计算机网页病毒的剖析与防御专科毕业论文.docx

计算机网页病毒的剖析与防御专科毕业论文.docx

《计算机网页病毒的剖析与防御专科毕业论文.docx》由会员分享，可在线阅读，更多相关《计算机网页病毒的剖析与防御专科毕业论文.docx（47页珍藏版）》请在冰豆网上搜索。

计算机网页病毒的剖析与防御专科毕业论文

专科毕业设计（论文）

计算机网页病毒的剖析与防御

学院（系）：

计算机技术与软件工程学院

专业：

计算机网络技术

毕业设计（论文）原创性声明和使用授权说明

原创性声明

本人郑重承诺：

所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。

尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得及其它教育机构的学位或学历而使用过的材料。

对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。

作者签名：

　　　　　日　期：

指导教师签名：

　　　　　日　　期：

使用授权说明

本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，即：

按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。

作者签名：

　　　　　日　期：

学位论文原创性声明

本人郑重声明：

所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。

除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。

对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。

本人完全意识到本声明的法律后果由本人承担。

作者签名：

日期：

年月日

学位论文版权使用授权书

本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授权　　　　大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

涉密论文按学校规定处理。

作者签名：

日期：

年月日

导师签名：

日期：

年月日

计算机网页病毒的剖析与防御

摘要：

如今，上网浏览信息和收发电子邮件已经是一件很普通的事情，但随之而来却是邮件病毒和网页病毒的泛滥流行。

2000年5月4日欧美爆发的“爱虫”网络蠕虫病毒，由于是通过电子邮件系统传播，因此在短短几天内狂袭了全球数百万的电脑。

微软、Intel等在内的众多大型企业网络系统瘫痪，全球经济损失达几十亿美元。

而“新欢乐时光”病毒至今都让广大电脑用户苦不堪言。

这些病毒最大的共同特点就是使用VBScript编写。

VBScript脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制。

原本是为了弥补HTML语言的缺陷，提供在网页中与Web客户交互的功能，但用心不良者却利用他们来制造网页病毒。

本文对网页病毒这个“新概念”、网页病毒形成原理和主要攻击方式进行了阐述，通过长期对网页病毒的制作方式、制作技术的观察和分析，初步形成了以基本防御、一般手工清理、高级手工清理为四个层次的“四步骤”网页病毒防御策略。

关键词：

网页病毒；Windows脚本宿主；浏览器；注册表；系统进程

Thecomputerwebvirusanalysisanddefense

Abstract：

Today,Internetbrowsingande-mailmessageisaverycommonthing,butitisfollowedbye-mailvirusesandWebvirusepidemics.May4,2000inEuropeandAmericabrokeoutofthe"LoveBug"networkworm,becauseitisspreadthroughe-mailsystem,sowithinafewdaysKuangXimillionsofcomputersaroundtheworld.Microsoft,Intel,includingmanylarge-scaleenterprisenetworksystemfailures,globaleconomiclossesofseveralbilliondollars."NewHappyHour"virusmajorityofcomputeruserstodayaresomiserable.

MostcommonfeatureofthesevirusesistheuseofVBScriptwriting.VBScriptscriptinglanguageisverypowerful,theyusetheopencharacteristicsoftheWindowssystem,byusingsomeoftheexistingWindowsobjects,components,canbedirectlyonthefilesystem,registryandothercontrol.WasoriginallydesignedtocompensatefordefectsintheHTMLlanguage,providecustomerinteractionwiththeWebpagefunctions,butthosewhohavebadintentionstousethemtocreatewebviruses.

Inthispaper,Webvirusthis"newconcept"virusformationandofthemainpageattackaredescribed,throughlong-termvirusproductionmethodsontheweb,productiontechniquesofobservationandanalysis,initiallyformedabasicdefense,generalmanualcleanup,seniormanualcleaningforthefourlevelsofthe"foursteps"Webviraldefensestrategy.

