付三丽 黄恒一 王英辉 姚婧 高媛

摘 要：随着各种可移动设备在人们生活中的广泛应用，移动磁盘病毒的泛滥及危害也给局域网环境下人们的生活、工作带来了巨大的破坏和潜在的威胁。该文从简易VBS病毒运行机理、社会工程学在病毒上的应用、病毒的加壳行为、VBS病毒的防御与解除、病毒感染后资料挽救角度，以及常见U盘病毒的运行原理、病毒防御的角度进行深入的剖析，对人们了解计算机病毒自繁殖和自进化生命形态具有很大的帮助。因此，只有对计算机移动磁盘病毒进行系统的了解，深刻分析其工作机理，才能促使科研人员研究更高效的病毒防治措施。

关键词：移动磁盘病毒;社会工程学;自繁殖;局域网;VBS病毒;加壳行为

中图分类号：TP273 文献标识码：A 文章编号：2095-1302（2019）06-00-05

0 引 言

对于绝大多数了解计算机的人来说，计算机病毒几乎和计算机本身一样著名。凡是受过计算机病毒侵害的人无不对它既痛恨又恐惧，但对于那些新手来说，他们中的一些人觉得计算机病毒是一种深不可测、无法捉摸的“程序代码”，从而谈“毒”色变。本文对简易VBS病毒、社会工程学在病毒上的应用、病毒的加壳、VBS病毒的预防与解除、受感染资料的恢复、局域网常见U盘病毒的运行原理，以及网络上存在的一些典型病毒案例涉及的病毒防御的技术措施深入剖析，并对网络安全中涉及病毒的一些专业术语进行探讨。综上分析，对人们了解计算机病毒，进而提高对计算机病毒防范，有效维护网络的正常运行具有深远的意义[1]。

1 原 理

计算机病毒的概念其实源起相当早。对早期的科研人员及大多数人来说，计算机病毒这个词只是建立于听的表面上，但具体上还是不太明白。有些人认为电脑系统后门就是病毒，有些人认为木马就是病毒，有些人认为恶意代码就是病毒，还有一些电脑专家认为具有自我繁殖的程序就称为病毒。那么究竟什么是计算机病毒呢？计算机病毒和生物病毒是否具有一些类似的特性呢？本文从攻防的两个角度，以VBS病毒和局域网环境中常见的U盘病毒为例，从病毒的编程、触发、运行、后果危害几个角度解析病毒的运行机理[2]。

当下人们生活中接触的大部分计算机病毒主要为移动磁盘病毒，一旦移动硬盘或者电脑被侵入病毒，不仅会损坏设备，还可能会损失文件，对用户来说，损失巨大。为了让广大的读者更好地熟悉移动磁盘病毒，本文选取了几款简易的计算机病毒，从其病毒的发作、病毒危害程度等方面进行剖析，并针对局域网中常见的移动病毒提出一些防御措施，让大家对移动磁盘病毒不再畏惧，从而更好地提高网络安全意识，最大程度地减少移动磁盘病毒对自己在生活中所造成的不必要的损失[3]。

2 病毒的分类及机理

2.1 危害度低的计算机病毒

人们对计算机病毒定义为一段程序，能对计算机的信息资源和正常运行造成危害，能自我复制、人为制造。当一段程序代码可以正常解析运行，但是对用户的电脑并不造成一定的危害，可能是一段恶作剧而已，此类型病毒编撰并不需要高深的專业知识，或许一个刚接触编程知识的人员即可编撰出来。因此此类型的程序严格意义上并不能称为病毒[4]。

2.1.1 VBS病毒

VBS病毒为通过VB脚本语言编写的程序代码。VBS病毒是解释执行的，不需要编译，程序编写环境简单，一个电脑自带的笔记本即可开发该类程序，可以直接通过自我复制的方式感染其他文件。VBS病毒编写简单，传播迅速，网络上曾经存在的新欢乐时光病毒就是VBS病毒通过感染网页文件间接造成大规模传播。图1为自我复制VBS病毒源码。

