脚本病毒

变形脚本病毒的“照妖镜”火绒“脚本行为沙盒”简介目录一、前言 (3)二、反病毒引擎的脚本虚拟沙盒技术 (4)1.主流安全软件的脚本虚拟沙盒 (5)2.火绒脚本虚拟沙盒 (6)三、脚本病毒对抗手段分析 (8)四、附录 (12)一、前言近年来下载者病毒逐渐从传统的PE类病毒向脚本类病毒演变，脚本类病毒与PE类相比在一些方面上存在优势。

首先脚本类病毒在文件大小上明显小于PE 类病毒，混淆成本远低于PE类病毒，混淆手法更为多变，并且能够实现PE病毒绝大部分的功能。

这类脚本病毒的批量制造，对传统安全软件提出了不小的挑战。

下载者病毒所需要的功能简单、单一，还要求病毒大小不能过大，方便网络传播。

而脚本类病毒正好满足下载者病毒的要求。

所以，近年来，脚本类下载者病毒呈现激增的趋势。

为了应对不断变化的病毒样本，主流安全软件厂商引入了脚本的虚拟沙盒。

与PE类似，”脚本虚拟沙盒”是通过仿真脚本运行时环境，使病毒代码认为运行真实系统中，进而还原其行为。

通过病毒在虚拟沙盒中还原出来的原始代码和病毒执行时的一系列行为进行查毒。

理论上只要仿真环境足够逼真，真实操作系统中能够执行的病毒，在虚拟沙盒中都能够成功执行并检测到其执行时的恶意行为。

目前国外主流安全软件都很重视这类问题，策略不同，各有优劣。

火绒采用区别于主流安全软件的创新思路实现脚本虚拟行为沙盒，可以更好地解决这个难题。

同时，基于这一思路的延伸，未来我们会为火绒反病毒引擎引入更多创新特性。

二、反病毒引擎的脚本虚拟沙盒技术由于脚本病毒的混淆方法简单，混淆成本远低于PE病毒，通过搜索引擎就能够找到大量的在线混淆网站，能够简单的混淆出大量静态特征不同但功能相同的脚本。

使得仅通过静态特征查杀变得越来越困难。

例如SVM:TrojanDownloader/JS.Nemucod.a下载者病毒，如下图所示，仅从代码形式上来看，就有多种形式，仅单纯的阅读代码已经很难发现这些病毒其实执行的都是同样的功能，都是由一份代码通过不同的混淆手法批量生成出来的。

爱虫病毒解决方案篇一：vb脚本病毒一．脚本病毒概述脚本程序的执行环境需要WSH（Windows Script Host，Windows脚本宿主）环境，WSH为宿主脚本创建环境。

即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows 桌面或命令提示符下运行。

利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统，还可以访问活动目录服务。

WSH依赖于IE提供的Visual BasicScript和JavaScript 脚本引擎，所对应的程序“C:\Windows\”是一个脚本语言解释器。

Visual BasicScript和JavaScript作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。

“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。

脚本病毒的主要特点：（1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。

（2）脚本病毒通过HTML文档、Email附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。

（3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。

（4）病毒源码容易被获取，变种多。

由于VBS病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。

因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。

（5）欺骗性强。

脚本病毒为了得到运行机会，往往会采用各种让用户不太注意的手段，譬如，邮件的附件采用双后缀，如或，由于系统默认不显示后缀，这样，用户看到此文件时就会认为它是一个jpg图片或文本文件。

