5．Vbs病毒生产机的原理介绍
　　
　　所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议，其实对脚本病毒而言它的实现非常简单。
　　
　
　脚本语言是解释执行的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得比较清楚。这样，先将病毒功能做成很多单独的模块，在用户做出病毒
功能选择后，生产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因，这里不作详细介绍。
　　
　　三、如何防范vbs脚本病毒
　　
　　1．如何从样本中提取（加密）脚本病毒
　　
　　对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍一下如何从病毒样本中提取加密VBS脚本病毒，这里我们以新欢乐时光为例。
　　
　　用JediEdit打开folder.htt。我们发现这个文件总共才93行，第一行，几行注释后，以开始，节尾。相信每个人都知道这是个什么类型的文件吧！
　　
　　第87行到91行，是如下语句：
　　 87：
　　
　
　第87和91行不用解释了，第88行是一个字符串的赋值，很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText =
ThisText &
TempChar，再加上下面那一行，我们肯定能够猜到ThisText里面放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析一下这段解密代
码，too simple!就算完全不看代码也应该可以看得出来的)。第90行是执行刚才ThisText中的那段代码（经过解密处理后的代码）。
　　
　　那么，下一步该怎么做呢？很简单，我们只要在病毒代码解密之后，将ThisText的内容输出到一个文本文件就可以解决了。由于上面几行是vbscript,于是我创建了如下一个.txt文件：
　　
　　首先，copy第88、89两行到刚才建立的.txt文件，当然如果你愿意看看新欢乐时光的执行效果，你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码，整个文件如下所示：
　　
　　ExeString = "Afi...’ 第88行代码
　　Execute("Dim KeyAr... ’ 第89行代码
　　set fso=createobject("scripting.filesystemobject")
　　 ’ 创建一个文件系统对象
　　set virusfile=fso.createtextfile("resource.log",true)
　　’ 创建一个新文件resource.log，
　　用以存放解密后的病毒代码 virusfile.writeline(ThisText)
　　 ’ 将解密后的代码写入resource.log
　　
　　OK！就这么简单，保存文件，将该文件后缀名.txt改为.vbs(.vbe也可以)，双击，你会发现该文件目录下多了一个文件resource.log，打开这个文件，怎么样？是不是“新欢乐时光”的源代码啊！
　　
　　 2．vbs脚本病毒的弱点
　　 vbs脚本病毒由于其编写语言为脚本，因而它不会像PE文件那样方便灵活，它的运行是需要条件的（不过这种条件默认情况下就具备了）。笔者认为，VBS脚本病毒具有如下弱点：
　　1）绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject
　　
　　2）VBScript代码是通过Windows Script Host来解释执行的。
　　
　　3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。
　　
　　4）通过网页传播的病毒需要ActiveX的支持
　　
　　5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。
　　
　　3．如何预防和解除vbs脚本病毒
　　
　　针对以上提到的VBS脚本病毒的弱点，笔者提出如下集中防范措施：
　　
　　1）禁用文件系统对象FileSystemObject
　　
　　方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是WindowsSystem下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。
　　
　　还有一种方法就是在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项，咔嚓即可。
　　
　　2）卸载Windows Scripting Host
　　
　　在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。
　　
　　和上面的方法一样，在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项，咔嚓。
　　
　　3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
　　
　　点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
　　
　　4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。
　　
　　5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。
　　
　　6）禁止OE的自动收发邮件功能
　　
　　7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。
　　
　　8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。
　　
　　9）呵呵，最后一项不说大家也应该知道了，杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望，不过，选择是双方的哦。在这个病毒横飞的网络，如果您的机器没有装上杀毒软件我觉得确实挺不可思议的。
　　
　　四、对所有脚本类病毒发展的展望
　　
　　随着网络的飞速发展，网络蠕
虫病毒开始流行，而VBS脚本蠕虫则更加突出，不仅数量多，而且威力大。由于利用脚本编写病毒比较简单，除了将继续流行目前的VBS脚本病毒外，将会逐渐
出现更多的其它脚本类病毒，譬如PHP，JS，Perl病毒等。但是脚本并不是真正病毒技术爱好者编写病毒的最佳工具，并且脚本病毒解除起来比较容易、相
对容易防范。笔者认为，脚本病毒仍将继续流行，但是能够具有像宏病毒、新欢乐时光那样大影响的脚本蠕虫病毒只是少

VBS脚本病毒特点及如何防范3(转)的更多相关文章

1. 【病毒分析】对一个vbs脚本病毒的分析

   [病毒分析]对一个vbs脚本病毒的分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如 ...