2.1.2 VBS病毒工作原理

由于VBS病毒是解释执行，此类病毒就很容易被触发，当VBS病毒被用户一点击即触发。图2为D，E，F盘病毒交叉/感染效果。

由图2可知，VBS母病毒用Fso对象来新建一个Test.vbs病毒，并写入代码shutdown＼r，当VBS母病毒代码被点击后，首先自身释放子病毒代码test.vbs，并且会将其自身复制到D盘，交叉感染到F盘。文中的第一个简易病毒代码f.vbs基本具备了病毒的自繁殖、变异的特征，此类病毒制作者目的无非是自我表现一下。这种病毒对用户电脑的危害程度不是很大[5]。

2.2 危害性的VBS病毒

当下能对人们工作生活造成一定危害性的病毒是大量具备潜伏性的，长期隐藏在用户电脑中，只有在满足特定条件时，才启动其破坏文件，产生危害。文中涉及的第二类VBS病毒会搜索整个电脑硬盘的文件，当目标类型文件存在时，就会触发VBS病毒对特定文件强制性清空，对用户的重要文件造成毁灭性的损失。此外病毒运行完毕后还会自我删除，增加了网络维护人员取证母病毒源码的难度[6]。图3为强制性覆盖VBS病毒，图4为覆盖VBS病毒发作效果图。

由图3和图4可知，文中强制性覆盖病毒m.vbs已经具备一定的危害性，当病毒被触发之后，所有的TXT类型的文件将会被强制清空，当病毒运行完毕后，会进行自我删除。其对应的代码为：set a=createobject（"wscript.shell"），a.run "cmd /c del /q m.vbs"，0。

2.3 社会工程学在病毒上的应用

目前人们对于网络安全的意识逐步提高，很多企业在其信息安全维护上投入大量的资金，但是网络安全泄露的事件仍频频发生。深刻分析其原因，往往发生在人们本身。很多黑客利用社会工程学中人性的弱点这等非技术渗透手段，实施对计算机硬盘的危害，且效率极高。

2.3.1 社会工程学在VBS病毒传播上的应用

由于人们网络安全意识的提高，当电脑硬盘上突然间存在一段陌生的程序代码，稍有一些戒心的人都不会轻易点击，因此一些黑客就会在病毒的传播渠道上发力，对病毒进行一定的伪装。图5为f.vbs病毒的快捷方式，图6为f.vbs病毒伪装后的快捷方式。

从图5和图6可知，黑客基于人们对于电脑上陌生程序的防范心理，将f.vbs病毒的快捷方式伪装成人们熟悉的电脑桌面图标，并将病毒的源代码属性设置为隐藏，进一步提高病毒被点击的概率。

2.3.2 病毒生成器在VBS病毒传播上的应用

危害程度较大的病毒程序一般只有专业的人员才可以做到，但目前网络上存在大量病毒生成器，可以直接组合成各种复合型病毒;更为担忧的是这种病毒生成器的普及，造成不具备专业知识的人员可在短时间之内制造出病毒[7]。图7为VBS病毒制造机病毒，图8为VBS隐藏盘符病毒效果。

由图7和图8可知，当用户通过病毒制造机选择病毒相应的功能后，病毒制造机就会将病毒的相应模块进行组合、优化，产生相应功能的病毒。病毒制造机的存在简化了病毒制作的难度，给病毒的传播带来了便捷，也给网络的正常运行带来了一定的危害。

