计算机毕业设计（论文）计算机病毒诊断与防治（含源程序）.doc

《计算机毕业设计（论文）计算机病毒诊断与防治（含源程序）.doc》由会员分享，可在线阅读，更多相关《计算机毕业设计（论文）计算机病毒诊断与防治（含源程序）.doc（81页珍藏版）》请在三一办公上搜索。

1、全套源程序等，联系153893706目 录引 言1第一章计算机病毒简介21.1计算机病毒的认识21.1.1计算机病毒的产生21.1.2计算机病毒的起源识41.2计算机病毒的结构特征4 1.2.1病毒的结构4 1.2.2病毒的特征51.3计算机病毒的发展历史61.4蠕虫病毒61.5计算机病毒发展趋势10第二章冲击波病毒简述112.1 冲击波病毒介绍 112.2 冲击波病毒的操作与症状112.2.1冲击波病毒的操作112.2.2计算机病毒的发作症状122.3 冲击波病毒的具体说明132.4 冲击波病毒的解决方案142.4.1应急解决142.4.2DOS下清除该病毒152.4.3安全模式下清楚该病毒

2、152.4.4安全建议17第三章VB介绍183.1 VB的诞生183.2 VB的特性183.3 VB中的API函数193.3.1什么是API函数193.3.2软件中涉及的API函数及其定义20第四章 冲击波的杀毒软件234.1 杀毒软件介绍234.2 杀毒软件具体实现254.3 杀毒软件流程图29第五章 设计总结30致谢36参考文献37附录38摘 要目前，计算机病毒可以渗透信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此研究对算机病毒的分析与清除的方法是迫在眉睫的，本论文从对病毒的分析入手，结合计算机病毒传染的现状，概述了计算机病毒的发展历史及危害性

3、，给出计算机病毒的一种计算模型，并针对具体的实例冲击波病毒，初步分析其有关性质和作用原理，仔细阅读它的源程序，根据病毒的发作机制，提出了它的清除方式。冲击波病毒主要是利用微软系统的漏洞，实现其破坏目的的。我主要是采用对所有的文件进行二进制扫描，如果发现病毒特征码就认为是病毒感染文件，保留文件的路径后，根据路径删除感染文件，同时清楚注册表中被病毒改写过的内容。从而最终实现其杀毒的目的。 关键词：病毒 冲击波 二进制 路径 注册表Abstract At present, computer virus could permeate every region of the society. And i

4、t brings great destruction and potential threat to the computer system. In order to insure the safety and expedite of the information, so study the analysis which is computer virus and the method which is used to clear away the virus is pressing. This paper generalizes the development and the harm o

5、f the computer virus, by analyzing the actuality of the computer virus and beginning with analysis of the computer virus. We also get a compute model of the computer virus , our model is more practical and reasonable in respect of the computer virus characters of infection and spread. According a in

6、 detail example that is Worm. Blaster, preliminarily analyze the character and action principle about the Worm. Blaster, carefully read its source program，according to the outbreak mechanism of the virus bring forward its way which is used to clear way. Worm. Blaster accomplishes destructive aim by

7、using the leak of Microsoft system. We mainly use binary scanning which is used for all files. If finding out characteristic, we will consider that it is the file that is infected by computer virus. After conserving the path which is infected file, according this path delete this file. At the same t

8、ime clear off the content of the register which is recomposed by computer virus. Thereby we finally accomplish the aim which is clear off virus.Keywords: virus Worm. Blaster binary path register 引 言随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁

9、和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒越来越受到各国的高度重视。在科技年鉴记载的种种丰功伟绩当中，在科技年鉴记载的种种丰功伟业当中，Fred Cohen的贡献绝对堪称一绝：是他把“病毒”(virus)一词引进电脑词典。 在1984年发表的研究论文中，这位New Haven大学教授首度使用“病毒”一词，用来形容会自我扩散的程序及其带来的威胁，并建议可能的防御之道。21世纪全世界的计算机

10、都将通过Internet联到一起，这是一个信息的社会、网络的社会，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。 计算机病毒是能改变或破坏存在计算机中的数据的程序，而且它能在操作过程中不断自我复制，从而造成损害。1987年，计算机病毒在美国四处蔓延，而且第一种计算机病毒“小球”在当年年底传播到我国。从那以后，已经发现进口和国内的病毒。迄今为止，计算机病毒已经增加到20,000多种；其中90以上能攻击微型计算机。在本次设计中，我主要是选择了冲击波病毒作为研究的课题。通过对冲击波的有关性质和作用原理进行系统的分析，找到它的发

