篇一:vb脚本病毒
一.脚本病毒概述
脚本程序的执行环境需要WSH(Windows Script Host,Windows脚本宿主)环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。
WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统,还可以访问活动目录服务。WSH依赖于IE提供的Visual BasicScript和JavaScript脚本引擎,所对应的程序“C:\Windows\wscript.exe”是一个脚本语言解释器。 Visual BasicScript和JavaScript作为客户端编程语言,当一个以该语言编制的程序被下载到一个兼容的浏览器中时,浏览器将自动执行该程序。
“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。 脚本病毒的主要特点:
(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。
(2)脚本病毒通过HTML文档、Email附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。
(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活。
(4)病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源码可读性好,即使病毒源码经过加密处理后,其源码的获取还是比较简单。因此,这类病毒稍微改变一下病毒的结构或者特征值,很多杀毒软件可能就无能为力了。
(5)欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不太注意的手段,譬如,邮件的附件采用双后缀,如jpg.vbs或txt.vbs,由于系统默认不显示后缀,这样,用户看到此文件时就会认为它是一个jpg图片或文本文件。
二.爱虫病毒分析
1.病毒简介
“爱虫”(VBS.LoveLetter)病毒从2000年5月4日开始在欧洲大陆迅速传播,并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用VBScript编写,其传播原理是通过Microsoft Outlook将名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件发送给用户地址薄里所有的地址。它可以产生Script.ini文件,将包括病毒的LOVE-LETTER-FOR-YOU.HTM文件通过mIRC蔓延到Internet聊天室中。该病毒还有多个发作破坏模块,查找本地驱动器和网络驱动器,在所有目录和子目录中搜索可以感染的目标
如:.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、 .html、.xls、.ini、.bat、.com、.mp3、.mp2等,它用病毒代码覆盖原有的内容,并在文件名后面添加.vbs的扩展名,从而取代宿主文件。.mp2和.mp3文件被隐藏起来,并未破坏。 当病毒运行后会在系统中留下以下文件:
(1)\windows\Win32DLL.vbs;
(2)\system\MSKernel.vbs;
(3)\system\LOVE-LETTER_FOR_YOU.TXT.vbs。
该病毒还修改注册表中的一些路径以便在启动Windows时运行。它还在\windows\system下搜索名为WINFAT32.exe的文件,如果该文件不存在,则修改IE的默认初始页面下载
WIN-BUGSFIX.exe的文件,并修改注册键值为:
HKLM\Software\Microsoft\Windows\CurrentVersiion\Run\WIN-BUGSFIX。
该病毒已经有很多变种,并被反病毒厂家定为高危险性病毒。所以,提醒用户在接收电子邮件之前,一定要先升级自己的杀毒软件,拦截住这种破坏性很大的病毒。另外,广大用户除了不要冒然打开不明真相的英文邮件及附件外,最好也不要浏览陌生网站和下载其中内容。
2.病毒的杀毒步骤
(1)在Windows下查看进程列表中是否有wscript这个文件,如有此文件说明已经感染。将该文件“结束任务”。
(2)进入C:\Windows\System中,运行MSCONFIG.EXE选择“启动”模板,将所有的后缀为“*.vbs”的文件选择为禁用状态。
(3)在保证内存中无wscript这个文件后,重启计算机。
(4)查找一个叫WIN-BUGFIX.exe的文件并删除它,如果安装了mIRC则删除script.ini文件,删除含LOVE-LETTER-FOR-YOU.TXT附件的Email。
(5)打开注册表编辑器并删除下列键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer\Win32DLL; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGFIX。
3.病毒各模块功能介绍
爱虫病毒的结构化做得很好,各个模块功能非常独立,彼此并不相互依赖,流程也非常清楚,下面对每个函数过程的功能作一简单介绍。
(1)Main
爱虫病毒的主模块,它集成调用其它各个模块。
(2)regruns
该模块主要用来修改注册表Run下面的启动项指向病毒文件、修改下载目录,并负责随机从
