勒索病毒分析报告

典型病毒的分析

班级： 姓名： 学号：

一、计算机病毒

1.1、简介

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其他一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存储空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物

分析的比较仓促，有一部分行为也没有仔细分析，请大家多多指教哈^_^

一、概述

本文档讲述关于极虎病毒变种的行为、技术细节；

该病毒主要通过互联网和局域网传播，其大小为248,832 字节 ，编写语言不详。运行后先判断自身模块位置，如为0x0040000则认为是exe文件，此时打开指定服务，搜索指定的dll文件，找到合适之后将自身修改成dll路径替换之。如果不为0x0040000则认定自身为dll文件然后破坏安全模式，结束杀毒软件，下载木马，感染指定类型的文件，感染可移动磁盘，攻击局域网用户。

二、行为预览

1) 病毒名称：极虎病毒(又名虎虎生威) 2) 病毒类型：感染型病毒 3) 病毒大小：248,832 字节

4) 传播方式：互联网，局域网，可移动存储介质，网页挂马 5) 相关文件：

a 【极虎病毒】分析报告.doc : 病毒分析报告 b 极虎病毒exe.v : 病毒样本；

c 极虎病毒.idb : 病毒IDA打开文件；

6) 病毒具体行为：

a 获取自身模块地址和0x0040000作比较，不同则判断成exe文件运行。此时将自身

分析的比较仓促，有一部分行为也没有仔细分析，请大家多多指教哈^_^

一、概述

本文档讲述关于极虎病毒变种的行为、技术细节；

该病毒主要通过互联网和局域网传播，其大小为248,832 字节 ，编写语言不详。运行后先判断自身模块位置，如为0x0040000则认为是exe文件，此时打开指定服务，搜索指定的dll文件，找到合适之后将自身修改成dll路径替换之。如果不为0x0040000则认定自身为dll文件然后破坏安全模式，结束杀毒软件，下载木马，感染指定类型的文件，感染可移动磁盘，攻击局域网用户。

二、行为预览

1) 病毒名称：极虎病毒(又名虎虎生威) 2) 病毒类型：感染型病毒 3) 病毒大小：248,832 字节

4) 传播方式：互联网，局域网，可移动存储介质，网页挂马 5) 相关文件：

a 【极虎病毒】分析报告.doc : 病毒分析报告 b 极虎病毒exe.v : 病毒样本；

c 极虎病毒.idb : 病毒IDA打开文件；

6) 病毒具体行为：

a 获取自身模块地址和0x0040000作比较，不同则判断成exe文件运行。此时将自身

篇一：意外的勒索文本阅读答案 【美】比尔·普洛奇尼 他说道：“是索普先生么？埃米特·索普先生？” “你有何贵干？”

“我叫伊恩·布坎南。是生意上的事，先生。” “哦，这样啊，”我说，“很抱歉，但我从来不在办公室以外的地方谈论公事。或许你可以——”

“这件事绝非小事，索普先生。” “是关于什么的呢？” “莱山德制药公司。” “我猜到了，”我说，“布坎南先生，准确地道明你到这儿来的目的吧。” 他的笑容愈加明显了。“我可以进屋吗？外面有点儿冷——实际上是冷得刺骨。” “我看不出有什么原因让你进入我家，除非你表明此行的目的。”我说道。我开始有点恼怒。 “索普先生，简单地说，我到这儿来为的是勒索你。”

我犹豫了片刻，随后一声不吭地站到一边。我俩走进了客厅。

布坎南坐到一把厚软垫椅子上，目光一扫，将客厅内的摆设收入眼底：桃花心木与皮革装饰的厚重家具，粗石壁炉，两边是高低交错的架子，上面放着些显然读过不止一遍的书，立体声音响的部件嵌入对面铺有面板的墙壁中。“索普先生，真是令人印象深刻的客厅啊，其实是数一数二的了，”他说道，“我必须赞赏下你的品味。” “布坎南，你该切入正题了。” “正题就是勒索，对吧？” “你是这么说的。”

“我也是这么做的。勒索是

宏病毒实验报告

201424010257 邹文敏

一、 实验目的

通过运行计算机代码，更加深刻的理解计算机代码。对计算机代码有一个初步的认识。 加深对宏病毒的感性认识，宏病毒是感染数据文件word,office等。

二、 实验内容

运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。

三、 实验步骤 实验一：

? 将word文档中的开发者工具打开；word 中心→信任选项→宏设计将信任选项打开

? 运行第一个实验Visual Basic →normal →Microsoft→the document

Project→microsoft word对象→the document复制如下代码：

'APMP

Private Sub Document_Open() On Error Resume Next

Application.DisplayStatusBar = False Options.VirusProtection = False

Options.SaveNormalPrompt = False '以上都是基本的自我隐藏措施 MyCode = ThisDocument.VBProject

MS08-067病毒剖析

【染毒现象】

感染上Worm.Win32.MS08-067.c病毒的机器，其典型的染毒特征是： 1. 不断的向外发送垃圾数据包，并以此手段对全网进行传播。

2. 在本机的“任务计划”中添加大量以“AT”开头的任务计划，并且启动的时候大都是整

点，如11:00、13:00等。

3. 如是域环境，并且设置了域账户登录策略（登录密码输入错误几次之后锁定账户），会

造成域账户经常被锁，因为该病毒会不断的猜测域账户密码。

4. 造成无法正常访问瑞星官网和微软官方网站，以及其它部分安全网站。停止或是重启

“DNS Client”服务之后，可以打开上述网站，但重启电脑后又无法打开。

【传播方式】

Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。

另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，如局域网中存在可读写的共享，也会造成该病毒通过局域网共享进行传播。

