教学课件 网络攻击与防御（王敏）.ppt

　　6. VBS 病毒　　VBS 病毒是一种脚本病毒，是用 VB Script 语言编写的，它通过调用 Windows 现成的对象与组件，可以直接操控系统的文件和注册表。2000 年爆发的“爱虫病毒”以及后来的“新欢乐时光”都属于 VBS 病毒。　　1) VBS 病毒的特点　　VBS 病毒有以下几个特点。　　(1) 感染能力强。VBS 是脚本程序语言，不同于 PE 格式的程序，不需要进行复杂的文件格式处理，可以很简单地通过自身感染其他同类文件。 　　(2) 破坏性强。这个可以从实例来分析，2000 年的爱虫病毒在一个星期内传遍了全世界，使包括微软、Intel 在内的多家大型企业的网络系统陷入瘫痪，全球经济损失达几十亿美元。由此我们可以了解到 VBS 病毒的强大威力。　　(3) 传播范围广。VBS 病毒的传播方式多，可以通过 HTML、ASP、PHP 等网页格式的文件传播，也可以通过 E-mail、聊天室等途径传播。　 　　2) VBS 病毒的运行机制　　VBS 病毒一般是通过直接复制自身来感染文件，将自身的代码插入到其他同类文件中。下面是“爱虫”病毒的感染代码： 　set fso = createobject(“scripting.filesystemobject”) //创建一个文件对象 set self = fso.opentextfile(wscript.scriptfullname，1) //打开病毒文件 vbscopy = self.readall //将病毒代码读到变量 vbscopy  set ap = fso.opentextfile(targetfile.path，2，true) //打开目标文件，用于写入病毒代码 ap.write vbscopy //写入病毒代码到目标文件 ap.close  set cop = fso.getfile(targetfile.path) //获得目标文件路径 cop.copy(targetfile.path ”.vbs”) //创建一个以.vbs 为后缀名的病毒文件 targetfile.delete(true) //删除目标文件通过上面的操作，就完成了文件的感染，代码十分简单。 　　3) VBS 病毒的运行　　VBS 病毒的运行方式很多，主要有以下几种。　　(1) 通过注册表的启动加载项。这种方式跟木马的注册表启动方式类似，在注册表的启动项中添加一个键，使该键指向病毒程序。具体的注册表位置参照木马的注册表启动。　　(2) 使用 desktop.ini 和 folder.htt 文件。这两个文件是用于配置活动桌面以及自定义文件夹的，用户点开文件夹时，folder.htt 中的代码就会执行。“新欢乐时光”就是采用这种方式运行的。　　(3) 文件后缀修改。在 Windows 系统中，默认是不显示文件后缀名的，这样就可以通过修改后缀，欺骗用户 打开 VBS 文件。比如：把文件 readme. vbs 改为 readme. txt.vbs，这样，用户就会以为打开的是一个文本文档，而实际上是一个 VBS 病毒文件。 　　4) VBS 病毒的防范　　(1) 禁用 FileSystemObject，因为很大一部分 VBS 病毒运行时都需要用到这个对象；　　(2) 删除 vbs、vbe、js、jse 文件后缀名与应用程序的映射；　　(3) 删除 Wscript.exe 文件，因为 VBS 病毒的运行需要 WScript.exe 的支持；　　(4) 禁用 ActiveX 插件；　　(5) 利用杀毒软件。 6.4.3 病毒防查杀技术　　1. 多态技术　　多态(polymorphism)是病毒躲避杀毒软件查杀的一种方法，它通过改变病毒自身的存储形式来“清除”自身被杀毒软件定位的特征码，以达到防查杀的目的。这种技术源于加解密思想，图 6-25 展示了多态技术的基本原理。 　　2. 变形技术　　变形(metamorphism)是多态的进一步发展，它的原理和多态大致相同，但多了一个步骤，就是把多态处理过的代码再进行变换，使之成为可以直接运行的代码，示意图如图 6-26所示。 6.4.4 病毒的常用检测方法　　1. 特征码检测 　　这种技术是目前杀毒软件采用的主流技术，主要针对文件型病毒。杀毒软件通过分析病毒的反汇编代码，找出病毒文件或者病毒进程的特征串，然后统计加入特征代码库。　　在杀毒软件扫描文件时，如果某个文件被病毒感染，就可以通过杀毒软件来查杀。这种方法的优点是判断比较准确，不足之处是只能防范当前已知的病毒，对未知的病毒没有防范功能。 　　2. 文件校验和检测　　病毒通常都是依附在正常的系统文件中，随文件的执行而运行。正常情况