11、作机制，提出了一套事实可行的解决方案。主要是采用对所有的文件进行二进制扫描，如果发现病毒特征码就认为是病毒感染文件，保留文件的路径后，根据路径删除感染文件，同时清楚注册表中被病毒改写过的内容。第一章 计算机病毒的简介1、1计算机病毒的认识什么是计算机病毒，怎样预防及消灭病毒？关于这个话题，众说纷纭。有人说，只要拥有了一套功能强大的杀毒软件便万事大吉；有人说，只要不上网就可抗拒病毒的侵害；还有人认为，只要定期格式化硬盘就能把病毒扼制在萌芽状态面对种种说法，其实病毒不是那么神奇，对它的预防与剿灭也远不是如此简单。计算机病毒(computer virus)最早是由美国计算机病毒研究专家F.Conhe

12、n博士提出，病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。它有着与生物病毒极为相似的特点。一是寄生性，它们大多依附在别的程序上面。二是隐蔽性，它们是悄然进入系统的，人们很难察觉。三是潜伏性，它们通常是潜伏在计算机程序中，只在一定条件下才发作的。四是传染性，它们能够自我复制繁殖，通过传输媒介蔓延。五是破坏性，轻则占用一定数量的系统资源，重则破坏整个系统。随着计算机工业的发展，病毒程序层出不穷，到了21世纪的今天它的种类已经达到千万种。虽然病毒的类型有很多，变型的病毒更无法计算，但是就其传染对象来分只不过四类：BIOS、硬盘引导区、操作系统与应用程序病毒。1、1

13、、1计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。（2）计算机软硬件产品的危弱性是根本的技术原因计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错

14、误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。（3）微机的普及应用是计算机病毒产生的必要环境1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。 其产生原因也不外乎以下几种：1.

15、一些计算机爱好者出于好奇或者兴趣，也有的是为了满足自己的表现欲。故意编制出一些特殊的计算机程序，以显示自己的才干。次类病毒破坏性一般不大。2. 产生于个别人的报复心理，此种病毒对电脑用户会造成一定的灾难。3. 来源于软件加密。一些商业软件公司为了不让自己的软件被非法复制和使用，运用加密技术，编写一些特殊程序附加在正版软件上， 如遇到非法使用，则此类程序自动激活，于是又会产生新的病毒，如巴基斯坦病毒。4. 用于研究或实验而设计的“有用“的程序，由于某种原因失去控制而扩散出来5. 由于政治，经济和军事等特殊目的，一些组织或个人也会编写一些程序用于进攻对方的电脑，给对法官造成灾难或者直接经济损失。

16、其感染的途径主要有1. 引进的计算机系统和软件中带有病毒2. 各类出国人员带回的计算机和软件染有病毒3. 染有病毒的游戏软件4. 非法拷贝病毒5. 计算机生产，经营单位销售的计算机和软件染有病毒6. 维修部门交叉感染7. 有人研制，改造病毒8. 敌对分子以病毒为媒体或武器进行宣传和破坏9. 通过互联网（访问Web，下载E-Mail和文件等）传入的1、1、2计算机病毒的起源计算机病毒并非是最近才出现的新产物。事实上，早在1949年，距离第一部商用电脑的出现仍有好几年，电脑的先驱者冯.诺伊曼（John Von Neumann）在他所提出的一篇论问复杂自动装置的理论及组织的进行中勾勒出了病程序的蓝图

17、。他指出，数据和程序并无本质的区别。十年后，在美国电话电报公司（AT&T）的贝尔（Bell）实验室中，这些观念在一种很奇怪的电子游戏中实现了，这种电子游戏叫做“磁芯大战”（core war）这其实就是病毒的起源。1、2计算机病毒的结构和特征1、2、1病毒的结构 计算机病毒是能改变或破坏存在计算机中的数据的程序，而且它能在操作的过程中不断复制自己，从而造成更大的损害。综合分析计算机病毒它通常由五部分构成：感染符、传染模块、破坏模块、触发模块和主要控制模块。 (1)感染符感染符也称作病毒签名，由若干数字或字符的ASCII编码构成。当病毒传染正常程序时，它在程序上留下病毒签名作为感染符。在病毒打算传

