浅谈VBS脚本病毒入侵计算机的途径与防治

2009-07-13范秋生

新媒体研究 2009年21期

[摘要]计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。介绍VBS病毒的特点及发展现状,分析VBS病毒的原理、传播方式,并提出VBS病毒的防治策略。

[关键词]VBS病毒入侵方式病毒防治

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110097-01

一、VBS脚本病毒原理分析

(一)VBS脚本病毒如何躲过杀毒软件

现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。下面谈两种方法可以简单解决:

1.使用连接符"&",如:

Set CURObj = CreateObject("WScript.Shell")

mhk="HK"&"LMSOFT"&"WAREMicr"&"osoftWin"&"dowsCurren"&"tVersionRun"

CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"

2.使用Execute函数(BY动鲨)

一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了FSO或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了FSO怎么就没报警呢?原因是这个病毒使用Execute这个函数来躲过了防火墙,呵呵。病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行。

二、VBS脚本病毒如何感染、搜索文件

VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。

三、VBS脚本病毒通过网络传播的几种方式及代码分析

VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:

1.通过Email附件传播

2.通过局域网共享传播

局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如win2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。

3.通过感染htm、asp、jsp、php等网页文件传播

如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。

四、如何防范VBS脚本病毒

(一)如何从样本中提取(加密)脚本病毒

对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密VBS脚本病毒,这里我们以新欢乐时光为例。

用JediEdit打开folder.htt。我们发现这个文件总共才93行,第一行,几行注释后,以开始,节尾。相信每个人都知道这是个什么类型的文件吧!

首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码,整个文件如下所示: