一、什么是脚本病毒
脚本病毒通常是 JavaScript 或 VBScript 等语言编写的恶意代码,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。
通过网页进行的传播的病毒较为典型,脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。
二、有何特点
1、脚本与Script,看到这些是不是得悠着点了
2、编写简易、破坏力大、感染力强、传播范围大、变种多
3、特征SET
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
三、预防查杀
(1)禁用文件系统对象FileSystemObject。用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。
(2) 文件夹选项中设置:删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射,同时取消隐藏系统中已知文件类型的扩展名。
(3) 在Windows\system32目录中,找到WScript.exe,更改名称或者删除。
(4)设置浏览器:把“ActiveX控件及插件”的一切设为禁用,同时将系统的网络连接的安全级别设置至少为“中等”。
(5)禁止Outlook Express的自动收发邮件功能,这样将阻止蠕虫通过邮件的传播。
四、制作
要遵守规章制度的玩耍!
没错,站在巨人的肩膀上,从模仿到创新!
介绍个工具:病毒制作机
走个流程,请在虚拟机里研究:
最后,看下源码
****注意打开方式:右键->打开方式->记事本
五、分析
5.1 调试脚本病毒
工具:VS(visual studio)
首先用管理员方式启动VS,接着选择调试->选项,把脚本前面的勾给打上
然后在命令行输入:wscript.exe /x C:\Users\LS\Desktop\病毒.vbs
最后,可以在VS里调试了
5.2 分析源码
1、Set fso = wscript.createobject("scripting.filesystemobject")
文件系统是所有操作系统最重要的部分之一,脚本经常会需要对文件及文件夹进行访问和管理,在Vbs中对桌面和文件系统进行访问的顶级对象是FileSystemObject(FSO),这个对象特别复杂,是vbs进行文件操作的核心。
使用CreateObject方法来创建FileSystemObject对象,Scripting 是类型库的名字,而 FileSystemObject 则是想要创建的对象的名字。
2、set dir1 = fs.getSpecialFolder(0)
3、
dim r 声明一个变量
set r=creatObject("Wscript.shell")
WScript.Shell是WshShell对象的ProgID,创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量。该对象有以下方法:
4、r.RegWrite "项路径\子键名\键值","键值数据" ,"键值类型"
5、so.getfile(wscript.scriptfullname).copy()
将自身复制到指定文件夹