APP下载

浅谈VBS脚本病毒入侵计算机的途径与防治

2009-07-13范秋生

新媒体研究 2009年21期
关键词:计算机病毒脚本传播方式

[摘要]计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。介绍VBS病毒的特点及发展现状,分析VBS病毒的原理、传播方式,并提出VBS病毒的防治策略。

[关键词]VBS病毒入侵方式病毒防治

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110097-01

一、VBS脚本病毒原理分析

(一)VBS脚本病毒如何躲过杀毒软件

现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。下面谈两种方法可以简单解决:

1.使用连接符"&",如:

Set CURObj = CreateObject("WScript.Shell")

mhk="HK"&"LMSOFT"&"WAREMicr"&"osoftWin"&"dowsCurren"&"tVersionRun"

CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"

2.使用Execute函数(BY动鲨)

一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了FSO或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了FSO怎么就没报警呢?原因是这个病毒使用Execute这个函数来躲过了防火墙,呵呵。病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行。

二、VBS脚本病毒如何感染、搜索文件

VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。

三、VBS脚本病毒通过网络传播的几种方式及代码分析

VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:

1.通过Email附件传播

2.通过局域网共享传播

局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如win2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。

3.通过感染htm、asp、jsp、php等网页文件传播

如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。

四、如何防范VBS脚本病毒

(一)如何从样本中提取(加密)脚本病毒

对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密VBS脚本病毒,这里我们以新欢乐时光为例。

用JediEdit打开folder.htt。我们发现这个文件总共才93行,第一行,几行注释后,以开始,节尾。相信每个人都知道这是个什么类型的文件吧!

首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码,整个文件如下所示:

ExeString = "Afi... 第88行代码

Execute("Dim KeyAr... 第89行代码

set fso=createobject("scripting.filesystemobject")

创建一个文件系统对象

set virusfile=fso.createtextfile("resource.log",true)

创建一个新文件resource.log,

用以存放解密后的病毒代码 virusfile.writeline(ThisText)

将解密后的代码写入resource.log

OK!就这么简单,保存文件,将该文件后缀名.txt改为.vbs(.vbe也可以),双击,你会发现该文件目录下多了一个文件resource.log,打开这个文件,怎么样?是不是“新欢乐时光”的源代码啊!

(二)VBS脚本病毒的弱点

vbs脚本病毒由于其编写语言为脚本,因而它不会像PE文件那样方便灵活,它的运行是需要条件的(不过这种条件默认情况下就具备了)。笔者认为,VBS脚本病毒具有如下弱点:

1.绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject。

2.VBScript代码是通过Windows Script Host来解释执行的。

3.VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。

4.通过网页传播的病毒需要ActiveX的支持。

5.通过Email传播的病毒需要OE的自动发送邮件功能支持,但是绝大部分病毒都是以Email为主要传播方式的。

参考文献:

[1]喻凯,病毒发展趋势及对策[J].电子工业出版社,2005.

[2]韩莜卿,计算机病毒分析与防范大全[J].电子工业出版社,2006.

[3]张仁斌,计算机病毒与反病毒技术[M].北京:清华大学出版社,2006.

作者简介:

范秋生(1972-),男,湖北浠水人,黄冈职业技术学院计算机系教师,高校副教授,主要从事计算机应用技术专业课教学与科研工作。

猜你喜欢

计算机病毒脚本传播方式
零陵渔鼓传承发展方式新旧对比研究
带刺的苍耳
自动推送与网站匹配的脚本
计算机病毒检测技术的现状与发展
网络文学与传统文学的异同比较
举一反三新编
捕风捉影新编
愚公移山
什么是计算机病毒