◆针对以上提到的VBS脚本病毒的弱点,可以采用如下集中防范措施:
禁用文件系统对象FileSystemObject
卸载WSH
删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
将WScript.exe更改名称或者删除
自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用
禁止OutlookExpress的自动收发邮件功能
显示扩展名,避免病毒利用文件扩展名作文章
将系统的网络连接的安全级别设置至少为“中等”
安装、使用杀毒软件
5.如果脚本病毒对其代码进行了加密,我们能否看到其解密后的源代码?怎样获取解密后的源代码?
vbs脚本病毒,看上去是乱码,一点也看不懂,其实还是有迹可循的。其思路就是寻找"execute"关键词。病毒最终,还是要换成机器可以看懂的内容,也就是说,最后一层的execute里面的内容,就是病毒的源代码。按照这个思路,那么可以知道,解密方法也一定就在这个execute里面。
也就是说:无需明白他是如何加密的,只需要知道,execute出来的是什么。
按照这个思路,可以得到程序的最后一次迭代加密过程前的代码,也就是第一次迭代解密的代码,看上去还是乱码,不过还是同样的道理,总可以找到execute这个关键词。病毒可能经过多次迭代,不过最终还是可以看懂的。
需要注意的是,execute后面的内容解密出来如果真的用execute执行了,那就中招了,所以这里要注意不能把execute也放进去一起执行。
6. 爱虫病毒对系统有哪些危害?编制一个爱虫病毒的解毒程序。
新“爱虫”(Vbs.Newlove)病毒,同爱虫(Vbs.lovelett er)病毒一样,也通过out look传播,会向地址簿中所有的联系人发送病毒邮件。如果打开病毒邮件的附件,还会造成更严重的后果。您会观察到计算机的硬盘灯狂闪,系统速度显著变慢,计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联,意味着启动所有的文件wscript.exe都会首先运行,会进一步消耗系统资源,造成系统崩溃。清除病毒后还需要手工恢复文件关联,一般用户很难操作。
7. 宏病毒采用哪些传播方式?如何防治和清除宏病毒?
◆宏病毒的传播方式
在W ord或其他Office程序中,宏分成两种
?在某个文档中包含的内嵌宏,如FileOpen宏
?属于W ord应用程序,所有打开的文档公用的宏,如AutoOpen宏 W ord宏病毒一般都首先隐藏在一个指定的W ord文档中,一旦打开了这个W ord文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有
打开的文档都可使用这个宏
当W ord退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的名字通常是“normal.dot”,即normal模板
如果全局宏模板被感染,则W ord再启动的时候将自动载入宏病毒并且自动执行
◆宏病毒的防御
禁止运行不安全的宏