脚本病毒原理分析与防范资料.ppt

从以上代码分析可以看出，这个病毒虽然传播性很强，但破坏性不是特别大，它至少没有对用户硬盘上的文件做更改。虽然如此，但它还是具有一般病毒的典型特性，即：复制、传播和破坏，这个病毒和其它的一些电子邮件型病毒如“库尼科娃”，爱虫等其原理都是大同小异的，理解这些原理之后，我们就要可以找到一些防治这些病毒发作的有效办法。 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * 下面看一个简单的vbs脚本变形引擎(来自flyshadow) Randomize Set Of = CreateObject(Scripting.FileSystemObject) ’创建文件系统对象 vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall ’读取自身代码 fS = Array(Of, vC, fS, fSC) ’定义一个即将被替换字符的数组 For fSC = 0 To 3 vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65)) Chr((Int(Rnd * 22) + 65)) Chr((Int(Rnd * 22) + 65)) Chr((Int(Rnd * 22) + 65))) ’取4个随机字符替换数组fS中的字符串 Next Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC ’将替换后的代码写回文件 上面这段代码使得该VBS文件在每次运行后，其Of，vC，fS，fSC四字符串都会用随机字符串来代替，这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。 2）巧妙运用Execute函数 用过VBS程序的朋友是否会觉得奇怪：当一个正常程序中用到了FileSystemObject对象的时候，有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高，但是有些VBS脚本病毒同样采用了FileSystemObject对象，为什么却又没有任何警告呢？原因很简单，就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时，会检查程序中是否声明使用了FileSystemObject对象，如果采用了，这会发出报警。如果病毒将这段声明代码转化为字符串，然后通过Execute(String)函数执行，就可以躲避某些反病毒软件。 3）改变某些对象的声明方法 　　譬如fso=createobject(scripting.filesystemobject)，我们将其改变为 fso=createobject(script＋ing.filesyste＋mobject)，这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。 4）直接关闭反病毒软件 　　VBS脚本功能强大，它可以直接在搜索用户进程然后对进程名进行比较，如果发现是反病毒软件的进程就直接关闭，并对它的某些关键程序进行删除。 5．Vbs病毒生产机的原理介绍 所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议，其实对脚本病毒而言它的实现非常简单。 脚本语言是解释执行的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得比较清楚。这样，先将病毒功能做成很多单独的模块，在用户做出病毒功能选择后，生产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因，这里不作详细介绍。 三、如何防范vbs脚本病毒 1．如何从样本中提取（加密）脚本病毒 　　对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍一下如何从病毒样本中提取加密VBS脚本病毒，这里我们以新欢乐时光为例。 用JediEdit打开folder.htt。我们发现这个文件总共才93行，第一行，几行注释后，以开始，节尾。相信每个人都知道这是个什么类型的文件吧！ 　　第87行到91行，是如下语句： 87： 　　第87和91行不用解释了，第88行是一个字符串的赋值，很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText = ThisText TempChar，再加上下面那一行，我们肯定能够猜到ThisText里面放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析一下这段解