Dim mirc 
set fso=CreateObject("Scripting.FileSystemObject")
set mirc=fso.CreateTextFile("C:\mirc\script.ini") 
  ’创建文件script.ini
fso.CopyFile Wscript.ScriptFullName, "C:\mirc\attachment.vbs",
 True ’将病毒文件备份到attachment.vbs
mirc.WriteLine "[script]"
mirc.WriteLine "n0=on 1:join:*.*: 
{if($nick !=$me){halt} /dcc send $nick C:\mirc\attachment.vbs }" 
'利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件
mirc.Close

以上代码用来往Script.ini文件中写入一行代码，实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令，这个文件里面的命令是可以自动执行的。譬如，“歌虫”病毒TUNE.VBS就会修改c:\mirc\script.ini 和 c:\mirc\mirc.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样，如果Pirch98已安装在目标计算机的c:\pirch98目录下，病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。

另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中，这样，当其他用户访问这台机器时，就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。

还有一些其他的传播方法，我们这里不再一一列举。

3．VBS脚本病毒如何获得控制权

如何获取控制权？这一个是一个比较有趣的话题，而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法：

1）修改注册表项

windows在启动的时候，会自动加载HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序，这样就可以保证每次机器启动的时候拿到控制权。vbs修改贮册表的方法比较简单，直接调用下面语句即可。

wsh.RegWrite(strName, anyvalue [,strType])

2）通过映射文件执行方式

譬如，我们新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。

3）欺骗用户，让用户自己执行

这种方式其实和用户的心理有关。譬如，病毒在发送附件时，采用双后缀的文件名，由于默认情况下，后缀并不显示，举个例子，文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg，这时用户往往会把它当成一张图片去点击。同样，对于用户自己磁盘中的文件，病毒在感染它们的时候，将原有文件的文件名作为前缀，vbs作为后缀产生一个病毒文件，并删除原来文件，这样，用户就有可能将这个vbs文件看作自己原来的文件运行。

4）desktop.ini和folder.htt互相配合

这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt，还可能触发exe文件，这也可能成为病毒得到控制权的一种有效方法！

病毒获得控制权的方法还有很多，这方面作者发挥的余地也比较大。

4．vbs脚本病毒对抗反病毒软件的几种技巧

病毒要生存，对抗反病毒软件的能力也是必需的。一般来说，VBS脚本病毒采用如下几种对抗反病毒软件的方法：

1）自加密

譬如，新欢乐时光病毒，它可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术，使得每次感染后的加密病毒的解密后的代码都不一样。

下面看一个简单的vbs脚本变形引擎(来自flyshadow)

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页