《爱虫病毒解决方案》由会员分享,可在线阅读,更多相关《爱虫病毒解决方案(7页珍藏版)》请在金锄头文库上搜索。
1、爱虫病毒解决方案爱虫病毒解决方案篇一:vb 脚本病毒一脚本病毒概述 脚本程序的执行环境需要 WSH(Windows Script Host,Windows 脚本宿主)环境,WSH 为宿主脚本创建环境。即当脚本到达计算机时,WSH 充当主机的部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。 WSH 是微软提供的一种基于 32 位 Windows 平台的、与语言无关的脚本解释机制,它使得脚本能够直接在 Windows桌面或命令提示符下运行。利用 WSH 用户能够操纵 WSH 对象、ActiveX 对象、注册表和文件系统,还可以访问活动目录服务。WSH 依赖于 IE 提供的 Visual
2、BasicScript 和JavaScript 脚本引擎,所对应的程序“C:Windows”是一个脚本语言解释器。 Visual BasicScript 和 JavaScript作为客户端编程语言,当一个以该语言编制的程序被下载到一个兼容的浏览器中时,浏览器将自动执行该程序。 “爱虫” 、 “欢乐时光” 、 “尼姆达” 、 “求职信”等病毒都是属于这一类的病毒。 脚本病毒的主要特点: (1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。 (2)脚本病毒通过 HTML 文档、Email 附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在
3、邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。 (3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活。 (4)病毒源码容易被获取,变种多。由于 VBS 病毒解释执行,其源码可读性好,即使病毒源码经过加密处理后,其源码的获取还是比较简单。因此,这类病毒稍微改变一下病毒的结构或者特征值,很多杀毒软件可能就无能为力了。 (5)欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不太注意的手段,譬如,邮件的附件采用双后缀,如或,由于系统默认不显示后缀,这样,用
4、户看到此文件时就会认为它是一个 jpg 图片或文本文件。二爱虫病毒分析 1病毒简介 “爱虫” ()病毒从 XX 年 5 月 4 日开始在欧洲大陆迅速传播,并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用 VBScript 编写,其传播原理是通过 Microsoft Outlook 将名为“”的邮件发送给用户地址薄里所有的地址。它可以产生文件,将包括病毒的文件通过 mIRC 蔓延到 Internet 聊天室中。该病毒还有多个发作破坏模块,查找本地驱动器和网络驱动器,在所有目录和子目录中搜索可以感染的目标 如:.vbs、.vbe、.js、.jse、.c
5、ss、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、 .html、.xls、.ini、.bat、.com、.mp3、.mp2 等,它用病毒代码覆盖原有的内容,并在文件名后面添加.vbs 的扩展名,从而取代宿主文件。.mp2 和.mp3 文件被隐藏起来,并未破坏。 当病毒运行后会在系统中留下以下文件: (1)windows; (2)system; (3)systemLOVE-LETTER_FOR_。 该病毒还修改注册表中的一些路径以便在启动Windows 时运行。它还在windowssystem 下搜索名为的文件,如果该文件不存在,则修改
6、IE 的默认初始页面下载 的文件,并修改注册键值为: HKLMSoftwareMicrosoftWindowsCurrentVersiionRunWIN-BUGSFIX。 该病毒已经有很多变种,并被反病毒厂家定为高危险性病毒。所以,提醒用户在接收电子邮件之前,一定要先升级自己的杀毒软件,拦截住这种破坏性很大的病毒。另外,广大用户除了不要冒然打开不明真相的英文邮件及附件外,最好也不要浏览陌生网站和下载其中内容。2病毒的杀毒步骤 (1)在 Windows 下查看进程列表中是否有 wscript这个文件,如有此文件说明已经感染。将该文件“结束任务” 。 (2)进入 C:WindowsSystem 中
7、,运行选择“启动”模板,将所有的后缀为“*.vbs”的文件选择为禁用状态。 (3)在保证内存中无 wscript 这个文件后,重启计算机。 (4)查找一个叫的文件并删除它,如果安装了 mIRC则删除文件,删除含附件的 Email。 (5)打开注册表编辑器并删除下列键值: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServerWin32DLL; HKEY_CURRENT_USERSof
8、twareMicrosoftWindowsCurrentVersionRunWIN-BUGFIX。 3病毒各模块功能介绍 爱虫病毒的结构化做得很好,各个模块功能非常独立,彼此并不相互依赖,流程也非常清楚,下面对每个函数过程的功能作一简单介绍。 (1)Main 爱虫病毒的主模块,它集成调用其它各个模块。 (2)regruns 该模块主要用来修改注册表 Run 下面的启动项指向病毒文件、修改下载目录,并负责随机从 给定的 4 个网址中下载文件,并使启动项指向该文件。(3)html 该模块主要用来生成文件,该 HTM 文件执行后会执行里面的病毒代码,并在系统目录生成一个病毒副本文件。 (4)spre
9、adtoemail 该模块主要用于将病毒文件作为附件发送给 Outlook地址薄中的所有用户,也是破坏性最大的一个模块。 (5)listadriv 该模块主要用于搜索本地磁盘,并对磁盘文件进行感染。它调用了 folderlist()函数,该函数主要用来遍历整个磁盘,对目标文件进行感染。folderlist()函数的感染功能实际上是调用了 infectfile()函数。infetcfile()可以对十余种文件进行覆盖,并且还会创建文件,以便于利用 IRC 通道进行传播。 4脚本病毒的预防和清除 脚本病毒的运行和传播有如下特点: (1)VBS 代码是通过 Windows Script Host 来
10、解释执行的。 (2)VBS 病毒的运行需要其关联程序的支持。 (3)大部分 VBS 病毒运行的时候需要用到一个对象:FileSystemObject。 (4)通过网页传播的脚本病毒需要 ActiveX 的支持。(5)通过 Email 传播的病毒需要 OE 的自动发送邮件功能支持。 防范脚本病毒措施有: (1)卸载 Windows Scripting Host 打开“控制面板”|“添加/删除程序”|“Windows 安装程序”|“附件”|取消“Windows Scripting Host”一项。(2)禁用文件系统对象 FileSystemObject 用 regsvr32 /u 这条命令就可以禁
11、止文件系统对象。其中 regsvr32 是 WindowsSystem 下的可执行文件。或者直接查找文件删除或者改名。 (3)在 Windows 目录中,找到,更改名称或者删除。(4)设置浏览器。首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的“自定义级别”按钮。把“ActiveX 控件及插件”的一切设为禁用。 (5)禁止 OE 的自动收发邮件功能。 三svir 病毒专杀设计分析 1脚本病毒特征 病毒具备爱虫病毒的部分功能,是以爱虫病毒为基础,减弱其破坏性,并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件 C:ExpNISAntiVir-LabVirusScri
12、ptVir根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。 2脚本病毒专杀工具设计 VBS 是一种较为常用的脚本语言,它语法简单而且功能强大,我们下面介绍如何使用 VBS 脚本语言编程实现脚本病毒专杀工具。 为了使程序更清晰易懂,我们应使用模块化设计,也易于为程序扩展新功能。我们将专杀工具分为四个功能模块,各模块的作用分别是删除病毒文件、删除病毒添加的自启动项、查杀指定目录下的病毒文件和结束病毒进程。 3结束病毒进程 在查杀病毒时应该首先结束病毒的进程再进行其它操作,但我们现在查杀的是脚本病毒,使 篇二:WIN32 汇编写 Virus 感染 PE 文件WIN32 汇编写病毒感染 PE 文件