KeyWords：

Webvirus;Windowsscriptinghost;Thebrowser;Theregistry;Systemprocess

目录

第1章绪论1

第2章网页病毒的概述3

2.1、什么是网页病毒3

2.2、网页病毒危机的形成原因4

2.3、网页病毒的攻击方式5

2.4、网页病毒的发展趋势5

2.5、网页病毒的种类6

第3章网页病毒技术机理分析8

3.1、网页病毒的制作方式8

3.2、几种网页病毒制作技术分析9

3.3、网页病毒的特征11

3.4、网页病毒的传播手法11

第4章网页病毒的防御对策12

4.1、网页病毒的基本防御12

4.2、网页病毒一般清理14

4.3、网页病毒一般手工清理15

4.4、未知网页病毒的高级手工清理18

第5章结束语21

参考文献23

附录一Nimda蠕虫病毒剖析24

附录二走进WSH26

致谢32

第1章绪论

随着互联网在社会生活中的深入应用和发展，网页技术也在不断改进和升级，由最初仅支持简单的纯文本静态页面，到现在DHTML、Java、ActiveX、Flash、流媒体等新技术的引入，使得网页功能更加丰富多彩的同时，也给网页病毒的滋长提供了温床。

早在Java技术刚引入网页设计中时，有的网站站长就在其网站主页中悄悄加入恶意代码，当用户访问这些网页时，就会擅自改动用户的注册表，强制修改浏览器默认主页等，以达到增加网站流量，提高网站知名度的目的，这就是网页病毒的雏形。

近年来，网络病毒愈演愈烈，其目的性、破坏性、隐蔽性更加明显，特别是“网页挂马”现象的泛滥，使其成为互联网的一大“公害”。

根据瑞星公司《2008年度中国大陆地区电脑病毒疫情及互联网安全报告》中的数据显示，2008年病毒数量继续暴增，比2007年增长12倍以上，其中由“网页挂马”所传播的木马、后门等病毒占90％以上。

大到一些大型门户网站，小到一些不知名的个人网站，都曾遭遇网页挂马问题。

该报告指出，“网页挂马”已成为目前最主要的互联网安全威胁，彻底改变了普通用户长期认为的“浏览正规网站就一定安全”的过时观念。

2009年度，木马后门病毒在全部计算机病毒总数中仍然高居85.9%的比例，继续高居计算机病毒榜首；而攻击漏洞的恶意代码则呈现上升趋势，较2008年增长了100%。

网页挂马数量激增，2009年度，江民恶意网页监测系统监测到的常见挂马网页病毒源网址（非挂马网页本身）地址已经达到1万余个，按平均每个恶意网站挂马1000个正常网页计算，2009年度整个互联网被挂马的次数达到1000万次以上，较2008年度增长10倍。

从《中国计算机报》对计算机感染病毒的途径调查结果可以看出，计算机用户因为浏览网页或下载而使计算机感染病毒的比例最高。

目前，网页挂马仍是病毒传播的主要方式，但随着各类移动存储介质的广泛使用，越来越多的病毒、木马将移动存储介质作为传播途径。

根据《卡巴斯基2007年11月第1周病毒周报》显示网页病毒在不断增多。

其中本周最新上榜的Backdoor.Win32.Hupigon.wbm以4.03%的成绩排在了第一位，上周的第二名已经滑落至第十位，本周autorun最新变种Virus.Win32.AutoRun.abq排在了第五位，其余位置同样是被后门和木马占据，在很多没有上榜的病毒中网页脚本病毒在不断的增多，也就是我们常说的网页病毒。