18、染一个程序时，它首先检查是否有感染符；如果有，程序就已经被感染，病毒不会进一步传染它，如果没有，就传染它。多数病毒遵循这种一次性传染。如果病毒不检查感染符，则可能发生多次传染，该程序的长度将不断增加，这种情况很少见。(2)传染模块这是传染寄宿程序的模块。它完成三项任务：查找可执行的文件或被覆盖的文件检查该文件上是否有感染符传染它如果没有发现感染符，就在寄宿程序中写人病毒编码。(3)破坏模块破坏模块主要是负责按照病毒设计者在破坏编码中的企图执行破坏任务，包括删除文件、删除数据、格式化软盘和硬盘、降低计算机效率和减少使用空间等。(4)触发模块它主要是检查是否具备触发条件（例如，日期、时间、资源、传

19、染时间、中断调用、启动次数等）。如果条件成熟，它返回“真”值，并且调人破坏模块进行破坏，否则它返回“假”值。(5)主要控制模块控制模块顾名思义它是控制上述四个模块的。此外，它还确保受传染的程序能继续正常工作，在意外情况下不会发生死机。1、2、2病毒的特征根据病毒的结构分析，综合各种病毒的发作机制和以及它们的关系原理，可以发现所有病毒是有共同特征的，主要表现在基本特征和一般特征两个方面。一、基本特征(1)传染：计算机病毒作为一个程序，能自我复制到其他正常程序或者系统的某些部件上，例如磁盘的引导部分。这是病毒程序的基本特征。随着网络日益广泛发展，计算机病毒能够在短时间内通过网络广泛传播。(2）潜伏

20、：隐藏在受感染系统内的病毒并不立即发作；相反，在它发作前，需要一定时间或具备某些条件。在潜伏期内，它并不表现出任何扰乱行动，因此很难发现病毒并且病毒能够继续传播。一旦病毒发作，它能造成严重破坏。(3）可触发性：一旦具备某些条件，病毒便开始攻击。这一特征称作可触发性。利用这一特征，我们能控制其传染范围和攻击频率。触发病毒的条件可能是预设的日期、时间、文件种类或计算机启动次数等。(4）破坏：计算机病毒造成的破坏是广泛的它不仅破坏计算机系统、删除文件、更改数据等，而且还能占用系统资源、扰乱机器运行等。其破坏表现出设计者的企图。(5）非授权：一般正常程序是由用户调用，再由系统分配资源，完成用户交给的任

21、务，其目的对用户是可见的，透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时，窃取到系统的控制权，先于正常程序执行，病毒的动作，目的对用户是未知的，是未经用户允许的。病毒的执行对系统而言是未授权的（6）不可预见：从病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒他们的代码千差万别，但有些操作上一共有的（常驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新的病毒，但由于目前的软件种类极其丰富，且有些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，使用这种方法对病毒进行检测势必会造成较多的误报，而且病毒制作技

22、术也在不断的提高，病毒技术对反病毒软件永远是超前，不可预见的。二、一般特征(1）快速影响：1984年，弗雷德科登博士获准在使用UNIX操作系统的XAX11 / 750计算机上进行病毒实验。在多次实验中，计算机瘫痪的平均时间为30分钟，最短的时间为5分钟。通常，如果受传染的微机与因特网相联，则病毒在几小时内能传染数千台计算机。(2）难以消除：一方面，日复一日出现新病毒或其变种；另一方面，一些病毒在被消除后可能死灰复燃，例如在重新使用受感染的软盘时。(3)载体特征：病毒能够作为载体传播正常信息，因而避开我们在系统中设置的保护措施。在用户正常操作系统时，病毒偷偷控制系统。用户可能还认为他的系统运行正

23、常。(4)难以探测：病毒通过各种超出我们控制的方式传染，此外，随着非法复制和盗版软件大行其道，病毒探测变得更加困难。(5）欺骗特征：病毒往往隐藏自己，避免被探测到。1、3计算机病毒发展的历史 第一个计算机病毒是在科学家的实验室诞生的，这一天是1983年11月3日，距离今天整整20年。在这20年间，共诞生了一万多种病毒，极大地威胁着我们的计算机信息安全。 在第一个病毒诞生后，一些技术天才逐渐掌握了病毒的制作技术。1986年初，在巴基斯坦小镇拉合尔，巴锡特和阿姆杰德两兄弟编写了Brain病毒，被感染的电脑都会在屏幕上闪烁一则信息，为两兄弟经营的Brain计算机服务公司做广告。Brain病毒在一年内

