GF蠕虫病毒.docVIP

西安邮电大学 通信与信息工程学院 网络攻防实验报告 专业班级： 学生姓名： 学号(班内序号): 2014 年 6 月 4 日 实验 蠕虫病毒 1.场景描述 在虚拟机中进行蠕虫病毒的测试，包括其作用机制及相关杀毒工具的使用。 实验样本：暴风一号.vbs 备注：实验工具（D盘--攻防工具包--蠕虫病毒：暴风一号.vbs、病毒专杀工具—BoyFineKiller、硬盘恢复工具—del.vbs） 2.实验目的 1).学会简单分析病毒代码，从病毒代码中看懂病毒是通过何种方法对系统的篡改和破坏。 2).了解病毒是如何隐藏的，学会借助专门杀毒软件，查杀病毒。 3.需求分析 蠕虫（WORM）病毒是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁。 “蠕虫”病毒由两部分组成：一个主程序和另一个是引导程序。主程序一旦在计算机中得到建立，就可以去收集与当前机器联网的其他机器的信息，它能通过读取公共配置文件并检测当前机器的联网状态信息，尝试利用系统的缺陷在远程机器上建立引导程序。就是这个一般被称作是引导程序或类似于“钓鱼”的小程序，把“蠕虫”病毒带入了它所感染的每一台机器中。 “蠕虫”病毒程序能够常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。假如它能够检测到网络中的某台机器没有被占用，它就把自身的一个拷贝(一个程序段)发送到那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器上，并且能够识别出它自己所占用的哪台机器。 计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。 在网络环境下，蠕虫病毒可以按指数增长模式进行传染。蠕虫病毒侵入计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。 4.技术分析 以暴风一号病毒为例。 根据病毒的VBS脚本语言，病毒首先通过执行 strreverse() 函数，得到病毒的解密函数。解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。 病毒会遍历各个磁盘，并向其根目录写入 Autorun.inf 以及 .vbs 文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe如果是 FAT 格式，病毒会将自身复制到 C:\Windows\System32 下，文件名为随机数字。如果是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件中C:\Windows\explorer.exe ，C:\Windows\System32\smss.exe。并且病毒会修改注册表，使进程异常，如果满足一定条件，则会触发锁定计算机等恶意行为。 5.实验步骤及结果 1).实验环境：靶机——192.168.2.181 2).实验需求：暴风一号病毒样本 暴风一号病毒专杀工具 3).实验过程： (1).查看中毒前的相关设置，在文件夹“工具栏-文件夹选项”设置“不显示隐藏文件和文件夹”。 (2).点击打开病毒文件，查看中毒后的电脑情况： (I).病毒自我变形，在压缩状态下打开病毒样本，打开后，提示文件已改变，是否保存到压缩文件中。 (II).病毒自我复制，病毒运行后，会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe。 如果硬盘属性是FAT格式，病毒会将自身复制到C:\Windows\System32下，文件名为随机数字。 如果硬盘属性是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件C:\Windows\explorer.exe ，C:\Windows\System32\smss.exe中。 (III).修改注册表，文件夹“工具栏-文件夹选项-显示隐藏文件和文件夹”打钩，并取消勾选隐藏系统文件，但查看隐藏文件的选项失效。 (IV).在硬盘中创建所有文件的快捷方式，并隐藏部分真正的文件，对用户打开文件具有很大的诱惑性。 (3).病毒的清除： (I).利用暴风一号专杀病毒“BoyFineKiller”把病毒查杀。 (II).利用工具“stream.exe”和“del.vbs”来修复硬盘。 (III).除了利用专门的工具查杀和修复，还可以上网查找到该病毒的手动查杀方式。