图1卡巴斯基中国地区07年11月第1周病毒百分比

据一个技术行业协会组织2004年4月介绍，与浏览器软件有关的安全威胁正在增加，这一点很可能成为信息技术下一个即将面临的重大挑战。

计算技术行业协会（CompTIA）2004年4月发布了该公司有关IT安全和劳动力的第二份年度报告。

CompTIA调查了900家机构，并让它们列出它们最为担心的15个安全问题。

结构显示，由36.8％的被调查机构表示在过去六个月里它们至少一次遭受过与浏览器有关的攻击。

而在去年的调查中，这一数字还只有25％。

CompTIAIT部门主管RandallPalm说：

“基于浏览器的攻击也是病毒攻击发展演化的一个必然结果。

随着人们可以更好地拦截攻击，黑客们编写攻击代码的能力也在加强。

10年前，大多数病毒都是通过软盘进行传播的，然后我们看到病毒开始通过电子邮件和即时信息软件进行传播，而现在黑客们又瞄上了浏览器软件。

”

有些网页看起来很正常，但是实际上它可能暗藏一些代码，当用户访问这个网页时，这些暗藏的代码就会被释放出来，黑客利用这些代码可以对计算机发动攻击，进而威胁到个人隐私。

有些攻击只是破坏用户的浏览器软件，另外一些攻击会造成个人信息或者机密商业信息丢失。

黑客最常用的攻击方法是，向用户发送电子邮件，并在其中加进一些连往带有恶性代码网页的链接。

由于只有当用户点击后，攻击才会开始，所以一般的防火墙对于这种攻击手段都还没有有效的防御办法。

传统的防火墙只检查流入网络的数据流，但是要阻止与浏览器有关的攻击，防火墙还必须对流出网络的数据进行检测。

早在上个世纪九十年代，互联网刚刚开始普及的时候，网页病毒就像梦魇一样始终笼罩在用户的心头。

网页病毒使得各种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。

一旦浏览含有病毒的网页，即可以在不知不觉的情况下马上中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。

令你苦不堪言，甚至损失惨重无法弥补。

这种病毒容易编写和修改，并且极易传播，已成为影响互联网安全的大毒瘤。

在杀毒软件风靡全球的今天，各式各样的病毒仍然在网络上横行，其形式的多样化、自身之隐蔽性都大大地提高。

其中，网页病毒就是这个新型病毒大军中传播效果最好、危害面最广泛的一种。

很多人在网页病毒中“应声倒下”，却不知自己是如何中毒，以及中毒后如何去出理。

本文就网页病毒入侵技术进行详细的剖析，对如何防御提供了对策。

第2章网页病毒的概述

2.1、什么是网页病毒

网页病毒是利用网页来进行破坏的病毒，它使用一些SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。

当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。

轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。

而这种网页病毒容易编写和修改，使用户防不胜防。

它包括病毒、蠕虫、木马，还有一些广告软件，他们可以在没有经过授权的情况下收集计算机用户的信息。

网页病毒的危害从单纯的烦人广告，到严重的窃取身份或者财务信息。

即使是有严格的防火墙规则、实时更新补丁和防病毒软件，我们仍然不能阻止大多数危害类型的网页病毒秘密地将自己安装在系统里，仍然必须另外采用过滤的方式和针对某种恶意代码的技术，来防止网页病毒偷偷地自动安装。

目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。

而这一功能却恰恰使网页病毒、网页木马有了可乘之机。

网页病毒是对网络安全技术的挑战，这些网页病毒行踪不定、变化多端，融合了传统的病毒、主动的病毒、自动优化扫描、木马、后门等恶意程序，同时经过加密、伪装等手段，采用大批量迅速或分解组合慢性入侵方式，对网络造成巨大的威胁，它们利用各种漏洞进行入侵，具有自动繁殖能力和自动入侵能力，一旦在互联网上爆发，很难控制。

2.2、网页病毒危机的形成原因

促使网页病毒形成的原因有：

Window脚本宿主和MicrosoftInternetExplorer漏洞以及组件存在的问题或漏洞。

WSH，是“WindowsscriptingHost”的缩略形式，其通用的中文译名为“Windows脚本宿主”。

它是内嵌于Windows操作系统中的脚本语音工作环境，许多计算机病毒制造者正在热衷于脚本语言编制病毒，并利用WSH的支持功能，让这些隐藏着病毒的脚本在网络中广为传播。

