浅谈VBS脚本病毒入侵计算机的途径与防治
2009-07-13范秋生
[摘要]计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。介绍VBS病毒的特点及发展现状,分析VBS病毒的原理、传播方式,并提出VBS病毒的防治策略。
[关键词]VBS病毒入侵方式病毒防治
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110097-01
一、VBS脚本病毒原理分析
(一)VBS脚本病毒如何躲过杀毒软件
现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。下面谈两种方法可以简单解决:
1.使用连接符"&",如:
Set CURObj = CreateObject("WScript.Shell")
mhk="HK"&"LMSOFT"&"WAREMicr"&"osoftWin"&"dowsCurren"&"tVersionRun"
CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"
2.使用Execute函数(BY动鲨)
一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了FSO或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了FSO怎么就没报警呢?原因是这个病毒使用Execute这个函数来躲过了防火墙,呵呵。病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行。
二、VBS脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。
三、VBS脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:
1.通过Email附件传播
2.通过局域网共享传播
局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如win2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。
3.通过感染htm、asp、jsp、php等网页文件传播
如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。
四、如何防范VBS脚本病毒
(一)如何从样本中提取(加密)脚本病毒
对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密VBS脚本病毒,这里我们以新欢乐时光为例。
用JediEdit打开folder.htt。我们发现这个文件总共才93行,第一行,几行注释后,以开始,节尾。相信每个人都知道这是个什么类型的文件吧!
首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码,整个文件如下所示:
ExeString = "Afi... 第88行代码
Execute("Dim KeyAr... 第89行代码
set fso=createobject("scripting.filesystemobject")
创建一个文件系统对象
set virusfile=fso.createtextfile("resource.log",true)
创建一个新文件resource.log,
用以存放解密后的病毒代码 virusfile.writeline(ThisText)
将解密后的代码写入resource.log
OK!就这么简单,保存文件,将该文件后缀名.txt改为.vbs(.vbe也可以),双击,你会发现该文件目录下多了一个文件resource.log,打开这个文件,怎么样?是不是“新欢乐时光”的源代码啊!
(二)VBS脚本病毒的弱点
vbs脚本病毒由于其编写语言为脚本,因而它不会像PE文件那样方便灵活,它的运行是需要条件的(不过这种条件默认情况下就具备了)。笔者认为,VBS脚本病毒具有如下弱点:
1.绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject。
2.VBScript代码是通过Windows Script Host来解释执行的。
3.VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。
4.通过网页传播的病毒需要ActiveX的支持。
5.通过Email传播的病毒需要OE的自动发送邮件功能支持,但是绝大部分病毒都是以Email为主要传播方式的。
参考文献:
[1]喻凯,病毒发展趋势及对策[J].电子工业出版社,2005.
[2]韩莜卿,计算机病毒分析与防范大全[J].电子工业出版社,2006.
[3]张仁斌,计算机病毒与反病毒技术[M].北京:清华大学出版社,2006.
作者简介:
范秋生(1972-),男,湖北浠水人,黄冈职业技术学院计算机系教师,高校副教授,主要从事计算机应用技术专业课教学与科研工作。