2000年橫掃網(wǎng)絡(luò)的“愛蟲”讓人記憶猶新，一旦打開了“我愛你”主題的郵件，它就會向郵件列表中的所有人轉(zhuǎn)發(fā)垃圾郵件?！皭巯x”可以說是VBS病毒的典范，其后，還有新歡樂時(shí)光、愛情森林、庫爾尼科娃等著名腳本病毒。

VBS腳本病毒是常見的病毒種類之一。由于編寫簡單，修改容易，只要出現(xiàn)一個(gè)VBS腳本病毒，很快就會出現(xiàn)多個(gè)變種，非常令人頭疼。可不要小瞧它們的破壞力，它們不但可以更改IE瀏覽器的屬性，還能禁止注冊表的使用，甚至修改“開始”菜單，導(dǎo)致“運(yùn)行”、“關(guān)閉系統(tǒng)”等命令消失，硬盤被隱藏等。

生

對于一些有編程經(jīng)驗(yàn)的高手來講，編寫一個(gè)惡意腳本并不是一件很困難的事。今天我們來研究一個(gè)“病毒制造機(jī)”，借此可以清楚了解到VBS腳本病毒的來龍去脈。當(dāng)然，僅僅是限于研究學(xué)習(xí)的范圍，強(qiáng)烈不建議使用此程序來進(jìn)行任何破壞行為。

這個(gè)小工具就叫做《病毒制造機(jī)》，可以在網(wǎng)上搜索到，它用于VBS腳本病毒設(shè)置，只需要根據(jù)提示進(jìn)行簡單的設(shè)置，就可以輕松地編寫出一個(gè)惡意腳本。

Step1 運(yùn)行《病毒制造機(jī)》，首先出現(xiàn)的是程序的簡介，直接點(diǎn)擊“下一步”按鈕，出現(xiàn)“病毒復(fù)制選項(xiàng)”窗口?？梢钥吹剑@里的選項(xiàng)能提高惡意腳本的存活率，也提示出腳本病毒常隱藏的地方。也可以不進(jìn)行設(shè)置，在“病毒副本文件名”選項(xiàng)中設(shè)置惡意腳本的名稱（圖1）。

Step2 點(diǎn)擊“下一步”按鈕，出現(xiàn)“禁止功能選項(xiàng)”窗口。這里主要是進(jìn)行一些系統(tǒng)功能的限制，用戶可以根據(jù)每個(gè)選項(xiàng)的意思進(jìn)行選擇（圖2）。

Step3 接下來出現(xiàn)“病毒提示對話框”窗口，用于設(shè)置一個(gè)開機(jī)時(shí)的提示。然后出現(xiàn)“病毒傳播選項(xiàng)”窗口，如果選擇了“通過電子郵件進(jìn)行自動(dòng)傳播”選項(xiàng)，惡意腳本就會自動(dòng)調(diào)用Outlook Express、Foxmail等郵件工具中“地址簿”中的名單，向外傳播帶惡意腳本郵件，十分惡毒，切記不要選取此項(xiàng)！

Step4 再點(diǎn)擊“下一步”按鈕，出現(xiàn)“IE修改選項(xiàng)”窗口（圖3），其中有一個(gè)“設(shè)置默認(rèn)主頁”選項(xiàng)，選擇后會彈出的“設(shè)置主頁”窗口，在其中填入須要連接的網(wǎng)頁地址，這里我們就以《計(jì)算機(jī)應(yīng)用文摘》的主頁進(jìn)行測試（圖4），點(diǎn)擊“確認(rèn)輸入”按鈕退出設(shè)置。

Step5 點(diǎn)擊“下一步”按鈕，出現(xiàn)“開始制造病毒”窗口，設(shè)置惡意腳本存放的目錄和名稱后，點(diǎn)擊“開始制造”按鈕就能生成需要的惡意腳本了。

最后生成的腳本有兩份，用其中的reset.vbs文件就可以殺掉生成的惡意腳本并修復(fù)系統(tǒng)。

滅

當(dāng)然，VBS腳本也有自己致命的弱點(diǎn)。其中重要的一點(diǎn)就是，所有的腳本都要通過WSH來解釋執(zhí)行，如果將WSH卸載掉，就再也不用擔(dān)心那些可惡的惡意腳本了。

在Windows 98中，WSH是作為操作系統(tǒng)的一個(gè)組件自動(dòng)安裝的。用戶可以打開控制面板，雙擊“添加或刪除程序”選項(xiàng)，在彈出的窗口中點(diǎn)擊“Windows安裝程序”選項(xiàng)，然后選擇“附件”，再選擇“詳細(xì)資料”，最后將“Windows Scripting Host”前的鉤去掉即可。

從Windows Me開始，WSH成為系統(tǒng)的必備，無法卸載該功能，只能通過設(shè)置保證雙擊vbs后綴的腳本文件時(shí)，不讓其運(yùn)行。打開“Windows資源管理器”，點(diǎn)擊“工具”菜單下的“文件夾選項(xiàng)”。在彈出的窗口中選擇“文件類型”標(biāo)簽，將滾動(dòng)條下移找到VBScript腳本文件，點(diǎn)擊“刪除”（圖5）。這種方法雖然操作簡單，能對惡意腳本起到防范的作用，但是同時(shí)也讓正規(guī)的腳本程序不能使用，畢竟WSH的功能實(shí)在是太強(qiáng)大了。

默認(rèn)情況下腳本程序都是由wscript.exe來打開并執(zhí)行的，因此只要將腳本文件改為由其他程序執(zhí)行，比如記事本程序，也可以起到防范的作用。在“文件類型”標(biāo)簽下選擇腳本文件后，點(diǎn)擊“高級”按鈕。在彈出窗口的“操作”列表中選擇“打開”選項(xiàng)，并點(diǎn)擊“編輯”按鈕。然后將彈出窗口的“由于執(zhí)行操作的應(yīng)用程序”選項(xiàng)更改為“C:\\WINDOWS\\System32\\Notepad.exe \"%1\" %*”（圖6），確定退出即可。

除此以外，用戶還有一個(gè)更好的防范選擇，就是修改注冊表。IE瀏覽器可以被惡意腳本修改，原因就是IE 5.5以及以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及htmlfilr Activex對象讀取瀏覽者的注冊表。微軟最新的MicrosoftWindows Script 5.6已經(jīng)修正了這個(gè)問題，所以將WSH升級到WSH 5.6就能有效地防范惡意腳本。

現(xiàn)在，殺毒軟件對于V B S腳本病毒的檢測大多非常準(zhǔn)確，它的危害已經(jīng)大大降低了，但是數(shù)量仍不少。通過本文可以看到，VBS腳本病毒其實(shí)并不可怕，只要能對它有了較為全面的了解，就可以有效地對它進(jìn)行防范。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。