2. 今天中了一个脚本病毒。把我的所有 html 加了 vbs 脚本，WriteData 是什么鬼？

   今天中了一个脚本病毒.把我的所有 html 加了 vbs 脚本: WriteData 是什么鬼? <SCRIPT Language=VBScript><!-- DropFileNam ...

3. Vbs脚本经典教材&lpar;转&rpar;

   Vbs脚本经典教材(最全的资料还是MSDN) —为什么要使用Vbs? 在Windows中,学习计算机操作也许很简单,但是很多计算机工作是重复性劳动,例如你每周也许需要对一些计算机文件进行复制.粘贴.改 ...

4. VBS脚本和HTML DOM自动操作网页

   VBS脚本和HTML DOM自动操作网页 2016-06-16 10:24 1068人阅读 评论(0) 收藏 举报  分类: Windows(42)  版权声明:本文为博主原创文章,未经博主允许不得转 ...

5. VBS脚本随笔

   1.定时运行程序与关闭程序的VBS处理方法: do set ws=createobject("wscript.shell") ws.run"你要运行的程序的路径(比如说d ...

6. Vbs 脚本编程简明教程之一

   —为什么要使用 Vbs ? 在 Windows 中,学习计算机操作也许很简单,但是很多计算机工作是重复性劳动,例如你每周也许需要对一些计算机文件进行复制.粘贴.改名.删除,也许你每天启动 计算机第一件 ...

7. Vbs脚本经典教材

   转载:http://www.cnblogs.com/BeyondTechnology/archive/2011/01/10/1932440.html Vbs脚本经典教材(最全的资料还是MSDN) —为 ...

8. 使用vbs脚本进行批量编码转换

   使用vbs脚本进行批量编码转换 最近需要使用SourceInsight查看分析在Linux系统下开发的项目代码,我们知道Linux系统中文本文件默认编码格式是UTF-8,而Windows中文系统中的默 ...

9. 在本地主机上powershell中连接远程主机执行vbs脚本，得到执行结果（2008版及以上）

   在桌面版的主机上远程管理服务器版主机,在本地powershell中连接远程主机执行vbs脚本,得到执行结果. 执行步骤: 1.将本地主机上的Hyper.vbs复制到远程连接主机上.例如,本地vbs脚本 ...

随机推荐

1. USB CDC类

   现代嵌入式系统中,异步串行通信接口往往作为标准外设出现在单片机和嵌入式系统中.但是随着个人计算机通用外围设备越来越少地使用串口,串口正在逐渐从个人计算机特别是便携式电脑上消失.于是嵌入式开发人员常常发 ...

2. 关键字instanceof和final

   Instanceof关键字(类似oc的isKindOfClass 和 isMemberOfClass) instanceof(实例类型) 关键字作用: 1.判断某一个对象是否属于某一个类 2.inst ...

3. 【SoDiaoEditor更新啦】--谨以献给那些还在医疗行业奋斗的小伙伴们

   先放github地址:https://github.com/tlzzu/SoDiaoEditor.v2 首先,这不是愚人节的玩笑,,, 本想着三月底发布来着,结果昨天又在兼容性上调出几个bug,然后拖 ...

4. WPF之DataContext（转）

   WPF之DataContext(转) 有时候不是你不够聪明,而是别人教给你的东西太烂!相信自己! 这是我认为,目前网络上对“DataContext”解释最好的一篇文章,跟大家分享. 原文地址:http ...

5. linux第二次读书笔记

   <Linux内核设计与实现>读书笔记 第五章 系统调用   第五章系统调用 系统调用是用户进程与内核进行交互的接口.为了保护系统稳定可靠,避免应用程序恣意忘形. 5．1与内核通信 系统调用 ...

6. websocket协议的思考

   同过wireshark抓包,都是TCP的连接,省了好多的HTTP的头部请求 Ping Pong,TCP keep alive,双方没有数据来往的时候,通过发空白报文,侦测的报文来决定看这个链接是否还存 ...

7. E - An Awful Problem 求两段时间内满足条件的天数&sol;&sol;lxm

   In order to encourage Hiqivenfin to study math, his mother gave him a sweet candy when the day of th ...

8. LD算法的C&plus;&plus;实现&lpar;基于编辑距离的文本比较算法&rpar;

   算法看这里: http://www.cnblogs.com/grenet/archive/2010/06/01/1748448.html 用数组实现: #include <iostream&gt ...

9. 转&colon; telnet命令学习

   1.每天一个linux命令(58):telnet命令 转自: http://www.cnblogs.com/peida/archive/2013/03/13/2956992.html telnet命令 ...

10. 随机获取指定范围内N个不重复数字

    /// <summary> /// 随机获取指定范围内N个不重复数字 /// </summary> /// <param name="min"> ...