L002003005-脚本及恶意网页病毒(一)

爱虫病毒解决方案篇一：vb脚本病毒一．脚本病毒概述脚本程序的执行环境需要WSH（Windows Script Host，Windows脚本宿主）环境，WSH为宿主脚本创建环境。

即当脚本到达计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows 桌面或命令提示符下运行。

利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统，还可以访问活动目录服务。

WSH依赖于IE提供的Visual BasicScript和JavaScript 脚本引擎，所对应的程序“C:\Windows\”是一个脚本语言解释器。

Visual BasicScript和JavaScript作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。

“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。

脚本病毒的主要特点：（1）由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。

（2）脚本病毒通过HTML文档、Email附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。

（3）新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。

（4）病毒源码容易被获取，变种多。

由于VBS病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。

因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。

（5）欺骗性强。

脚本病毒为了得到运行机会，往往会采用各种让用户不太注意的手段，譬如，邮件的附件采用双后缀，如或，由于系统默认不显示后缀，这样，用户看到此文件时就会认为它是一个jpg图片或文本文件。

西安邮电学院计算机病毒实验报告书院系名称：通信与信息工程学院专业名称信息安全班级：安全0804班学生姓名：余伟东（0608-3121）实验时间：2011年06月23日脚本病毒一．网页恶意代码1．恶意网页1新建记事本文件HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode1.html页面，观察页面效果。

页面效果：。

并说明其实现原理：重复循环执行单一进程，耗费大量内存，CPU，降低计算机运行速度。

2．恶意网页2新建记事本文件HostilityCode2.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode2.html页面，观察页面效果。

页面效果：。

并说明其实现原理：重复调用OPEN打开函数，进行循环。

3．恶意网页3（1）新建记事本文件HostilityCode3.txt，基于HostilityCode2.html源文件代码，编写funbody函数体（编写完成后先不要在本机访问此页面），要求该页面具有下列功能，效果如图34-1-1所示：访问该页面后，IE主页被设置为；访问该页面后，IE主页相关设置置灰（不可操作）；访问该页面后，IE自动访问页面。

（2）编写指南参照实验原理（四｜4）新建“Wscript.Shell”ActiveXObject对象；修改注册表键HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main的Start Page项值为；「说明」通过修改键HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main的Start Page项值，可设置IE默认首页。

新建注册表键HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel，新建DWORD值项HomePage，项值为1；「说明」通过新建HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\HomePage项，可使IE主页设置不可用（置灰）。

网络恶意代码的介绍与分类网络恶意代码（Malware）是指恶意软件或恶意脚本，用于侵入计算机、服务器或网络系统，并破坏、窃取、删除或修改数据以及干扰正常系统运行。

