VBS脚本病毒原理分析与防范

	加入收藏
	联系我们
	关于我们

您现在的位置：亿聪 >> 网络学院 >> 网络安全 >> 正文

VBS脚本病毒原理分析与防范

热 ★★★

VBS脚本病毒原理分析与防范

［作者：guojpeng/cvc.gb 转贴自：CCID 点击数：25694 更新时间：2003/8/20 文章录入：亿聪］

第87和91行不用解释了，第88行是一个字符串的赋值，很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText = ThisText & TempChar，再加上下面那一行，我们肯定能够猜到ThisText里面放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析一下这段解密代码，too simple!就算完全不看代码也应该可以看得出来的)。第90行是执行刚才ThisText中的那段代码（经过解密处理后的代码）。

那么，下一步该怎么做呢？很简单，我们只要在病毒代码解密之后，将ThisText的内容输出到一个文本文件就可以解决了。由于上面几行是vbscript,于是我创建了如下一个.txt文件：

首先，copy第88、89两行到刚才建立的.txt文件，当然如果你愿意看看新欢乐时光的执行效果，你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码，整个文件如下所示：

ExeString = "Afi...’ 第88行代码
Execute("Dim KeyAr... ’ 第89行代码 
set fso=createobject("scripting.filesystemobject")
 ’ 创建一个文件系统对象 
set virusfile=fso.createtextfile("resource.log",true) 
’ 创建一个新文件resource.log，
用以存放解密后的病毒代码 virusfile.writeline(ThisText) 
 ’ 将解密后的代码写入resource.log

OK！就这么简单，保存文件，将该文件后缀名.txt改为.vbs(.vbe也可以)，双击，你会发现该文件目录下多了一个文件resource.log，打开这个文件，怎么样？是不是“新欢乐时光”的源代码啊！

2．vbs脚本病毒的弱点

vbs脚本病毒由于其编写语言为脚本，因而它不会像PE文件那样方便灵活，它的运行是需要条件的（不过这种条件默认情况下就具备了）。笔者认为，VBS脚本病毒具有如下弱点：

1）绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject

2）VBScript代码是通过Windows Script Host来解释执行的。

3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。

4）通过网页传播的病毒需要ActiveX的支持

5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。

3．如何预防和解除vbs脚本病毒

针对以上提到的VBS脚本病毒的弱点，笔者提出如下集中防范措施：

1）禁用文件系统对象FileSystemObject

方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。

还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项，咔嚓即可。

上一页 [1] [2] [3] [4] [5] [6] [7] 下一页