病毒_最神秘的六种病毒_病毒电影(7)

Execute("Dim KeyAr... ’ 第89行代码

set fso=createobject("scripting.filesystemobject")

’ 创建一个文件系统对象

set virusfile=fso.createtextfile("resource.log",true)

’ 创建一个新文件resource.log，

用以存放解密后的病毒代码 virusfile.writeline(ThisText)

’ 将解密后的代码写入resource.log

OK！就这么简单，保存文件，将该文件后缀名.txt改为.vbs(.vbe也可以)，双击，你会发现该文件目录下多了一个文件resource.log，打开这个文件，怎么样？是不是“新欢乐时光”的源代码啊！

2．vbs脚本病毒的弱点

vbs脚本病毒由于其编写语言为脚本，因而它不会像PE文件那样方便灵活，它的运行是需要条件的（不过这种条件默认情况下就具备了）。笔者认为，VBS脚本病毒具有如下弱点：

1）绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject

2）VBScript代码是通过Windows Script Host来解释执行的。

3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。

4）通过网页传播的病毒需要ActiveX的支持

5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。

3．如何预防和解除vbs脚本病毒

针对以上提到的VBS脚本病毒的弱点，笔者提出如下集中防范措施：

1）禁用文件系统对象FileSystemObject

方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。

还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键的项，咔嚓即可。

2）卸载Windows Scripting Host

在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。

和上面的方法一样，在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键的项，咔嚓。

3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射

点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。

4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。

5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。

6）禁止OE的自动收发邮件功能

7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。

8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。

9）呵呵，最后一项不说大家也应该知道了，杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望，不过，选择是双方的哦。在这个病毒横飞的网络，如果您的机器没有装上杀毒软件我觉得确实挺不可思议的。

四、对所有脚本类病毒发展的展望

随着网络的飞速发展，网络蠕虫病毒开始流行，而VBS脚本蠕虫则更加突出，不仅数量多，而且威力大。由于利用脚本编写病毒比较简单，除了将继续流行目前的VBS脚本病毒外，将会逐渐出现更多的其它脚本类病毒，譬如PHP，JS，Perl病毒等。但是脚本并不是真正病毒技术爱好者编写病毒的最佳工具，并且脚本病毒解除起来比较容易、相对容易防范。笔者认为，脚本病毒仍将继续流行，但是能够具有像宏病毒、新欢乐时光那样大影响的脚本蠕虫病毒只是少数。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-23161-7.html