24、流传到了世界各地，使人们认识到计算机病毒对PC机的影响。1987年，计算机病毒第一次大爆发，大麻、IBM圣诞树、黑色星期五等病毒突然袭击，使众多计算机用户甚至专业人员都惊慌失措。人们甚至只好在星期五关闭计算机以免被黑色星期五摧毁系统。1988年，一个蠕虫病毒钻进了Internet网络，致使网络中的6000多台UNIX计算机受到感染，直接经济损失达9600万美元。作者是美国康耐尔大学23岁的研究生罗伯特莫里斯，不过他后来改邪归正，成为了美国军方的安全专家。同年，著名的小球病毒登陆中国，中国的计算机用户第一次尝到了病毒的厉害。 到了1995年，病毒的制作技术更加多样化，传统的反病毒技术已经力不从心

25、。以变形金刚病毒为代表的变形病毒出现了。它可以根据数学原理改变自身的特征，让反病毒软件难以察觉它的存在。科学家发现在它背后有一种“计算机病毒生产机”软件，这种软件可以随意产生变形病毒。“魔高一尺，道高一丈”，反病毒专家终于研究出了虚拟机技术，这种技术可以引诱变形病毒现出真身，从而把它消灭。 1996年，病毒继续发展，出现了针对微软公司Office系列的宏病毒。它看起来像是Word文件，却包含有一段病毒程序，打开之后就可以运行。1998年，台湾的陈盈豪编写了历史上破坏最大的计算机病毒CIH，它是第一个直接攻击、破坏硬件的计算机病毒。1998年后，随着Internet的高速发展，病毒的种类越来越多

26、，传播越来越广，红色代码、尼姆达、冲击波等病毒为代表的网络病毒大量出现，给用户造成的经济损失也越来越大。反病毒技术期待再次创新，人们和计算机病毒之间的战争注定将继续下去。通过上面对计算机病毒的简单了解，让我们对它有了一个初步认识。在意识上不再是望而生惧的感觉，但是我们知道计算机一旦感染病毒就会给我们带来很多不必要的麻烦，因此如何预防病毒是一件刻不容缓的工作。下面我将选择冲击波病毒，具体介绍它的机制和原理，从而完成杀毒的最终目的。1、4蠕虫病毒 蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其他程序中的方式来复制自己，所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强，部分蠕虫病毒

27、不仅可以在因特网上兴风作浪，局域网也成了它们“施展身手”的舞台蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内，当客户机访问服务机，并对有毒的软件实施下载后，病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。其实脚本病毒是很容易制造的，它们都利用了视窗系统的开放性的特点。特别是COM到COM+的组件编程思路，一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒（如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等）为例，他们都是把.vbs脚本文件添在附件中，最后使用*.htm.vbs等欺骗性的文件名。病毒需要传播，电子邮件病毒的传播无疑

28、是通过电子邮件传播的。对于OutLook来说地址簿的功能相当不错，可是也给病毒的传播打开了方便之门。几乎所有通过OutLook传播的电子邮件病毒都是向地址簿中存储的电子邮件地址发送内同相同的脚本附件完成的。要使病毒潜伏，对于“脚本”语言并不是很难的一件事，因为这种语言并不是面向对象的可视化编程，自然就不存在窗体，所以可以免去隐藏窗体的麻烦。从I love you病毒中，很容易看出蠕虫病毒在潜伏时的特点，它们多数是修改注册表等信息以判断各种条件及取消一些限制。网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带

29、有破坏性的程序改名字，比如把改成，那样病毒的编辑者就无发实现用调用本地命令来实现这一功能。它是通过死循环语句完成的，且一开机就运行这程序，等待触发条件。用Ctrl+Alt+Del弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运行（那样的程序不一定是病毒，但病毒也常常伪装成那样的程序），我们为了防止病毒对我们的机算机进行破坏，我们不得不限制这类程序的运行时间（宁可错杀一千，也不可放过一个），以达到控制的效果。首先在“开始”菜单的“运行”里输入“Wscript”，然后会弹出一个窗体。单击“经过以下数秒终止脚本”前面的复选框，使复选框前面打起钩，然后调整下方的时间设为最小值即可。

30、这样可以破解一部分这样的病毒的潜伏，消除潜伏性自然触发性就破解了。另外，由于蠕虫病毒大多是用VBScript脚本语言编写的，而VBScript代码是通过Windows Script Host来解释执行的，因此将Windows Script Host删除，就再也不用担心这些用VBS和JS编写的病毒了！从另一个角度来说，Windows Script Host本来是被系统管理员用来配置桌面环境和系统服务，实现最小化管理的一个手段，但对于大部分一般用户而言，WSH并没有多大用处，所以我们可以禁止Windows Script Host。卸载Windows Scripting Host：在Windows9