【病毒分析】

首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统，如果是病毒才继续执行，并且为病毒进程添加 SeDebugPrivileg

一、填空：

1、 计算机病毒与生物病毒一样，有其自身的病毒体和寄生体。

2、 我们称原合法程序为宿主或宿主程序，存储染有病毒的宿主程序的存储介质为存储介质

宿主；当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中，此时这一系统就称为病毒宿主系统。

3、 计算机病毒构成的最基本原则：必须有正确系统不可遏制的传染性，具有一定的破坏性

或干扰性，具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式，每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。 4、 病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒。

5、 动态病毒是指要么已进入内存处于活动状态的病毒，要么能通过调用某些中断而获得运

行权，从而可以随心所欲的病毒。

6、 系统加载过程通常读入病毒程序的引导部分，并将系统控制权转交病毒引导程序。 7、 病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。不论何种病

毒，都需要在适当的时机夺取系统的控制权，并利用控制权来执行感染和破坏功能。 8、 DOS系统的病毒程序的加载有3种方式：参与系统的启动过程，依附正常文件加载，直

接运行病毒的程序。

9、 具体来说，病毒加载过程，主要由3个步骤组成：开辟内存

“永恒之蓝”勒索蠕虫最全知识手册

2017 年 5 月 12 日，“永恒之蓝”勒索蠕虫爆发，短短几小时，攻击了中国、英国、美国、德国、日本等近百个国家，至少 1600 家美国组织，11200 家俄罗斯组织都受到了攻击，截至到5月13日20点，国内也有29372家机构组织的数十万台机器感染，其中有教育科研机构4341家中招，是此次事件的重灾区，事件影响持续发酵中。

什么是“永恒之蓝”勒索蠕虫？

中了“永恒之蓝”勒索蠕虫如何紧急处置？

。。。。。。

针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题

360企业安全专家进行专业解答，集成《“永恒之蓝”勒索蠕虫最全

知识手册》

关于“永恒之蓝”勒索蠕虫，你该知道的都在这里！

1. 什么是蠕虫病毒？

答：蠕虫病毒是一种常见的计算机病毒，它的主要特点是利用电脑存在的漏洞，通过网络进行自主的复制和传播，只要一释放出来，就会在无人干预的情况下以指数级快速扩散。

2. 这个病毒到底什么原理？

答：这个病毒是勒索软件和蠕虫病毒的合体，利用了Windows操作系统的一个漏洞，投送勒索软件到受害主机。在有蠕虫的环境中，有漏洞的用户电脑只要开机就会很快被感染，不需要任何用户操作，并且被感染的受害主机还会对其他主机发起同样的攻击，所以传播速度极快

计 算 机 病 毒

姓 名：学 号: 老 师：日 期：

实验报告

一. 实验目的

台湾1号病毒是一种破坏力较大的宏病毒！Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过台湾1号病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

二. 实验内容

1. macro virus中的内容

2.计算机病毒篇 ---->计算机宏病毒

三. 实验环境

1. macro virus

硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003

软件设置：关闭杀毒软；打开Word 2003，在工具?宏?安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问. 实验环境配置如下图所示：

受感染Word文档受感染终端被感染终端

2.计算机宏病毒

硬件设备：部署 WIN2003 系统的PC 机一台 软件工具：Office word2007

四．实验步骤及截图 台湾1号病毒代码

Taiwan No.1 病毒原始码 D

篇一：病毒和计算机安全

病毒和计算机安全

按照“中华人民共和国计算机信息系统安全保护条例”对计算机病毒的概念定义为：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。也有书中将病毒定义为：利用计算机软件与硬件的缺陷或操作系统的漏洞，由被感染机内部发出的破坏计算机数据，并影响计算机正常工作的一组指令集或程序代码。

计算机病毒有很多种分类：按破坏性可分为⑴良性病毒⑵恶性病毒⑶极恶性病毒⑷灾难性病毒；按传染方式可分为⑴引导区型病毒。⑵文件型病毒,⑶混合型病毒⑷宏病毒;按连接方式可分为⑴源码型病毒,⑵入侵型病毒⑶操作系统型病毒⑷外壳型病毒。

计算机病毒和生物病毒很相似，两者都能够破坏计算机系统，影响计算机工作，都能实现自我复制，并都具有传播性质，，而且两者都是通过将自己注入另一个系统来生存的，但计算机病毒与生物病毒又有着很大的差别：计算机病毒不是源于突变和偶然的原因，突发停电等偶然错误在计算机的磁盘与内存中产生的混乱代码和随机指令是无法与病毒完美精巧的编排相媲美的，现在流行的病毒都是人为故意编写的，而且多数能够找到作者信息与产地信息。

计算机病毒在这些精美编排的控制下通常会表现出隐蔽性强、繁殖