2.4 病毒的外壳

目前常用的病毒查杀方法是特征码法。杀毒软件对疑似病毒的源代码进行提取并和病毒库中的病毒特征码进行比对，如果病毒产生变种，杀毒软件结合一些附加的病毒跟踪、分析、反汇编技术对变种病毒进行特征值比对。作为病毒的制作者，一旦一个新的病毒制作出来后，就会被杀毒软件拦截，此病毒对应的源码就会被杀毒公司的病毒特征库记录;然而一旦病毒再次更新特征码，即经病毒源码加壳、加花、封装等复杂的技术，那么此病毒特征码再次消灭病毒库的特征码记录数据，新的变种病毒会再次逃脱杀毒软件的拦截。反病毒衍生使杀毒公司的工作量加大，想查杀多重加密的病毒，需付出更多的资源。网络上曾经流行并造成大规模危害的熊猫烧香病毒的源码，在一天之内就数次产生更新，致使杀毒软件的病毒库曾一天之内数次升级。病毒的多次变种，对网络正常运行造成的危害巨大，熊猫烧香病毒也因此成为科研人员及网络安全公司研究的范例[8]。

2.4.1 病毒源码的加密

病毒加密的技术手段很多，但是病毒加密后还必须使源码能够正常被解析，这是病毒加密的理论基础。目前针对VBS病毒加壳的方式很多，专业的黑客可以利用计算机专业编程的知识，一些技术水平较低的人员可以随意利用网络上的VBS病毒加密脚本或者VBS脚本加密工具，即可加密自己制作的病毒源码。图9为加壳后密文VBS病毒源码，

由图9可知，VBS病毒加壳的方式是通过VBS脚本加密实现的。VBS脚本加密后产生一个VBE的VBS脚本代码。VBE跟VBS差不多，都是VB脚本代码文件，但它们也有不同，VBS是明文代码，而VBE则是编译后的密文VBS代码，两者皆可被电脑的脚本宿主程序解析运行。由图10可知，VBE产生了与VBS同样的病毒危害效果。如果类似的VBS脚本病毒经过加密后以密文的形式被杀毒公司的人员截获，病毒的源码不是明文，甚至病毒源码的加密方式不限于一重加密，那么加壳后的病毒在一定程度上加大了被破译的难度[9]。

2.4.2 病毒的加花

程序的加花指令是由设计者特别构思，希望破解者无法正确地解析程序的内容。那么病毒加花是指什么呢？病毒的加花和前文所描述的病毒的加壳行为有什么区别呢？病毒源码的加花是在源码中加一些无意义且不影响源程序的代码，如有个程序里的数据值为“5（空格）C”，可以改为“5+1-1%20C”，虽然值没有改变，但程序本身改变了，检验码也改变了，对于病毒程序而言就不一定能逃过杀毒软件的拦截。图11为 VBS病毒加花指令源码。

由图11可知，VBS病毒添加了阴影的加花指令，程序产生的实际效果并没有改变，但是程序源码的本身发生了改变，即病毒的特征码值发生了改变[10]。

2.4.3 病毒的封装

从病毒程序攻击的角度来说，一个病毒制作完成后，病毒的生存周期对其而言就非常重要了。脆弱性的病毒一旦制作完毕，很快就会被杀毒软件拦截，恶性病毒往往采用多种变种技术，用于对抗杀毒软件的查杀，除去前文叙述的加壳、加花还有类似的封装技术。图12为VBS病毒的封装，图13为 VBS病毒至EXE格式文件的封装。

图12和图13展示了VBS病毒文件至EXE文件的封装，病毒封装成EXE格式文件后，产生了同样的效果，从病毒攻击的角度而言，病毒的封装用以逃避杀毒软件的记录、拦截和欺骗用户的点击。

2.5 病毒的繁殖性病毒自我复制的特性会对计算机系统产生一定的破坏，这个特性也是病毒和木马程序的本质区别，木马的特性主要是驻留在目标电脑中，对目标电脑的资源进行窃取。图14为繁殖类VBS病毒源码，图15为繁殖类VBS病毒触发效果图。

由图14可知，繁殖类病毒触发后会在电脑硬盘中产生大量同类型的病毒，会占用电脑的资源，影响电脑正常运行的速度。繁殖类病毒如果释放出更加复杂的变种病毒且结合加壳、加花、社会工程学等技术，那么此类的病毒的破坏性会更大。

