实验4VB脚本病毒讲解.docVIP

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告 实验课程名称 VB脚本病毒 专 业： 信息对抗技术 班 级： 130609 姓 名： 李佩隆 学 号： 130609105 实验学时： 12学时 指导教师： 曹子建 成 绩： 2016 年 4 月 5 日 实验目的 1.了解VB脚本病毒的工作原理 2.了解VB脚本病毒常见的感染目标和感染方式 3.掌握编写VB脚本病毒专杀工具的一般方法 实验原理 一．脚本病毒概述 脚本程序的执行环境需要WSH（Windows Script Host，Windows脚本宿主）环境，WSH为宿主脚本创建环境。即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。 脚本病毒的主要特点： （1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。 （2）脚本病毒通过HTML文档、Email附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。 （3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。 （4）病毒源码容易被获取，变种多。 （5）欺骗性强。 二．爱虫病毒分析 1．病毒简介 “爱虫”（VBS.LoveLetter）病毒从2000年5月4日开始在欧洲大陆迅速传播，并向全世界蔓延。其传播原理是通过Microsoft Outlook将名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件发送给用户地址薄里所有的地址。 当病毒运行后会在系统中留下以下文件： （1）\windows\Win32DLL.vbs； （2）\system\MSKernel.vbs； （3）\system\LOVE-LETTER_FOR_YOU.TXT.vbs。 2．病毒的杀毒步骤 （1）在Windows下查看进程列表中是否有wscript这个文件，如有此文件说明已经感染。将该文件“结束任务”。 （2）进入C:\Windows\System中，运行MSCONFIG.EXE选择“启动”模板，将所有的后缀为“*.vbs”的文件选择为禁用状态。 （3）在保证内存中无wscript这个文件后，重启计算机。 （4）查找一个叫WIN-BUGFIX.exe的文件并删除它，如果安装了mIRC则删除script.ini文件，删除含LOVE-LETTER-FOR-YOU.TXT附件的Email。 （5）打开注册表编辑器并删除下列键值： 3．病毒各模块功能介绍 爱虫病毒的结构化做得很好，各个模块功能非常独立，彼此并不相互依赖，流程也非常清楚，下面对每个函数过程的功能作一简单介绍。 （1）Main 爱虫病毒的主模块，它集成调用其它各个模块。 （2）regruns 该模块主要用来修改注册表Run下面的启动项指向病毒文件、修改下载目录，并负责随机从给定的4个网址中下载WIN-BUGFIX.exe文件，并使启动项指向该文件。 （3）html 该模块主要用来生成LOVE-LETTER-FOR-YOU.HTM文件，该HTM文件执行后会执行里面的病毒代码，并在系统目录生成一个病毒副本MSKernel32.vbs文件。 （4）spreadtoemail 该模块主要用于将病毒文件作为附件发送给Outlook地址薄中的所有用户，也是破坏性最大的一个模块。 （5）listadriv 该模块主要用于搜索本地磁盘，并对磁盘文件进行感染。它调用了folderlist()函数，该函数主要用来遍历整个磁盘，对目标文件进行感染。 4．脚本病毒的预防和清除 脚本病毒的运行和传播有如下特点： （1）VBS代码是通过Windows Script Host来解释执行的。 （2）VBS病毒的运行需要其关联程序Wscript.exe的支持。