梅丽莎病毒剖析.pptx

教学单元3-3 宏病毒防治第二讲 梅丽莎病毒剖析 梅丽莎病毒特点 梅丽莎病毒源码分析 梅丽莎病毒行为分析 梅丽莎病毒的手工清除计算机病毒与防治课程小组梅丽莎病毒特点梅丽莎病毒简介病毒名称：梅丽莎,又称 Macro.Word97.Melissa 病毒类型： 宏病毒危险级别： ★★★★★影响系统 Word97/Word2000?计算机病毒与防治课程小组梅丽莎病毒特点梅丽莎病毒简介“梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案。计算机病毒与防治课程小组梅丽莎病毒特点病毒制造者2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他表示认罪，认为设计电脑病毒是一个“巨大的错误”，自己的行为“不道德 ”。计算机病毒与防治课程小组梅丽莎病毒特点梅丽莎病毒特点该病毒通过电子邮件的方式传播, 当用户打开附件中的“list.doc”文件时，将立刻中招。病毒的代码使用Word的VBA语言编写, 开创了此类病毒的先河, 如同病毒作者的猖狂之言“It’s a new age!”。病毒通过对注册表进行修改, 并调用Outlook发送含有病毒的邮件, 进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的, 因此往往被很多人忽视。同时, 该病毒会自动重复以上的动作, 由此引起连锁反应, 在短时间内, 造成邮件服务器的大量阻塞, 严重影响正常网络通讯。该病毒可感染Word97、Word2000的Doc文件, 并修改通用模板Normal.dot, 使受害者几乎永无“ 脱离苦海”之时。计算机病毒与防治课程小组梅丽莎病毒源码分析梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。1、梅丽莎病毒被激活后, 将修改注册表中的“HKEY_CURRENT_USER\Software\Microsoft\office\”键, 并增加项“Melissa？”, 赋值为“… by Kwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。病毒中相关操作的核心代码如下所示： ’读取注册表项的内容, 进行判断If System.PrivateProfileString(“”,“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)<>“… by Kwyjibo” Then……’其它操作代码 ’设置感染标志System.PrivateProfileString(“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)= “… by Kwyjibo”End If 计算机病毒与防治课程小组梅丽莎病毒源码分析2、发送邮件在Outlook程序启动的情况下, 梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件, 主题为“Important Message From ”, 用户名“<user>”为Word软件的用户名, 邮件的正文为“Here is that document you asked for … don’t show anyone else; 一)”, 邮件的附件为一个文件名为“list.doc”的带毒文件。为了实现七述功能, 病毒利用获取了地址薄中所有的邮件地址, 并发送内嵌病毒代码的邮件, 达到了疯狂传播的目的。病毒中相关操作的核心代码如下所示：计算机病毒与防治课程小组梅丽莎病毒源码分析Dim UngaDasOutlook,DasMapiName,BreakUmoffASlice ’创建Outlook应用程序实例对象Set UngaDasOutlook=CreateObject(“Outlook.Application”) ’获取MAPI对象Set DasMapiName= UngaDasOutlook.GetNameSpace(“MAPI”)If UngaDasOutlook=”Outlook” ThenDasMapiName.Logon “profile”,”password”’遍历地址薄, 进行邮件发送操作For y=1 To DasMapiName.AddressLists.CountSet AddyBook= DasMapiNam