31、8中（NT4.0以上同理），打开“控制面板”，打开“添加/删除程序”，点选“Windows安装程序”，再鼠标双击其中的“附件”一项，然后再在打开的窗口中将“Windows Scripting Host”一项的“对勾”去掉，然后点“确定”，再点“确定”，这样就可以将Windows Scripting Host卸载。 如果你嫌麻烦，可以到Windows目录中，找到WScript.exe和JScript.exe，更改其名称或者干脆删除。 3.接下来就该破解病毒的自我复制能力功能模块。大多数利用VBscript编写的病毒，自我复制的原理基本上是利用程序将本身的脚本内容复制一份到一个临时文件，然后再在传

32、播的环节将其作为附件发送出去。而该功能的实现离不开“FileSystemObject”对象，因此禁止了“FileSystemObject”就可以有效的控制VBS病毒的传播。具体操作方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。4.破解完了以上四个功能模块，自然第五个功能模块传播性就不攻自破了。你还记不记得以上我们所说过的破解功能模块的不足，虽然限制别人不能调用你的带有破坏性的程序，但你也别忘了，别人可以用网页拷贝的方式放入你的计算机中，再通过以上方法对你的计算机进行危害。要彻底防治网络蠕虫病毒，还须设置一下你的浏览器。方法是：在IE窗口中点击“工具Inte

33、rnet选项，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。1、5病毒的发展趋势1病毒向有智能和有目的的方向发展。2未来凡能造成重大危害的，绝大多数是如蠕虫。蠕虫的特征是快速不断复制自身，以求在最短的时间内传播到最大的范围。3病毒开始与黑客技术结合，他们的结合将给世界带来不可估量的损失。4病毒的大面积传播与网络的发展密不可分5基于分布式通信的病毒很可能在不久即将出现。6未来病毒与反病毒之间比的就是

34、速度，而增强对新病毒的反应和处理速度将成为核心。第二章 冲击波病毒的简述2、1冲击波病毒的介绍 2003年7月16日，微软曾发布消息，表示其Windows操作系统中广泛存在着一处漏洞，即RPCDCOM漏洞，并提醒用户打补丁，然而并没有受到重视。在同一年的8月12日，冲击波病毒被瑞星全球反病毒监测网率先截获。它是一种高危险的网络蠕虫病毒，利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，能够使遭受攻击的系统操作异常、不停重启，甚至导致系统崩溃，并通过网络向仍有此漏洞的计算机传播这种病毒。另外，改病毒还会对微软地一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用

35、户无法通过该网站升级系统。病毒别名：W32/Lovsan.worm McAfee/Kaspersky, Win32.Poza CA, Lovsan F-Secure, WORM_MSBLAST.A Trend, W32/Blaster-A Sophos, W32/Blaster Panda冲击波病毒长6176 bytes, 主要影响Microsoft Windows 2000 ，Microsoft Windows XP ，Microsoft Windows Server 2003系统，在这种病毒中隐藏地存在一段文本信息：I just want to say LOVE YOU SAN! Bill

36、 gates why do you make this possible? Stop making money and fix your software!它是后门和蠕虫功能混合型地病毒，包括三个组件：蠕虫载体、FTP服务器文件、攻击模块，病毒会下载并运行病毒文件msblast.exe 病毒特征描述：病毒体采用UPX进行压缩处理。利用TCP 135端口，通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ”（DCOM RPC) 漏洞进行攻击。2、2冲击波病毒的操作和症状 计算机一旦感染上这种蠕虫病毒，就会在网络中持续扫描，寻找容易受到攻击的系统，从已经被感染的计算机上下载能够进

37、行自我复制的代码MSBLAST.EXE，蠕虫驻留系统后在注册表中创建以下键值，以达到随系统启动而自动运行的目的。2、2、1病毒的操作当冲击波病毒感染计算机系统后，随即会执行如下操作：1.创建一个线程“BILLY”2.修改注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun增加windows auto update=msblast.exe键值，使得病毒可以在系统启动时自动运行。3.然后按照一定的规则来攻击网络上特点段的机器。该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe。