同时由于InternetExplorer自身存在漏洞。

比如：

“错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头”，“浏览器弹出窗口Object类型验证漏洞”等。

以上就是形成“网页危机”的主要因素。

另外，网页中的几个组件存在的问题或漏洞，特别是在安全问题上的过滤不严密问题，有造成了“网页危机”的另外一个重要因素。

这样的组件有：

Janvapplet、Javascript、ActiveX。

2.3、网页病毒的攻击方式

网页病毒运行时，它所执行的操作不仅仅是下载后再读出，伴随着前者的操作背后，还有病毒原体软件的下载或是木马的下载，然后执行，悄悄地修改你的注册表等等，这类网页具有如下攻击方式：

I、美丽的网页名称，以及利用浏览者的无知；

II、利用浏览者的好奇心；

III、无意识的浏览者。

它主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序，javascript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

2.4、网页病毒的发展趋势

网页病毒的传播具有以下趋势。

2.4.1、种类更模糊

网页病毒的传播不单纯依赖软件漏洞或者社会工程中的某一种，而可能是它们的混合。

比如蠕虫产生寄生的文件病毒、木马程序、口令窃取程序、后门程序，进一步模糊了蠕虫、病毒和木马的区别。

2.4.2、混合传播模式

“混合病毒威胁”和“收敛（covergent）威胁”已成为新的病毒术语，“红色代码”病毒利用的是IIS的漏洞，Nimda病毒实际上是1988年出现的Morris蠕虫派生品种，它们的特点都是利用漏洞，病毒的模式从引导区方式发展为种类病毒蠕虫方式，所需要的时间并不是很长。

2.4.3、多平台

多平台攻击开始出现，有些恶意代码对不兼容的平台都能够有作用。

来自Windows的蠕虫可以利用Apache的漏洞，而Linux蠕虫会派生.EXE格式的木马。

2.4.4、使用销售技术

另外一个趋势是更多的恶意代码使用销售技术，其目的不仅在于利用受害者的邮箱实现大数量的转发，更重要的是引起受害者的兴趣，让受害者进一步对恶意文件进行操作，并且使用网络探测、电子邮件脚本嵌入和其他不使用附件的技术来达到自己的目的。

2.4.5、服务器和客户机同样遭受攻击

对恶意代码来说，服务器和客户机的区别越来越模糊，客户计算机和服务器如果运行同样的应用程序，将会同样受到恶意代码的攻击。

像IIS服务是一个操作系统默认的服务，因此它的服务程序的缺陷是各个机器都共有的，也就是说“红色代码”病毒的影响也就不限于服务器，还会影响到众多的个人计算机。

2.4.6、Windows操作系统遭受的攻击最多

Windows操作系统更容易遭受恶意代码的攻击，它也是病毒攻击最集中的平台，病毒总是选择配置不好的额网络共享和服务作为进入点。

2.4.7、恶意代码类型变化

另外一类恶意代码是利用MIME边界和uuencode头的处理薄弱的缺陷，将恶意代码化装成安全数据类型，欺骗客户软件执行不适当的代码。

2.5、网页病毒的种类

2.5.1、按传播方式分类

按传播方式，网页病毒可以分成三类：

混合型，蠕虫/特洛伊木马型，具备自我更新能力型。

I、混合型网页病毒

混合型网页病毒指的是那些具有多种病毒特征与一身的恶意代码病毒。

Nimda病毒就是一个很鲜明的例子。

这个危险的病毒可以像蠕虫病毒那样传播，与此同时，他也能够像一般的病毒那样感染文件，而且它还能够主动地寻找因特网信息服务上存在的漏洞，感染Web页面，致使访问该站点的因特网用户也遭受感染。

