admin 管理员组文章数量: 1086019
2024年4月30日发(作者:ros系统和linux的区别)
一.脚本病毒概述
脚本程序的执行环境需要WSH(Windows Script Host,Windows脚本宿主)环境,WSH为宿
主脚本创建环境。即当脚本到达计算机时,WSH充当主机的部分,它使对象和服务可用于脚本,
并提供一系列脚本执行指南。
WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚
本能够直接在Windows桌面或命令提示符下运行。利用WSH用户能够操纵WSH对象、ActiveX对
象、注册表和文件系统,还可以访问活动目录服务。WSH依赖于IE提供的Visual BasicScript
和JavaScript脚本引擎,所对应的程序“C:”是一个脚本语言解释器。
Visual BasicScript和JavaScript作为客户端编程语言,当一个以该语言编制的程序被下
载到一个兼容的浏览器中时,浏览器将自动执行该程序。
“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。
脚本病毒的主要特点:
(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使
异常处理变得非常容易。
(2)脚本病毒通过HTML文档、Email附件或其它方式,可以在很短的时间内传遍世界各地,
通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内
容诱骗人们点击附件中的病毒体而被感染。
(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只
要将鼠标指向邮件,通过预览功能病毒也会被自动激活。
(4)病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源码可读性好,即使病毒
源码经过加密处理后,其源码的获取还是比较简单。因此,这类病毒稍微改变一下病毒的结构或
者特征值,很多杀毒软件可能就无能为力了。
(5)欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不太注意的手段,譬
如,邮件的附件采用双后缀,如或,由于系统默认不显示后缀,这样,用户看
到此文件时就会认为它是一个jpg图片或文本文件。
二.爱虫病毒分析
1.病毒简介
“爱虫”(tter)病毒从2000年5月4日开始在欧洲大陆迅速传播,并向全世
界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用VBScript编写,其传播原
理是通过Microsoft Outlook将名为“”的邮件发送给用户地址
薄里所有的地址。它可以产生文件,将包括病毒的文件
通过mIRC蔓延到Internet聊天室中。该病毒还有多个发作破坏模块,查找本地驱动器和网络驱
动器,在所有目录和子目录中搜索可以感染的目标
如:.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、
.html、.xls、.ini、.bat、.com、.mp3、.mp2等,它用病毒代码覆盖原有的内容,并在文件名
后面添加.vbs的扩展名,从而取代宿主文件。.mp2和.mp3文件被隐藏起来,并未破坏。
当病毒运行后会在系统中留下以下文件:
(1);
(2);
(3)systemLOVE-LETTER_FOR_。
该病毒还修改注册表中的一些路径以便在启动Windows时运行。它还在windowssystem下
搜索名为的文件,如果该文件不存在,则修改IE的默认初始页面下载
的文件,并修改注册键值为:
HKLMSoftwareMicrosoftWindowsCurrentVersiionRunWIN-BUGSFIX。
版权声明:本文标题:vb脚本病毒 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1714450113a680645.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论