给定的4个网址中下载WIN-BUGFIX.exe文件,并使启动项指向该文件。
(3)html
该模块主要用来生成LOVE-LETTER-FOR-YOU.HTM文件,该HTM文件执行后会执行里面的病毒代码,并在系统目录生成一个病毒副本MSKernel32.vbs文件。
(4)spreadtoemail
该模块主要用于将病毒文件作为附件发送给Outlook地址薄中的所有用户,也是破坏性最大的一个模块。
(5)listadriv
该模块主要用于搜索本地磁盘,并对磁盘文件进行感染。它调用了folderlist()函数,该函数主要用来遍历整个磁盘,对目标文件进行感染。folderlist()函数的感染功能实际上是调用了infectfile()函数。infetcfile()可以对十余种文件进行覆盖,并且还会创建script.ini文件,以便于利用IRC通道进行传播。
4.脚本病毒的预防和清除
脚本病毒的运行和传播有如下特点:
(1)VBS代码是通过Windows Script Host来解释执行的。
(2)VBS病毒的运行需要其关联程序Wscript.exe的支持。
(3)大部分VBS病毒运行的时候需要用到一个对象:FileSystemObject。
(4)通过网页传播的脚本病毒需要ActiveX的支持。
(5)通过Email传播的病毒需要OE的自动发送邮件功能支持。
防范脚本病毒措施有:
(1)卸载Windows Scripting Host
打开“控制面板”|“添加/删除程序”|“Windows安装程序”|“附件”|取消“Windows
Scripting Host”一项。
(2)禁用文件系统对象FileSystemObject
用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。
(3)在Windows目录中,找到WScript.exe,更改名称或者删除。
(4)设置浏览器。首先打开浏览器,单击菜单栏里“Internet选项”安全选项卡里的“自定义级别”按钮。把“ActiveX控件及插件”的一切设为禁用。
(5)禁止OE的自动收发邮件功能。
三.svir病毒专杀设计分析
1.svir.vbs脚本病毒特征
svir.vbs病毒具备爱虫病毒的部分功能,是以爱虫病毒为基础,减弱其破坏性,并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件
C:\ExpNIS\AntiVir-Lab\Virus\ScriptVir\svir.vbs根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。
2.脚本病毒专杀工具设计
VBS是一种较为常用的脚本语言,它语法简单而且功能强大,我们下面介绍如何使用VBS脚本语言编程实现脚本病毒专杀工具。
为了使程序更清晰易懂,我们应使用模块化设计,也易于为程序扩展新功能。我们将专杀工具分为四个功能模块,各模块的作用分别是删除病毒文件、删除病毒添加的自启动项、查杀指定目录下的病毒文件和结束病毒进程。
3.结束病毒进程
在查杀病毒时应该首先结束病毒的进程再进行其它操作,但我们现在查杀的是脚本病毒,使
篇二:病毒信息
Locky勒索病毒 ?
?
?
? 公布日期:2016-03-29 最后更新:2016-04-06 受影响系统: PC 端 标签:
o Locky
漏洞描述 Locky勒索病毒主要以邮件和恶链木马的形式进行传播。勒索软件病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。并利用本地的互联网访问权限连接黑客C&C服务器上传本机信息,下载加密公钥写入到注册表中,然后遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密,加密完成后在桌面等显耀位置生成勒索提示文件,指导用户去缴纳赎金(一般为比特币)。 病毒行为分析:
通过对邮件传播的locky进一步分析,附件中为js脚本,脚本进行了混淆处理,无法直观查看脚本功能,部分脚本内容为:
随后勒索软件遍历所有盘符中的文件并对源码文件(.c、.cpp、.h等)、图片文件、压缩文件、office及pdf等等多种文件进行加密处理。加密完成后勒索软件通过
“Vssadmin.exe Delete Shadows /All /Quiet” 命令删除所有数据备份,防止通过本地恢复。
解决方案 目前较为高级的勒索病毒,除了交比特币外,基本别无他法。例如这次的locky,目前业界还没有解密办法,所以只能尽量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击方式,
2、尽量不要点击office宏运行提示,避免来自office组件病毒感染
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件
4、升级深信服NGAF到最新的安全防护特征库
5、升级企业防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复 修复方案:
1、下载其他工具清除病毒
2、开启杀毒功能和APT功能
3、升级规则库到最新
篇三:L002003008-COM病毒实验
《脚本病毒图片》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/25849.html
转载请保留,谢谢!
- 上一篇:word图文排版模板
- 下一篇:挣脱