VBS脚本病毒分析及防范
摘要:VBScript脚本病毒利用Internet的开放性和各种软件的漏洞对计算机系统进行攻击,常常造成世界范围内的大面积网络瘫痪。

VBS脚本病毒呈现出一些新的特点:通过各种网络方式进行传播,传播范围广,破坏性强。

关键词:VBS 脚本病毒防范
一、VBS病毒产生
随着计算机技术的发展.计算机病毒技术亦日益提高。

从dos系统到windows 系统.从底层的汇编语言到高层的面向对象语言,无不留其发展的痕迹。

尤其是网络的广泛应用。

以网络为媒介的病毒技术迅速的发展起来。

1998年11月.当一种染毒的VBS文件利用Web页在网络上进行传播的时候,一种全新病毒的概念就诞生了。

病毒的制造者们针对微软的窗口操作系统和办公软件。

通过E-mail将病毒传播到远程主机上。

这种利用VBS脚本语言编写的病毒称之为VBS病毒,VBS 病毒有很多种,较著名的是爱虫病毒和新欢乐时光病毒。

二、VBS病毒的机理
顾名思义,VBS病毒是用VBS cirpt编写而成,该脚本语言功能非常强大。

它们利用Windows系统的开放性特点。

通过调用一些现成的Windows对象、组件。

可以直接对文件系统、注册表等进行控制。

功能非常强大。

两个最典型的windows 对象就是WSH和FSO。

WSH全称“WindowscSripitngHost”。

其通用的中文译名为“Windows脚本宿主”。

它是内嵌于windows系统中的脚本语言执行环境。

此概念在iwndows98系统中提出。

类似于DOS下的批处理命令。

它架构在ActiveX 之上。

充当ActiveX的脚本引擎控制器,为各种脚本语言指令的执行提供了一个公共的基础。

任何以js、vbs为后缀名的文件都可以在windows下通过词用Wscript.exe获得执行。

FSO全称文件系统对象(FILE SYSTEM OBJECT),该对象模型通过object.method语法,将对文件及文件夹操作通过词用对象本身的属性直接实现。

FSO对象模型不仅可以象传统文件操作语句那样实现文件的创建、改变、移动和删除。

而且可以检测是否存在指定的文件夹。

若存在。

可以对它进行定位,并获取有关文件和文件夹的信息。

这些以往只能通过调用WindowsAPI函数才能实现的功能为给网络上病毒的入侵提供了一个切入点。

三、传播方式代码分析
VBS脚本病毒之所以传播范围广,主要依赖于它的网络传播功能。

VBS脚本病毒主要采用如下四种方式进行传播:通过电子邮件附件传播、通过局域网共享传播、通过感染网页文件传播、通过IRC聊天通道传播等。

下面结合具体代6f5对其传播方式逐一进行分析。

1.通过电子邮件附件传播。

大部分VBS脚本病毒都可以通过电子邮件附件
传播,这是一种非常普遍的传播方式。

VBS脚本病毒可以通过各种方法取得合法的邮件地址,最常见的就是利用MAPI接口亢接获取Outlook地址簿中的邮件地址,也可以通过稃序任用户文档(如htm文件)中搜索邮件地址。

下面这段代码足VBS 脚本病毒通过邮件附件传播的完整代码,为许多病毒所通用。

2.通过局域网共享传播。

局域网共享传播也是一种非常普遍而有效的传播方式。

般来说,为了局域网内交流方便,‘定存在不少共享目录,并且具有可写权限(在Win2000环境巾创建共享文件夹时,默认状态就足具有可写权限)。

VBS脚本病毒通过调用WSH的内置对象work,即可实现对局域网内共享资源的访问,进而感染共享文件。

3. 通过感染网页文件传播。

如今,WWW服务巳经非常普遍,病毒通过感染htm/html、asp、jsp、php等网页文件,势必会导致所有访问该网页的计算机感染病毒。

VBS脚本病毒采用与网页恶意代码相同的原理,一般先要对COM对象进行初始化,在获取相应的组件对象之后,病毒就可以调用这些对象的强大功能。

初始化COM对象是VBS脚本病毒能感染网页文件的关键。

4. 通过IRC聊天通道传播。

VBS脚本病毒通过调用FileSysteI110bject对象的方法术修改IRC客户端软件InIRC或PIRCH安装路径巾的script.ini文件(该文件存放着控制IRC会话的命令,可以机动执行),使得当染毒用户连接到IRC通道的同时同一通道中的其它用户发送病毒。