38、该病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe 网络蠕虫主体。4.发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe文件。5.如果是8月以后或者当前的系统日期是15号以后，此病毒还试图拒绝服务，以使计算机系统失去更新补丁程序的功能。2、2、2病毒的发作症状 操作系统不断报“PRC意外中止，系统重新启动”（与图1类似），客户机频繁重启，所有网络服务均出现故障，如IE浏览器打不开，OUTLOOK无法使用等。由于RPC服务终止可能造成其他的一些问题（这些功能依赖于RPC服务），如：无法进行复制、粘贴；无法查看网络属性；My Pictu

39、res文件夹显示不正常；计算机“服务”管理不正常；无法使用IE“在新窗口中打开”；金山词霸无法取词；无法添加删除程序等。最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行 （图1）2、3冲击波病毒的具体说明1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。3. 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。4. 病毒会修改注册表，在HKEY_LOCAL_MACHINESOFT

40、WAREMicrosoftWindowsCurrentVersionRun中添加以下键值：windows auto update=msblast.exe，以便每次启动系统时，病毒都会运行。5. 病毒体内隐藏有一段文本信息： I just want to say LOVE YOU SAN!billy gates why do you make this possible ? Stop making money and fix your software! 6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播

41、线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Se

42、rver2003系统的RPC服务崩溃，默认情况下是系统反复重启。10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。 11.感染病毒的计算机会尝试连接20个随机的IP地址，并且对有此漏洞的计算机进行攻击，然后该病毒会休息(sleep)1.8秒，然后扫描下20个随机的IP地址。病毒扫描IP地址（A.B.C.D，如：IP为192.168.0.1时，A=192 B=168 C=0 D=1）符合如下规则：35的可能当D等于0时，A、B、C为0到255的随机数。另外25的可能，病毒扫描子网并取得染毒计算机的IP地址，

43、提取其中的A、B值，并设置D值为0，然后提取C的值。如果C的值小于等于20的时候，病毒不对其进行改变。例如：染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描；如果C的值大于20，则病毒会从C减去19和C值之间随机选择一个数。例如：感染计算机的IP地址为192.168.135.161，则病毒将扫描的IP地址为192.168.115-134.0。冲击波病毒原理： 与其他蠕虫病毒类似，“冲击波”（Worm.Blaster）病毒仍然是抓住了微软在前不久刚刚公布的一个RPC安全漏洞。由于冲击波病毒主要是利用RPC漏洞进行攻击，而其中波及到的计算机系统包括NT4.0

44、、WINDOWS2000及XP等四类，WINDOWS 98及Me的用户不会受到该病毒的袭击。感染了“冲击波”病毒的电脑，又会通过互联网自动扫描，寻找其他感染目标，在一定程度上造成了网络的拥堵。目前，“冲击波”病毒的传播已呈放缓趋势，专家声称今后的预防重点是其不断增加的变种2、4冲击波病毒的解决方案2、4、1 冲击波应急解决第一步：终止恶意程序 打开Windows任务管理器，按CTRL+ALT+DELETE然后单击进程选项卡，在运行的程序清单中*, 查找如下进程:MSBLAST.EXE 。选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止，请关闭任务管理器并再

45、次打开看进程是否已经终止。而后关闭任务管理器。第二步：删除注册表中的自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行。单击 开始运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器在左边的列表中双击以下项目：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 在右边的列表中查找并删除以下项目Windows auto update = MSBLAST.EXE 关闭注册表编辑器。如果之前没有终止恶意程序进程，请重启您的系统 第三步：安装微软提供的补丁 Microsoft Security Bu

46、lletin MS03-026 建议用户对135端口的访问进行过滤，使得只能进行受信任以及内部的站点访问。 更多详情请参阅微软发布的漏洞报告。2、4、2 DOS下清除该病毒1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.操作命令集：C:CD C:windows (或CDc:winnt)2. 查找目录中的“msblast.exe”病毒文件。命令操作集：dir msblast.exe /s/p3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。Del msblast.exe2、4、3 安全模式下清除该病毒1、在“控制面板”中的“管理工具”下的“服务”，选中Remote Procedure Call(RPC)服务（图三），把“恢复”选项卡中的第一、二次失败以及后续失败（图四）都选为“不操作”（Windows XP下默认为重新启动计算机）。另外Windows XP系统下如果出现重新启动计算机的提示(图1）可以立即运行“shutdown -a”来取消它。2、立即使用Windows Update修补或直接登录 Pack2以上，另外一些盗版的Windows XP无法安装