脚本病毒防范措施脚本病毒是一种常见的计算机病毒类型，它们以脚本语言编写，可以在受感染的计算机上自动执行恶意操作。

脚本病毒的危害包括但不限于数据丢失、系统崩溃、信息泄漏等。

为了保护计算机免受脚本病毒的威胁，我们需要采取一些防范措施。

1. 定期更新软件和操作系统定期更新操作系统和软件是防范脚本病毒的重要措施之一。

脚本病毒往往利用操作系统和软件的漏洞来入侵计算机，因此及时更新可以修复这些漏洞，减少被感染的风险。

建议启用自动更新功能，确保系统和软件始终处于最新的安全状态。

2. 使用正版和可信的软件使用正版和可信的软件是防范脚本病毒的另一项重要措施。

正版软件通常会经过严格的安全测试，而且厂商会定期提供安全补丁和更新，能够有效地防范各种病毒攻击。

避免下载和使用来路不明的软件，特别是那些通过非官方渠道获取的软件，以免带来安全风险。

3. 谨慎打开邮件和附件脚本病毒经常通过电子邮件和附件进行传播，因此要谨慎打开邮件和附件是很重要的。

如果接收到来自陌生发件人的邮件，尤其是伴随着可疑附件的邮件，最好不要随意打开。

在打开附件之前，可以使用杀毒软件对其进行扫描，确保其安全性。

4. 安装可靠的杀毒软件安装可靠的杀毒软件也是防范脚本病毒的重要措施之一。

杀毒软件能够及时发现和清除潜在的病毒威胁，保护计算机免受感染。

建议选择知名的杀毒软件，并经常更新其病毒库，以确保其能够识别最新的病毒变种。

5. 启用防火墙防火墙可以监控和控制网络通信，阻止潜在的脚本病毒入侵。

启用计算机上的防火墙可以阻止未经授权的访问，减少脚本病毒入侵的风险。

如果操作系统本身没有防火墙功能，可以考虑安装第三方防火墙软件来增强计算机的安全性。

6. 注意安全浏览安全浏览是防范脚本病毒的重要环节。

在浏览网页时，要注意不要点击可疑的链接，尤其是来自不可信的网站。

此外，禁止自动执行脚本也是一种有效的防范措施。

可以根据浏览器的设置，选择禁用或限制网页中的自动脚本执行，以减少脚本病毒的入侵风险。

[最厉害的十大电脑病毒] 最厉害的电脑病毒十大病毒No.1：CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的，从中国台湾传入大陆地区的。

CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。

其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本。

损失估计：全球约5亿美元。

NO.2 ：“梅利莎(Melissa)”爆发年限:1999年3月梅利莎(1999年)是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。

该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。

而单击这个文件，就会使病毒感染主机并且重复自我复制。

1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。

估计数字显示，这个Word宏脚本病毒感染了全球15%~20%的商用PC。

病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软件的公司措手不及，防止损害，他们被迫关闭整个电子邮件系统。

“梅利莎”病毒的编写者大卫•史密斯后被判处在联邦监狱服刑20个月，也算获得一点惩戒损失估计：全球约3亿——6亿美元NO.3：“爱虫(Iloveyou)”爆发年限:2000年爱虫(2000年)是通过Outlook电子邮件系统传播，邮件主题为“I Love You”，包含附件“Love-Letter-for-you.txt.vbs”。

经典命令⾏脚本病毒⼀般简单的病毒都是通过bat对Windows命令或者shell script对Linux命令来实现的。

简单的病毒从Windows开始关机病毒"-s"正常关机"-f"强制关机"-r"重启"-t"定时关机“-c” 设置提⽰信息“-a” 是取消定时关机⽐如shutdown -s -t 600这个命令可以实现在⼗分钟内电脑即将关机.想要取消可以使⽤shutdown -a蓝屏炸弹winlogon.exe是windows登录管理器，位于C:\Windows\System32⽬录下，主要⽤于管理⽤户的登录和退出，处理⽤户登录和注销任务。

ntsd -c q -pn这个命令⽤于结束进程,如果不加后⾯的n,就是要输⼊进程的pid例如nstd -c q -pn winlogon.exe这个命令会导致系统蓝屏,重启.⽂件失效病毒assoc，显⽰或修改⽂件扩展名关联。