四、VBS病毒的防治策略
1.安装正版的杀毒软件。

在病毒肆虐的网络上,一台没有安装杀毒软件的机器是不可思议的。

虽然有时也不尽人意(误报、漏报等,但它至少提供了一个相对受保护的空间。

但是,再优秀的杀毒软件。

如果不及时升级的话,也一样形同虚设;另外,病毒防火墙应该随机自动启动。

2.注意标本兼治。

(1)卸载Windows ScripitngHost。

卸载VBS病毒生存的载体,VBScirpt代码是用系统自带的脚本执行工具WSH解释并执行的,但对于大部分用户而言,并没有多大用处,所以,我们可通过禁止WSH,不让VBS病毒代码有执行的机会,从而达到防范的目的。

(2)删除VBS文件关联程序。

打开“我的电脑”,在菜单中点击“查看”“文件夹选项”,在弹出的对话框中点击“文件类型”。

找到“VBS”、“VBE”、“JS”、“JSE”等文件后缀名映射,点击“删除”。

另外,还需要从系统中清除掉Wscript-exe文件。

路径为“C:\WINNT\System32\Wscript.exe”,使得VBS病毒在执行时找不到其用来支持的关联程序。

(3)改变VBScirpt执行方式。

打开浏览器。

在菜单中点击”查看”“文件夹选项”,选择“文件类型”选项卡,在“已注册的文件类型” 中,找到“VBcSirptcSirptFile”,点击“编辑”按钮,弹出“编辑文件类型”的选项卡,在“操作”中选择“打开”,再点“编辑”,在弹出的“用于执行操作的应用程序”对话框中输入“C:\WINDOWS\system32\notepad.Exe”,“确定”后,就可将“VBS”类型的文件改为用“记事本”打开。

(4)止病毒发作后传播。

当VBS病毒发作时,能够自我复制.其基本原理是利用程序将本身的脚本内容复制到一个临时文件中.按照记录的邮件地址利用电子邮件工具将其作为附件自动发送出去。

此传
播过程的实现离不开“File System Object”对象,因此禁止了“File Sytem Object”就能有效地阻止VBS病毒的传播。

具体方法:在“开始”“运行”对话框中,输入“regsvr32 scrrun.dll/u”后并回车。

(5)禁用AcxtiveX控件. 在浏览网页时,很多时候需要用到AcxtiveX控件。

这也给蠕虫病毒提供了可乘之机。

所以建议禁用AcxtiveX控件。

以防万一。

打开浏览器,单击菜单栏里的”Intemet选项”,选择“安全”选项卡里的”自定义级别”按钮。

把“AcxtiveX控件及插件”的所有项目设为”禁用”,这样可以预防大部分的恶意网页的攻击。

3.养成良好的使用电脑习惯首先,让系统显示文件的扩展名。

防止病毒欺骗电脑使用者。

方法:在资源管理器中,执行“工具”“一”文件夹选项“一”查看”,去掉“隐藏已知文件类型的扩展名”前的对号。

其次,在收邮件时注意附件,可以先下载到本地,用杀毒软件先查杀一遍,然后再执行附件。

参考文献:
[1]杜宏毅、郑玄宜.完全接触ASP之VB—Script.电子工业出版社,2002
[2]许卫林、宋先斌、党齐民.VBScript+ASP动态网页设计制作中国电力出版社,2002。