字处理程序或DOS程序)。通常文件型的病毒是不会感染数据文件的，然而数据文件可以包含有嵌入的可执行的代码，如：宏，它可以被病毒使用或被特洛伊木马的作者使用。最新版本的Microsoft Word尤其易受到宏病毒的威胁。文本文件，如：批处理文件，postscript语言文件和那些可被其他程序编译或解释的含有命令的文件都是malware（怀有恶意的软件）潜在的攻击目标。 引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续PC机的启动进程。大多数情况，在这台染有引导型病毒的机器对可读写的软盘进行读写操作，那么这块软盘也就会被感染。 3种病毒及其演变过程： 回页首 VBS/BubbleBoy 1.0病毒：VBS/BubbleBoy（译做：泡沫小子）是一个通过MS Outlook E-mail广泛传播的蠕虫病毒。它可以被看作“概念试验”（proof-of-concept）蠕虫。BubbleBoy会发送一封主题为“BubbleBoy is back!”（泡沫小子来了！）的HTML电子邮件。BubbleBoy蠕虫在网上集中发送电子邮件的特性可与Melissa病毒家族相媲美。 首先，蠕虫修改注册所有人为“BubbleBoy”，注册组织为“VandelayIndustries”，然后，蠕虫读取注册关键字“HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\”，并比较其内容是否含有“OUTLOOK.BubbleBoy 1.0by Zulu”字串，如果未发现这串字符，集中发送邮件的程序代码将被执行。 蠕虫将创建一个消息给所有在Outlook通讯簿中受到攻击的用户，该消息的主题是：“BubbleBoy is back!”。消息体（HTML）含有“BubbleBoyis back!”主题和正文：“The BubbleBoy incident, pictures and sounds.”在消息内还包含了一个Web页的连接。最后，在此消息提交后，病毒设置了一个删除消息的标志。在BubbleBoy 蠕虫中未发现额外的负载现象。 HAPPY99 蠕虫程序：它是一个32位的EMAIL及程序组蠕虫程序。当第一次以Happy99.exe文件执行时，它会表现为一幅放礼花的图像；通常该程序会以邮件的附件形式传递开来，或者从一些程序组中下载而来。 首次执行HAPPY99.EXE，它会在WINDOWS的系统目录下建立文件：SKA.EXE及SKA.DLL两个文件，SKA.EXE是HAPPY99.EXE的拷贝，SKA.DLL被压缩在SKA.EXE文件中。此后，SKA将系统目录下的文件WSOCK32.DLL复制一份为WSOCK32.SKA，接着，给原WS