网络恶意代码多种多样，每种恶意代码都有不同的特征和目的。

本文将介绍网络恶意代码的常见类型和分类方法。

1. 病毒（Virus）病毒是一种能够自我复制并传播的恶意代码。

它将自己附加到其他程序或文件中，并在用户执行这些程序或文件时激活。

病毒可以对系统造成很大的破坏，例如删除或修改文件、操纵系统功能等。

常见的病毒类型包括文件病毒、宏病毒、脚本病毒等。

2. 蠕虫（Worm）蠕虫是自主传播的恶意代码，与病毒不同，蠕虫不需要附加到其他程序或文件中就能够通过网络进行传播。

蠕虫常常利用系统的漏洞进行传播，并通过网络共享、电子邮件等方式传播给其他计算机。

蠕虫可以快速传播并对网络造成大规模破坏，例如拒绝服务攻击（DDoS）。

3. 木马（Trojan Horse）木马是一种伪装成合法程序的恶意代码。

用户在执行木马程序时，木马会执行恶意操作而不被察觉。

与病毒和蠕虫不同，木马通常不会自我复制或传播，它主要通过用户下载或安装来传播。

木马可以用于远程控制系统、窃取用户信息、记录键盘输入等恶意活动。

4. 广告软件（Adware）广告软件是一种常见的恶意代码，其主要目的是在用户浏览器中显示广告以获取利润。

广告软件通常通过捆绑到其他免费软件中进行传播，用户在安装软件时常常会不知情地同意安装广告软件。

广告软件不仅会干扰用户的浏览体验，还可能收集用户的浏览历史和个人信息。

5. 间谍软件（Spyware）间谍软件是一种用于监视用户活动、窃取个人信息并发送给第三方的恶意代码。

间谍软件通常通过下载或安装伪装成合法程序的方式传播。

一旦感染，间谍软件会记录用户敏感信息、浏览历史等，并将这些信息发送给攻击者。

间谍软件对用户的隐私构成严重威胁。

6. 勒索软件（Ransomware）勒索软件是一种恶意代码，它通过加密或锁定用户文件，然后要求用户支付赎金以解锁文件。

常见的几种网页恶意代码解析及解决方案网页恶意代码(又称网页病毒)是利用网页来进行破坏的病毒，使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。

网页恶意代码的技术基础是WSH，其通用的中文译名为“Windows 脚本宿主”。

当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。

一、篡改IE的默认页有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改了。

具体说就是以下注册表项被修改：HKEY_LOCAL_MACHINESof twareMicrosoftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法：运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就行了，或者将其设置为IE的默认值。

二、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerCon trol Panel"Settings"=dword:1HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerCon trol Panel"Links"=dword:1HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerCon trol Panel"SecAddSites"=dword:1解决办法：将上面这些DWORD值改为“0”即可恢复功能。

恶意网页病毒基础认识现在未知的网站越来越多，稍不留神就可能会中毒，对浏览器或者电脑造成不必要的麻烦，下面我教你些吧。

一.默认主页被修改1.破坏特性：默认主页被自动改为某网站的网址。

2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

3.清除方法：采用手动修改注册表法，开始菜单->运行->regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支，找到Default_Page_URL键值名用来设置默认主页，在右窗口点击右键进行修改即可。

按F5键刷新生效。

危害程度：一般二.默认首页被修改1.破坏特性：默认首页被自动改为某网站的网址。

2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

3.清除方法：采用手动修改注册表法，开始菜单->运行->regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名用来设置默认首页，在右窗口点击右键进行修改即可。

按F5键刷新生效。

危害程度：一般三.默认的微软主页被修改1.破坏特性：默认微软主页被自动改为某网站的网址。

2.表现形式：默认微软主页被篡改。

3.清除方法：1手动修改注册表法：开始菜单->运行->regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名用来设置默认微软主页，在右窗口点击右键，将键值修改为即可。

按F5键刷新生效。

vbs脚本病毒的病毒原理是怎样的电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

这篇文章主要介绍了对一个vbs脚本病毒的病毒原理分析的相关资料,非常不错，具有参考借鉴价值，需要的朋友可以参考下功能分析从头开始看吧。

显示一些配置信息，包括了服务器的域名。

可以查到服务器是美国的，尝试ping了下，ping不通，可能是服务器作了设置不让人ping、也可能是服务器已经不用了、也有可能是我国的防火长城直接墙掉了。

然后是一些之后要用到的变量，这里不作过多的解释。

之后就是code start的部分了。

然后由于里面调用了各种函数，所以这里按执行的顺序给调用的函数编号，以便阅读，不然会感觉很凌乱的。

这里先是调用了instance函数。

1.instance函数给之前的一个参数usbspreading赋值，并对注册表进行写操作在执行完了instance函数后，会进入一个while true的死循环，不断从服务器读取命令，然后执行。

在进入while里面后，先是调用install过程。

2.install过程在install中，又调用了upstart，再进去看看。

2.1 upstart过程这里通过注册表将病毒脚本设置成开机自启动。

然后从upstart过程出来继续看看install剩下的代码，有点多，直接把功能告诉大家。

扫描所有的驱动,如果类型号是1,会有所动作,为1时代表可移动设备,这是想感染优盘之类的可移动设备。

它将脚本拷贝到可移动设备的根目录下,然后设置文件属性,2为隐藏文件,可读写,4为系统文件,可读写。

然后获取可移动设备根目录所有的文件,如果不是lnk文件, 将其设置为隐藏的系统文件,可读写。

然后创建相应的快捷方式,其指向的程序是cmd.exe,其参数是"/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(," ", chrw(34) & " " & chrw(34)) &"&exit",意思是点击该快捷方式后会先启动那个脚本病毒,然后再启动真正的文件,之后退出cmd。