2.6 VBS病毒的预防和解除

只有对计算机移动磁盘病毒进行系统的了解，才能促使杀毒公司的技术人员总结出高效率的病毒防治措施。从病毒防御的角度而言，用户养成使用计算机的良好习惯，树立安全意识，掌握必要的安全技术才是病毒防御的根本。

2.6.1 VBS病毒的预防

前文从VBS病毒运行机理进行分析，让读者了解到VBS病毒运行、触发及传播过程中需要的一些条件。针对VBS脚本病毒预防的技术措施主要是破坏该病毒运行所需要的环境，如禁用文件系統对象，卸载Windows Script Host，对于依赖网络传播的VBS蠕虫病毒，应提高浏览器的安全级别，限制ActiveX控件及插件的使用，当然最重要的还是用户的电脑安装相应的杀毒软件。

2.6.2 VBS病毒的解除

当电脑中不幸触发了危害度较低的病毒，用户可以打开任务管理器，关闭掉wscript.exe任务进程，启动杀毒软件，针对VBS病毒的弱点，卸载系统内VBS病毒运行需要的Windows Scripting Host组件。如果遇到危害性较大，促使任务管理器及杀毒软件都关闭，打不开的VBS病毒时，此时只能面临系统的重装被动挽救措施了。因此针对计算机病毒程序而言，还是建议预防为主，查杀为辅的原则，用户需要提高认识，养成使用电脑和上网的良好习惯。

2.6.3 硬盘文件的恢复

本文主要以VBS病毒为例，阐述病毒的预防和常规解除的方法及措施。事实上很多用户在电脑硬盘感染病毒后，会造成文件的损失及丢失，在此处结合网络上常见的一些技术措施举出两种文件恢复的方法。图16为文件恢复软件，图17为 winhex文件恢复软件。

由图16和图17可知，当用户的电脑遭遇到电脑病毒导致文件丢失时，可以尝试用一些免费的恢复软件进行丢失文件的数据恢复，这样可以进一步减少自己的损失。

2.7 U盘病毒

前文主要选取VBS病毒为例，从攻防两个角度来阐述病毒的编写、运行、触发及防御的措施。通过前文的阐述，很多病毒依赖网络进行传播，如网络蠕虫病毒。由于杀毒软件的拦截及人们网络安全意识的提高，一段陌生的程序代码可能会引起人们的戒心，但是在一些没有网络的环境中，也存在大量依赖移动设备进行传播的病毒。

由于电子信息时代的到来，人们工作生活中所需要的电子资料很多时候是通过移动存储设备来复制和传递的，也正是U盘传递信息的便捷性使得U盘成为很多病毒制造者相中的病毒渠道研究对象，如果放松对U盘病毒的戒心很可能会给自己造成致命的损失。美国曾经针对伊朗核设施的网络病毒战争就是基于对方防范疏漏，通过第三方在伊朗核设施需要的打印机中植入了震网病毒导致的。因此研究U盘病毒的运行机理目的也是让大家更好地了解U盘病毒，进而减少U盘病毒给自己带来的不必要麻烦。

2.7.1 U盘病毒的简介

U盘病毒传播媒介主要通过U盘、移动硬盘传播，也称为“AutoRun”病毒，依赖AutoRun.inf文件进行传播，并且可以向U盘中的AutoRun.inf文件写入黑客自己定义的源码，因此准确的说，凡是依赖AutoRun.inf文件进行传播的各种移动病毒，都可以称为U盘病毒。由于U盘在人们工作生活中的重要性，因此深入研究U盘病毒，了解U盘病毒的运行机理对于用户提高安全意识，保护好自己的数据安全就很必要了。

2.7.2 Autorun.inf分析

Autorun.inf这个文件是很早就存在的，需要让光盘、U盘插入到机器自动运行的话，就要靠Autorun.inf。这个文件是保存在驱动器的根目录下的，它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序。病毒作者正是利用Autorun.inf文件的这一特点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。

