[摘要]計算機(jī)病毒給世界范圍內(nèi)的計算機(jī)系統(tǒng)帶了不可估量的危害,給人們留下了深刻的印象。網(wǎng)絡(luò)腳本病毒是計算機(jī)病毒的一種新形式,主要采用腳本語言編寫,書寫形式靈活,容易產(chǎn)生變種,它可以對系統(tǒng)進(jìn)行操作,包括創(chuàng)建、修改、刪除,甚至格式化硬盤,傳播速度快,危害性大。介紹VBS病毒的特點(diǎn)及發(fā)展現(xiàn)狀,分析VBS病毒的原理、傳播方式,并提出VBS病毒的防治策略。

[關(guān)鍵詞]VBS病毒入侵方式病毒防治

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)1110097-01

一、VBS腳本病毒原理分析

(一)VBS腳本病毒如何躲過殺毒軟件

現(xiàn)在殺毒的對vbs相當(dāng)敏感,只要發(fā)現(xiàn)對注冊表的xx作,或使用vbs運(yùn)行命令(加用戶)就可能被殺。下面談兩種方法可以簡單解決:

1.使用連接符"&",如:

Set CURObj = CreateObject("WScript.Shell")

mhk="HK"&"LMSOFT"&"WAREMicr"&"osoftWin"&"dowsCurren"&"tVersionRun"

CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"

2.使用Execute函數(shù)(BY動鯊)

一些殺毒軟件,如瑞星,它們會監(jiān)視網(wǎng)頁中的代碼,一旦你創(chuàng)建了FSO或?qū)懽员?即使是正常的腳本他也會報告危險,但是當(dāng)年新歡樂時光也用了FSO怎么就沒報警呢?原因是這個病毒使用Execute這個函數(shù)來躲過了防火墻,呵呵。病毒將這段聲明代碼轉(zhuǎn)化為字符串,然后通過Execute(String)函數(shù)執(zhí)行。

二、VBS腳本病毒如何感染、搜索文件

VBS腳本病毒一般是直接通過自我復(fù)制來感染文件的,病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間,譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部,并在頂部加入一條調(diào)用病毒代碼的語句,而宏病毒則是直接生成一個文件的副本,將病毒代碼拷入其中,并以原文件名作為病毒文件名的前綴,vbs作為后綴。

三、VBS腳本病毒通過網(wǎng)絡(luò)傳播的幾種方式及代碼分析

VBS腳本病毒之所以傳播范圍廣,主要依賴于它的網(wǎng)絡(luò)傳播功能,一般來說,VBS腳本病毒采用如下幾種方式進(jìn)行傳播:

1.通過Email附件傳播

2.通過局域網(wǎng)共享傳播

局域網(wǎng)共享傳播也是一種非常普遍并且有效的網(wǎng)絡(luò)傳播方式。一般來說,為了局域網(wǎng)內(nèi)交流方便,一定存在不少共享目錄,并且具有可寫權(quán)限,譬如win2000創(chuàng)建共享時,默認(rèn)就是具有可寫權(quán)限。這樣病毒通過搜索這些共享目錄,就可以將病毒代碼傳播到這些目錄之中。

3.通過感染htm、asp、jsp、php等網(wǎng)頁文件傳播

如今,WWW服務(wù)已經(jīng)變得非常普遍,病毒通過感染htm等文件,勢必會導(dǎo)致所有訪問過該網(wǎng)頁的用戶機(jī)器感染病毒。

四、如何防范VBS腳本病毒

(一)如何從樣本中提取(加密)腳本病毒

對于沒有加密的腳本病毒,我們可以直接從病毒樣本中找出來,現(xiàn)在介紹一下如何從病毒樣本中提取加密VBS腳本病毒,這里我們以新歡樂時光為例。

用JediEdit打開folder.htt。我們發(fā)現(xiàn)這個文件總共才93行,第一行,幾行注釋后,以開始,節(jié)尾。相信每個人都知道這是個什么類型的文件吧!

首先,copy第88、89兩行到剛才建立的.txt文件,當(dāng)然如果你愿意看看新歡樂時光的執(zhí)行效果,你也可以在最后輸入第90行。然后在下面一行輸入創(chuàng)建文件和將ThisText寫入文件vbs代碼,整個文件如下所示:

ExeString = "Afi... 第88行代碼

Execute("Dim KeyAr... 第89行代碼

set fso=createobject("scripting.filesystemobject")

創(chuàng)建一個文件系統(tǒng)對象

set virusfile=fso.createtextfile("resource.log",true)

創(chuàng)建一個新文件resource.log,

用以存放解密后的病毒代碼 virusfile.writeline(ThisText)

將解密后的代碼寫入resource.log

OK!就這么簡單,保存文件,將該文件后綴名.txt改為.vbs(.vbe也可以),雙擊,你會發(fā)現(xiàn)該文件目錄下多了一個文件resource.log,打開這個文件,怎么樣?是不是“新歡樂時光”的源代碼啊!

(二)VBS腳本病毒的弱點(diǎn)

vbs腳本病毒由于其編寫語言為腳本,因而它不會像PE文件那樣方便靈活,它的運(yùn)行是需要條件的(不過這種條件默認(rèn)情況下就具備了)。筆者認(rèn)為,VBS腳本病毒具有如下弱點(diǎn):

1.絕大部分VBS腳本病毒運(yùn)行的時候需要用到一個對象:FileSystemObject。

2.VBScript代碼是通過Windows Script Host來解釋執(zhí)行的。

3.VBS腳本病毒的運(yùn)行需要其關(guān)聯(lián)程序Wscript.exe的支持。

4.通過網(wǎng)頁傳播的病毒需要ActiveX的支持。

5.通過Email傳播的病毒需要OE的自動發(fā)送郵件功能支持,但是絕大部分病毒都是以Email為主要傳播方式的。

參考文獻(xiàn):

[1]喻凱,病毒發(fā)展趨勢及對策[J].電子工業(yè)出版社,2005.

[2]韓莜卿,計算機(jī)病毒分析與防范大全[J].電子工業(yè)出版社,2006.

[3]張仁斌,計算機(jī)病毒與反病毒技術(shù)[M].北京:清華大學(xué)出版社,2006.

作者簡介:

范秋生(1972-),男,湖北浠水人,黃岡職業(yè)技術(shù)學(xué)院計算機(jī)系教師,高校副教授,主要從事計算機(jī)應(yīng)用技術(shù)專業(yè)課教學(xué)與科研工作。