腳本病毒的生生滅滅

2000年橫掃網絡的“愛蟲”讓人記憶猶新，一旦打開了“我愛你”主題的郵件，它就會向郵件列表中的所有人轉發垃圾郵件。“愛蟲”可以說是VBS病毒的典范，其后，還有新歡樂時光、愛情森林、庫爾尼科娃等著名腳本病毒。

VBS腳本病毒是常見的病毒種類之一。由于編寫簡單，修改容易，只要出現一個VBS腳本病毒，很快就會出現多個變種，非常令人頭疼。可不要小瞧它們的破壞力，它們不但可以更改IE瀏覽器的屬性，還能禁止注冊表的使用，甚至修改“開始”菜單，導致“運行”、“關閉系統”等命令消失，硬盤被隱藏等。

生

對于一些有編程經驗的高手來講，編寫一個惡意腳本并不是一件很困難的事。今天我們來研究一個“病毒制造機”，借此可以清楚了解到VBS腳本病毒的來龍去脈。當然，僅僅是限于研究學習的范圍，強烈不建議使用此程序來進行任何破壞行為。

這個小工具就叫做《病毒制造機》，可以在網上搜索到，它用于VBS腳本病毒設置，只需要根據提示進行簡單的設置，就可以輕松地編寫出一個惡意腳本。

Step1 運行《病毒制造機》，首先出現的是程序的簡介，直接點擊“下一步”按鈕，出現“病毒復制選項”窗口。可以看到，這里的選項能提高惡意腳本的存活率，也提示出腳本病毒常隱藏的地方。也可以不進行設置，在“病毒副本文件名”選項中設置惡意腳本的名稱（圖1）。

Step2 點擊“下一步”按鈕，出現“禁止功能選項”窗口。這里主要是進行一些系統功能的限制，用戶可以根據每個選項的意思進行選擇（圖2）。

Step3 接下來出現“病毒提示對話框”窗口，用于設置一個開機時的提示。然后出現“病毒傳播選項”窗口，如果選擇了“通過電子郵件進行自動傳播”選項，惡意腳本就會自動調用Outlook Express、Foxmail等郵件工具中“地址簿”中的名單，向外傳播帶惡意腳本郵件，十分惡毒，切記不要選取此項！

Step4 再點擊“下一步”按鈕，出現“IE修改選項”窗口（圖3），其中有一個“設置默認主頁”選項，選擇后會彈出的“設置主頁”窗口，在其中填入須要連接的網頁地址，這里我們就以《計算機應用文摘》的主頁進行測試（圖4），點擊“確認輸入”按鈕退出設置。

Step5 點擊“下一步”按鈕，出現“開始制造病毒”窗口，設置惡意腳本存放的目錄和名稱后，點擊“開始制造”按鈕就能生成需要的惡意腳本了。

最后生成的腳本有兩份，用其中的reset.vbs文件就可以殺掉生成的惡意腳本并修復系統。

滅

當然，VBS腳本也有自己致命的弱點。其中重要的一點就是，所有的腳本都要通過WSH來解釋執行，如果將WSH卸載掉，就再也不用擔心那些可惡的惡意腳本了。

在Windows 98中，WSH是作為操作系統的一個組件自動安裝的。用戶可以打開控制面板，雙擊“添加或刪除程序”選項，在彈出的窗口中點擊“Windows安裝程序”選項，然后選擇“附件”，再選擇“詳細資料”，最后將“Windows Scripting Host”前的鉤去掉即可。

從Windows Me開始，WSH成為系統的必備，無法卸載該功能，只能通過設置保證雙擊vbs后綴的腳本文件時，不讓其運行。打開“Windows資源管理器”，點擊“工具”菜單下的“文件夾選項”。在彈出的窗口中選擇“文件類型”標簽，將滾動條下移找到VBScript腳本文件，點擊“刪除”（圖5）。這種方法雖然操作簡單，能對惡意腳本起到防范的作用，但是同時也讓正規的腳本程序不能使用，畢竟WSH的功能實在是太強大了。

默認情況下腳本程序都是由wscript.exe來打開并執行的，因此只要將腳本文件改為由其他程序執行，比如記事本程序，也可以起到防范的作用。在“文件類型”標簽下選擇腳本文件后，點擊“高級”按鈕。在彈出窗口的“操作”列表中選擇“打開”選項，并點擊“編輯”按鈕。然后將彈出窗口的“由于執行操作的應用程序”選項更改為“C:\\WINDOWS\\System32\\Notepad.exe \"%1\" %*”（圖6），確定退出即可。

除此以外，用戶還有一個更好的防范選擇，就是修改注冊表。IE瀏覽器可以被惡意腳本修改，原因就是IE 5.5以及以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr Activex對象讀取瀏覽者的注冊表。微軟最新的MicrosoftWindows Script 5.6已經修正了這個問題，所以將WSH升級到WSH 5.6就能有效地防范惡意腳本。

現在，殺毒軟件對于V B S腳本病毒的檢測大多非常準確，它的危害已經大大降低了，但是數量仍不少。通過本文可以看到，VBS腳本病毒其實并不可怕，只要能對它有了較為全面的了解，就可以有效地對它進行防范。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。