vb脚本病毒.doc

一．脚本病毒概述??? 脚本程序的执行环境需要WSH（Windows Script Host，Windows脚本宿主）环境，WSH为宿主脚本创建环境。即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。??? WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统，还可以访问活动目录服务。WSH依赖于IE提供的Visual BasicScript和JavaScript脚本引擎，所对应的程序“C:\Windows\wscript.exe”是一个脚本语言解释器。??? Visual BasicScript和JavaScript作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。??? “爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。??? 脚本病毒的主要特点：??? （1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。??? （2）脚本病毒通过HTML文档、Email附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。??? （3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。??? （4）病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。??? （5）欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不太注意的手段，譬如，邮件的附件采用双后缀，如jpg.vbs或txt.vbs，由于系统默认不显示后缀，这样，用户看到此文件时就会认为它是一个jpg图片或文本文件。二．爱虫病毒分析1．病毒简介??? “爱虫”（VBS.LoveLetter）病毒从2000年5月4日开始在欧洲大陆迅速传播，并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用VBScript编写，其传播原理是通过Microsoft Outlook将名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件发送给用户地址薄里所有的地址。它可以产生Script.ini文件，将包括病毒的LOVE-LETTER-FOR-YOU.HTM文件通过mIRC蔓延到Internet聊天室中。该病毒还有多个发作破坏模块，查找本地驱动器和网络驱动器，在所有目录和子目录中搜索可以感染的目标如：.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、.html、.xls、.ini、.bat、.com、.mp3、.mp2等，它用病毒代码覆盖原有的内容，并在文件名后面添加.vbs的扩展名，从而取代宿主文件。.mp2和.mp3文件被隐藏起来，并未破坏。??? 当病毒运行后会在系统中留下以下文件：??? （1）\windows\Win32DLL.vbs；??? （2）\system\MSKernel.vbs；??? （3）\system\LOVE-LETTER_FOR_YOU.TXT.vbs。??? 该病毒还修改注册表中的一些路径以便在启动Windows时运行。它还在\windows\system下搜索名为WINFAT32.exe的文件，如果该文件不存在，则修改IE的默认初始页面下载WIN-BUGSFIX.exe的文件，并修改注册键值为：HKLM\Software\Microsoft\Windows\CurrentVersiion\Run\WIN-BUGSFIX。??? 该病毒已经有很多变种，并被反病毒厂家定为高危险性病毒。所以，提醒用户在接收电子邮件之前，一定要先升级自己的杀毒软件，拦截住这种破坏性很大的病毒。另外，广大用户除了不要冒然打开不明真相的英文邮件及附件外，最好也不要浏览陌生网站和下载其中内容。2．病毒的杀毒步骤??? （1）在Windows下查看进程列表中是否有wscript这个文件，如有此文件说明已经感染。将该文件“结束任务”。??? （2）进入C:\Windows\System中，运行MSCONFIG.EXE选择“启动”模板，将所有的后缀为