II、蠕虫/木马型网页病毒

这种类型的病毒虽然常常作为一个单独的整体被提及，但实际上，他是由两个完全不同的不分构成：

一部分扮演蠕虫的角色，另一部分具有木马的功能。

具有木马的功能的这部分甚至不需要通过蠕虫进行传播，通常情况下，它们都是从一个被恶意代码感染的Web页面或者本身就是恶意Web页面上被下载下来后完成感染动作。

III、具备自我更新能力的网页病毒

具有自我升级能力的病毒，比如Opaserv病毒，能够从因特网上下载它们自己的改良版本。

幸运的是，由于多数因特网服务提供商的支持，那些存储病毒升级的Web页面通常都会呗立即关闭。

事实上，还有许多其它恶意代码病毒目前不能很恰当地把它们和当前通用的病毒分类系统相匹配。

比如Sobig.B病毒（Palyh），具有另外的一些行为，它会尝试增加对某一个特定Web页面的访问；CodaRed.F病毒，它被设计用来专门攻击白宫的Web站点。

2.5.2、按作用对象及表现特征分类

根据目前互联网上流行的常见网页病毒的作用对象及表现特征，归纳为以下两大种类：

I、通过JavaScript、Applet、ActiveX编辑的脚本程序修改IE浏览器：

（1）默认主页被修改；

（2）默认首页被修改；

（3）默认的微软主页被修改；

（4）主页设置被屏蔽锁定，且设置选项无效不可改回；

（5）默认的IE搜索引擎被修改；

（6）IE标题栏被添加非法信息

（7）OE标题栏被添加非法信息；

（8）鼠标右键菜单被添加非法网站广告链接；

（9）鼠标右键弹出菜单功能被禁用失常；

（10）IE收藏夹被强行添加非法网站的地址链接；

（11）在IE工具栏非法添加按钮；

（12）锁定地址下拉菜单及其添加文字信息；

（13）IE查看下的源文件被禁用；

II、通过JavaScript、Applet、ActiveX编辑的脚本程序修改用户操作系统：

（1）开机出现对话框；

（2）系统正常启动后，但IE被锁定网址自动调用打开；

（3）格式化硬盘；

（4）暗藏“万花谷”蛤蟆病毒，导致瘫痪崩溃；

（5）非法读取或盗取用户文件；

（6）锁定禁用注册表；

（7）时间前面加广告；

（8）注册表被锁定禁用之后，编辑*.reg注册表文件打开方式错乱；

（9）启动后首页被再次修改；

（10）更改“我的电脑”下的一系列文件夹名称。

第3章网页病毒技术机理分析

3.1、网页病毒的制作方式

I、利用Javascript和WSH的结合来制作恶意网页，这种方法比较常见；

II、错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头；

III、EXEto.BMP+Javascript.Exception.Exploit，把具体的.EXE转化到.BMP的文章诱骗浏览者上当；

VI、框架页漏洞的利用；

V、通过安全认证的CAB、COX；

VI、.EXE文件的捆绑。

3.2、几种网页病毒制作技术分析

3.2.1、Javascrpit.Exception.Exploit技术

精华语句：

Functiondestroy（）

{

try

}

//ActiveXinitialization初始化ActiveX，为修改注册表做准备

a1=document.applets[0];

//获取applet运行对象，一下语句指向注册表中有关IE的表项

a1.setCLSID（"{F945DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）;

a1.createInstance（）;

SH1=a1.GetObject（）;

a1.setCLSID（"{0D43FE01-F093-11CF-8940-00A0C9054228}"）;

a1.createInstance（）;

FSO=a1.GetObject（）;

a1.setCLSID（"{F935DC26-1CF0-11D0-ADB9-00C04F58A0B}"）;

a1.createdInstance（）;

Net=a1.GetObject（）;

Try

{

开始做坏事

}

｝

catch（e）

{}

}

catch（e）

{}

}

Functiondo（）

{

//初始化函数，并每隔一秒执行修改程序

setTimeout（"destroy（）",1000）;//设定运行时间1秒

}

Do（）//坏事执行函数指令

都是Javascript编写的，没有什么高深的技术，但是它却可以把计算机注册表该的是乱七八糟，在计算机里留下各式各样的垃圾，甚至于连声招呼都