浅谈VBS脚本病毒入侵计算机的途径与防治

1、    浅谈vbs脚本病毒入侵计算机的途径与防治    摘要计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。介绍vbs病毒的特点及发展现状,分析vbs病毒的原理、传播方式,并提出vbs病毒的防治策略。关键词vbs病毒入侵方式病毒防治中图分类号:tp3文献标识码:a文章编号:1671-7597(2009)1110097-01一、vbs脚本病毒原理分析(一)vb

2、s脚本病毒如何躲过杀毒软件现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。下面谈两种方法可以简单解决:1.使用连接符"&",如:set curobj = createobject("wscript.shell")mhk="hk"&"lmsoft"&"waremicr"&"osoftwin"&"dowscurren"&"tversionrun"

3、curobj.regwrite ""&mhk&"internat.exe","internat.exe"2.使用execute函数(by动鲨)一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了fso或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了fso怎么就没报警呢?原因是这个病毒使用execute这个函数来躲过了防火墙,呵呵。病毒将这段声明代码转化为字符串,然后通过execute(string)函数执行。二、vbs脚本病毒如何感染、搜索文件vbs脚本病毒一般是直接通过自我复制来感染文件的,

4、病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。三、vbs脚本病毒通过网络传播的几种方式及代码分析vbs脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,vbs脚本病毒采用如下几种方式进行传播:1.通过email附件传播2.通过局域网共享传播局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如wi

5、n2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。3.通过感染htm、asp、jsp、php等网页文件传播如今,www服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。四、如何防范vbs脚本病毒(一)如何从样本中提取(加密)脚本病毒对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密vbs脚本病毒,这里我们以新欢乐时光为例。用jediedit打开folder.htt。我们发现这个文件总共才93行,第一行,几行注释后,以开始,节尾。相信每个人都知道这是个

6、什么类型的文件吧!首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将thistext写入文件vbs代码,整个文件如下所示:exestring = "afi. 第88行代码execute("dim keyar. 第89行代码set fso=createobject("scripting.filesystemobject")创建一个文件系统对象set virusfile=fso.createtextfile("resource.log"

7、,true)创建一个新文件resource.log,用以存放解密后的病毒代码 virusfile.writeline(thistext)将解密后的代码写入resource.logok!就这么简单,保存文件,将该文件后缀名.txt改为.vbs(.vbe也可以),双击,你会发现该文件目录下多了一个文件resource.log,打开这个文件,怎么样?是不是“新欢乐时光”的源代码啊!(二)vbs脚本病毒的弱点vbs脚本病毒由于其编写语言为脚本,因而它不会像pe文件那样方便灵活,它的运行是需要条件的(不过这种条件默认情况下就具备了)。笔者认为,vbs脚本病毒具有如下弱点:1.绝大部分vbs脚本病毒运行的时候需要用到一个对象:filesystemobject。2.vbscript代码是通过windows script host来解释执行的。3.vbs脚本病毒的运行需要其关联程序wscript.exe的支持。4.通过网页传播的病毒需要activex的支持。5.通过email传播的病毒需要oe的自动发送邮件功能支持,但是绝大部分病毒都是以email为主要传播方式的。参考文献:1喻凯,病毒发展趋势及对策j.电子工业出版社,2005.2韩莜卿,计算机病毒分析与防范大全j.电子工