VBS脚本病毒原理分析与防范
作者 佚名
来源 ASP编程
浏览
发布时间 2013-07-09
| 变某些对象的声明方法 譬如fso=createobject("scripting.filesystemobject"),我们将其改变为 fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。 4)直接关闭反病毒软件 VBS脚本功能强大,它可以直接在搜索用户进程然后对进程名进行比较,如果发现是反病毒软件的进程就直接关闭,并对它的某些关键程序进行删除。 5.Vbs病毒生产机的原理介绍 所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议,其实对脚本病毒而言它的实现非常简单。 脚本语言是解释执行的、不需要编译,程序中不需要什么校验和定位,每条语句之间分隔得比较清楚。这样,先将病毒功能做成很多单独的模块,在用户做出病毒功能选择后,生产机只需要将相应的功能模块拼凑起来,最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因,这里不作详细介绍。 三、如何防范vbs脚本病毒 1.如何从样本中提取(加密)脚本病毒 对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密VBS脚本病毒,这里我们以新欢乐时光为例。 用JediEdit打开folder.htt。我们发现这个文件总共才93行,第一行<BODYonload="vbscript:KJ_start()">,几行注释后,以<html>开始,</html>节尾。相信每个人都知道这是个什么类型的文件吧! 第87行到91行,是如下语句: 87:<scriptlanguage=vbscript> 88:ExeString="AfiFkSeboa)EqiiQbtq)S^pQbtq)AadobaPfdj)>mlibL^gb`p)CPK...;后面省略,很长! 89:Execute("DimKeyArr(3),ThisText"&vbCrLf&"KeyArr(0)=3"&vbCrLf&"KeyArr(1)=3"&vbCrLf&"KeyArr(2)=3"&vbCrLf&"KeyArr(3)=4"&vbCrLf&"Fori=1ToLen(ExeString)"&vbCrLf&"TempNum=Asc(Mid(ExeString,i,1))"&vbCrLf&"IfTempNum=18Then"&vbCrLf&"TempNum=34"&vbCrLf&"EndIf"&vbCrLf&"TempChar=Chr(TempNum+KeyArr(iMod4))"&vbCrLf&"IfTempChar=Chr(28)Then"&vbCrLf&"TempChar=vbCr"&vbCrLf&"ElseIfTempChar=Chr(29)Then"&vbCrLf&"TempChar=vbLf"&vbCrLf&"EndIf"&vbCrLf&"ThisText=ThisText&TempChar"&vbCrLf&"Next")90:Execute(ThisText)91:</script> 第87和91行不用解释了,第88行是一个字符串的赋值,很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText=ThisText&TempChar,再加上下面那一行,我们肯定能够猜到ThisText里面放的是病毒解密代码(熟悉vbs的兄弟当然也可以分析一下这段解密代码,toosimple!就算完全不看代码也应该可以看得出来的)。第90行是执行刚才ThisText中的那段代码(经过解密处理后的代码)。 那么,下一步该怎么做呢?很简单,我们只要在病毒代码解密之后,将ThisText的内容输出到一个文本文件就可以解决了。由于上面几行是vbscript,于是我创建了如下一个.txt文件: 首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码,整个文件如下所示: ExeString="Afi...''第88行代码Execute("DimKeyAr...''第89行代码 setfso=createobject("scripting.filesystemobject")''创建一个文件系统对象 setvirusfile=fso.createtextfile("resource.log",true)''创建一个新文件resource.log,用以存放解密后的病毒代码virusfile.writeline(ThisText)''将解密后的代码写入resource.log OK!就这么简单,保存文件,将该文件后缀名.txt改为.vbs(.vbe也可以),双击,你会发现该文件目录下多了一个文件resource.log,打开这个文件,怎么样?是不是“新欢 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于VBS脚本病毒原理分析与防范的所有评论
