VBS脚本病毒原理分析与防范
作者 佚名
来源 ASP编程
浏览
发布时间 2013-07-09
| 会随着KaZaA这种点对点共享工具的流行而发生作用。 还有一些其他的传播方法,我们这里不再一一列举。 3.VBS脚本病毒如何获得控制权 如何获取控制权?这一个是一个比较有趣的话题,而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法: 1)修改注册表项 windows在启动的时候,会自动加载HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序,这样就可以保证每次机器启动的时候拿到控制权。vbs修改贮册表的方法比较简单,直接调用下面语句即可。 wsh.RegWrite(strName,anyvalue[,strType]) 2)通过映射文件执行方式 譬如,我们新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。 3)欺骗用户,让用户自己执行 这种方式其实和用户的心理有关。譬如,病毒在发送附件时,采用双后缀的文件名,由于默认情况下,后缀并不显示,举个例子,文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg,这时用户往往会把它当成一张图片去点击。同样,对于用户自己磁盘中的文件,病毒在感染它们的时候,将原有文件的文件名作为前缀,vbs作为后缀产生一个病毒文件,并删除原来文件,这样,用户就有可能将这个vbs文件看作自己原来的文件运行。 4)desktop.ini和folder.htt互相配合 这两个文件可以用来配置活动桌面,也可以用来自定义文件夹。如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt,还可能触发exe文件,这也可能成为病毒得到控制权的一种有效方法! 病毒获得控制权的方法还有很多,这方面作者发挥的余地也比较大。 4.vbs脚本病毒对抗反病毒软件的几种技巧 病毒要生存,对抗反病毒软件的能力也是必需的。一般来说,VBS脚本病毒采用如下几种对抗反病毒软件的方法: 1)自加密 譬如,新欢乐时光病毒,它可以随机选取密钥对自己的部分代码进行加密变换,使得每次感染的病毒代码都不一样,达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术,使得每次感染后的加密病毒的解密后的代码都不一样。 下面看一个简单的vbs脚本变形引擎(来自flyshadow) Randomize SetOf=CreateObject("Scripting.FileSystemObject")''创建文件系统对象 vC=Of.OpenTextFile(WScript.ScriptFullName,1).Readall''读取自身代码 fS=Array("Of","vC","fS","fSC")''定义一个即将被替换字符的数组 ForfSC=0To3 vC=Replace(vC,fS(fSC),Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65)))''取4个随机字符替换数组fS中的字符串 Next Of.OpenTextFile(WScript.ScriptFullName,2,1).WritelinevC''将替换后的代码写回文件 上面这段代码使得该VBS文件在每次运行后,其Of,vC,fS,fSC四字符串都会用随机字符串来代替,这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。 2)巧妙运用Execute函数 用过VBS程序的朋友是否会觉得奇怪:当一个正常程序中用到了FileSystemObject对象的时候,有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高,但是有些VBS脚本病毒同样采用了FileSystemObject对象,为什么却又没有任何警告呢?原因很简单,就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些反病毒软件。 3)改 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于VBS脚本病毒原理分析与防范的所有评论