如果在没有参数的情况下使⽤，则 assoc 将显⽰所有当前⽂件扩展名关联的列表。

例如:assoc.exe=txtfile就是将exe⽂件和txt⽂件关联.造成不良后果之后可⽤assoc.exe=exefile还原但是利⽤如同assoc.exe=txtfileassoc.rm=txtfileassoc.htm=txtfile.......如果将所有的⽂件都和txt关联,就会导致所有的⽂件都打不开,尤其当和cmd关联的时候,就⽆法运⾏.死循环弹窗不再使⽤bat,⽽是使⽤vbs脚本MsgBox是Visual Basic和VBS中的⼀个函数，功能是弹出⼀个对话框，等待⽤户单击按钮，并返回⼀个Integer值表⽰⽤户单击了哪⼀个按钮。

例如domsgbox "hello"loop就会陷⼊死循环,只有结束进程才有⽤.。

一、实验目的和要求了解VB脚本病毒的工作原理了解VB脚本病毒常见的感染目标和感染方式掌握编写VB脚本病毒专杀工具的一般方法二、实验内容和原理1．脚本病毒概述脚本程序的执行环境需要WSH（Windows Script Host，Windows脚本宿主）环境，WSH 为宿主脚本创建环境。

即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。

利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统，还可以访问活动目录服务。

WSH依赖于IE提供的Visual BasicScript和JavaScript脚本引擎，所对应的程序“C:\Windows\wscript.exe”是一个脚本语言解释器。

Visual BasicScript和JavaScript作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。

“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。

脚本病毒的主要特点：（1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。

（2）脚本病毒通过HTML文档、Email附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。

（3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。

（4）病毒源码容易被获取，变种多。

由于VBS病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。

因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。

计算机病毒的定义是什么计算机病毒指的是一类恶意软件，其主要功能是通过自我复制和传播，感染计算机系统并对其造成损害。

病毒的行为方式多种多样，有些病毒会删除用户的数据文件，有些会改变计算机的系统设置，而另一些则会通过网络传播私人信息等，都是致命的。

因此，计算机病毒是计算机安全领域的常见、关键性问题和威胁。

计算机病毒从本质上来讲就是一段程序代码，与其他程序没有区别。

但是，根据其行为分类，计算机病毒可以被分为以下几类：1.文件型病毒：这类病毒会将自身程序代码藏在普通文件中，如.exe文件等。

当用户运行这些文件时，病毒程序会被激活并开始执行病毒代码。

2.脚本型病毒：脚本型病毒主要依靠脚本语言来执行攻击程序。

这类病毒经常出现在因下载违法内容和打开不明邮件等原因，容易受到脚本型病毒的攻击。

3.宏病毒：宏病毒是一种利用宏命令实现感染和破坏此类文档的病毒类型。

这类病毒最常见于Microsoft Office Word、Excel和PowerPoint等文档程序。

4. Rootkit病毒：Rootkit是一种特殊的恶意软件，它能够控制授权使用者之外的任何用户，这种病毒非常难以发现和清除。

这种病毒往往能够嵌入磁盘驱动程序，并掩盖其自身行为和存在。

5. 网络蠕虫病毒：网络蠕虫是一种可以自己繁殖和传播的程序。

这类病毒破坏性很大，能够危及整个网络连接，而且传播速度很快。

由于病毒的自我复制和传播能力，其传染范围可以非常广泛，这对计算机系统带来了极大的危害。

计算机病毒的行为多种多样，影响用户的方式也千奇百怪，例如，病毒程序可以将数据文件和计算机系统文件损坏或删除，改变系统设置，窃取用户隐私，传播广告、欺诈信息等等。

为了保护计算机系统与用户安全，使用防病毒软件是非常必要的。

防病毒软件可以定时扫描计算机，察觉病毒并清除它们。

除了防病毒软件，用户还需注意以下几点：1. 不要随意下载源不明的软件和文件。

2. 不要打开来自不明的邮件和附件。