2.7.3 U盘病毒感染后状况

U盘是当下人们学习工作之中重要的电子存储设备，受感染的U盘中会莫名的多一些隐藏的文件，有的甚至将U盘中文件全部替换成快捷方式，有的替换成别的图标。危害程度较大的恶性U盘病毒会导致用户的U盘数据丢失，无法写入文件、读取文件，U盘格式化后，病毒仍然存在的尴尬状况，面对恶性的U盘病毒只有借鉴一些专业的U盘杀毒工具。

2.7.4 U盘病毒运行机理

前文叙述了病毒的特征，其为具备复制性、感染性、触发性、传播性及危害性的恶意代码。U盘病毒也是属于病毒中的一种，也具备病毒的相应特征，最典型的特征就是具备传染性，大部分U盘病毒一旦发作，就会不定期地感染新插入电脑的U盘，从而实现病毒的传播，也间接导致一个新的带病毒的U盘现。

2.7.5 简易U盘病毒

Autorun.inf本身是正常的文件，但易被利用作其他恶意的操作，任何用户都可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等。一般情况下，U盘不应该有Autorun.inf文件;如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。图18为C++ U盘病毒文件，图19为系统根目录复制的U盘病毒，图20为感染所有新插入电脑的U盘。

由图18和图19可知，文中选取的这款U盘病毒利用Autorun.inf文件和C++编写的病毒文件传播，当有新的U盘插入电脑后，均会被感染。文中的U盘病毒仅仅是用来演示，目的是让读者了解U盘病毒的运行机理。但现实的生活中，很多U盘病毒结合了前文阐述的多种技术，具备一定的危害，如果用户没有一定的防范意识，那么对自己的生活工作就可能造成一定的影响。

2.7.6 U盘病毒的预防

U盘和移动硬盘是使用最广泛、移动最频繁的存储介质，是局域网内病毒传播的重要渠道，也是人们日常工作生活中针对病毒最容易疏于防范的对象。本文提出一些针对U盘病毒的预防措施：一般不要双击U盘;提高安全意识，会使用常见的U盘病毒查杀工具。针对U盘病毒的防御及查杀技术是多样的，但是當下网络的普及导致病毒代码随处可见，因此针对U盘病毒程序也需要以预防为主，最重要的还是需要用户提高认识，养成良好的使用电脑及上网的习惯。

3 总 结

本文围绕局域网中常见的VBS脚本病毒和U盘病毒，从病毒攻击的编写、运行、触发、危害及病毒的防守技术措施等方面进行研究。研究的内容对人们了解局域网内病毒的运行机理，对常见病毒的预防知识的掌握有一定的指导借鉴价值，同时也符合我国打好网络安全攻坚战的网络信息战略需求。

参 考 文 献

[1]亓俊红，苏波.基于蠕虫传播机理的主动防御策略[J].山东理工大学学报（自然科学版），2006（6）：62-65.

[2]何申，张四海，王煦法，等.网络脚本病毒的统计分析方法[J].计算机学报，2006（6）：969-975.

[3]王德正.基于VBS脚本病毒分析[J].大众科技，2005（3）：40-41.

[4]万春，刘丽莉.缓冲区溢出攻击手段及防范策略分析[J].集美大学学报（自然科学版），2003（3）：237-242.

[5]张晓磊，张晓明.基于堆栈的缓冲区溢出攻击原理[J].广州大学学报（自然科学版），2004（4）：329-332.

[6]唐晓东，何连跃，罗军.一种恶意代码防护方法及其实现[J].计算机工程，2005（12）：143-145.

[7]李恒.VBS脚本病毒原理及其防治[J].当代图书馆，2007（3）：43-47.

[8]范秋生.浅谈VBS脚本病毒入侵计算机的途径与防治[J].硅谷，2009（21）：97.

[9]罗婷婷，邹航菲.专用网络脚本病毒有效优化隔离仿真研究[J].计算机仿真，2018，35（1）：275-278.

[10]白白.电脑防止脚本病毒执行的通用方法[J].网络与信息，2005（8）：61.