淺談VBS腳本病毒入侵計算機的途徑與防治

[摘要]計算機病毒給世界范圍內的計算機系統帶了不可估量的危害,給人們留下了深刻的印象。網絡腳本病毒是計算機病毒的一種新形式,主要采用腳本語言編寫,書寫形式靈活,容易產生變種,它可以對系統進行操作,包括創建、修改、刪除,甚至格式化硬盤,傳播速度快,危害性大。介紹VBS病毒的特點及發展現狀,分析VBS病毒的原理、傳播方式,并提出VBS病毒的防治策略。

[關鍵詞]VBS病毒入侵方式病毒防治

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110097-01

一、VBS腳本病毒原理分析

(一)VBS腳本病毒如何躲過殺毒軟件

現在殺毒的對vbs相當敏感,只要發現對注冊表的xx作,或使用vbs運行命令(加用戶)就可能被殺。下面談兩種方法可以簡單解決:

1.使用連接符"&",如:

Set CURObj = CreateObject("WScript.Shell")

mhk="HK"&"LMSOFT"&"WAREMicr"&"osoftWin"&"dowsCurren"&"tVersionRun"

CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"

2.使用Execute函數(BY動鯊)

一些殺毒軟件,如瑞星,它們會監視網頁中的代碼,一旦你創建了FSO或寫注冊表,即使是正常的腳本他也會報告危險,但是當年新歡樂時光也用了FSO怎么就沒報警呢?原因是這個病毒使用Execute這個函數來躲過了防火墻,呵呵。病毒將這段聲明代碼轉化為字符串,然后通過Execute(String)函數執行。

二、VBS腳本病毒如何感染、搜索文件

VBS腳本病毒一般是直接通過自我復制來感染文件的,病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間,譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部,并在頂部加入一條調用病毒代碼的語句,而宏病毒則是直接生成一個文件的副本,將病毒代碼拷入其中,并以原文件名作為病毒文件名的前綴,vbs作為后綴。

三、VBS腳本病毒通過網絡傳播的幾種方式及代碼分析

VBS腳本病毒之所以傳播范圍廣,主要依賴于它的網絡傳播功能,一般來說,VBS腳本病毒采用如下幾種方式進行傳播:

1.通過Email附件傳播

2.通過局域網共享傳播

局域網共享傳播也是一種非常普遍并且有效的網絡傳播方式。一般來說,為了局域網內交流方便,一定存在不少共享目錄,并且具有可寫權限,譬如win2000創建共享時,默認就是具有可寫權限。這樣病毒通過搜索這些共享目錄,就可以將病毒代碼傳播到這些目錄之中。

3.通過感染htm、asp、jsp、php等網頁文件傳播

如今,WWW服務已經變得非常普遍,病毒通過感染htm等文件,勢必會導致所有訪問過該網頁的用戶機器感染病毒。

四、如何防范VBS腳本病毒

(一)如何從樣本中提取(加密)腳本病毒

對于沒有加密的腳本病毒,我們可以直接從病毒樣本中找出來,現在介紹一下如何從病毒樣本中提取加密VBS腳本病毒,這里我們以新歡樂時光為例。

用JediEdit打開folder.htt。我們發現這個文件總共才93行,第一行,幾行注釋后,以開始,節尾。相信每個人都知道這是個什么類型的文件吧!

首先,copy第88、89兩行到剛才建立的.txt文件,當然如果你愿意看看新歡樂時光的執行效果,你也可以在最后輸入第90行。然后在下面一行輸入創建文件和將ThisText寫入文件vbs代碼,整個文件如下所示:

ExeString = "Afi... 第88行代碼

Execute("Dim KeyAr... 第89行代碼

set fso=createobject("scripting.filesystemobject")

創建一個文件系統對象

set virusfile=fso.createtextfile("resource.log",true)

創建一個新文件resource.log,

用以存放解密后的病毒代碼 virusfile.writeline(ThisText)

將解密后的代碼寫入resource.log

OK!就這么簡單,保存文件,將該文件后綴名.txt改為.vbs(.vbe也可以),雙擊,你會發現該文件目錄下多了一個文件resource.log,打開這個文件,怎么樣?是不是“新歡樂時光”的源代碼啊!

(二)VBS腳本病毒的弱點

vbs腳本病毒由于其編寫語言為腳本,因而它不會像PE文件那樣方便靈活,它的運行是需要條件的(不過這種條件默認情況下就具備了)。筆者認為,VBS腳本病毒具有如下弱點:

1.絕大部分VBS腳本病毒運行的時候需要用到一個對象:FileSystemObject。

2.VBScript代碼是通過Windows Script Host來解釋執行的。

3.VBS腳本病毒的運行需要其關聯程序Wscript.exe的支持。

4.通過網頁傳播的病毒需要ActiveX的支持。

5.通過Email傳播的病毒需要OE的自動發送郵件功能支持,但是絕大部分病毒都是以Email為主要傳播方式的。

參考文獻:

[1]喻凱,病毒發展趨勢及對策[J].電子工業出版社,2005.

[2]韓莜卿,計算機病毒分析與防范大全[J].電子工業出版社,2006.

[3]張仁斌,計算機病毒與反病毒技術[M].北京:清華大學出版社,2006.

作者簡介:

范秋生(1972-),男,湖北浠水人,黃岡職業技術學院計算機系教師,高校副教授,主要從事計算機應用技術專業課教學與科研工作。