欢迎来到天天文库
浏览记录
ID:10295988
大小:70.00 KB
页数:7页
时间:2018-07-06
《vb脚本病毒实验报告》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、vb脚本病毒实验报告求职信”等病毒都是属于这一类的病毒。脚本病毒的主要特点:(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。(2)脚本病毒通过HTML文档、Email附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动
2、激活。(4)病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源码可读性好,即使病毒源码经过加密处理后,其源码的获取还是比较简单。因此,这类病毒稍微改变一下病毒的结构或者特征值,很多杀毒软件可能就无能为力了。(5)欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不太注意的手段,譬如,邮件的附件采用双后缀,如jpg.vbs或txt.vbs,由于系统默认不显示后缀,这样,用户看到此文件时就会认为它是一个jpg图片或文本文件。2.爱虫病毒分析1).病毒简介“爱虫”(VBS.LoveLetter)病毒从2
3、000年5月4日开始在欧洲大陆迅速传播,并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用VBScript编写,其传播原理是通过MicrosoftOutlook将名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件发送给用户地址薄里所有的地址。它可以产生Script.ini文件,将包括病毒的LOVE-LETTER-FOR-YOU.HTM文件通过mIRC蔓延到Inter聊天室中。该病毒还有多个发作破坏模块,查找本地驱动器和网络驱动器,在所有目录和子目录
4、中搜索可以感染的目标如:.vbs、.vbe、.js、.jse、.css、.、.html、.xls、.ini、.bat、.、.mp3、.mp2等,它用病毒代码覆盖原有的内容,并在文件名后面添加.vbs的扩展名,从而取代宿主文件。.mp2和.mp3文件被隐藏起来,并未破坏。当病毒运行后会在系统中留下以下文件:(1)\MSKernel.vbs;(3)systemLOVE-LETTER_FOR_YOU.TXT.vbs。该病毒还修改注册表中的一些路径以便在启动Soft中,运行MSCONFIG.EXE选择“启动”
5、模板,将所有的后缀为“*.vbs”的文件选择为禁用状态。(3)在保证内存中无IRC则删除script.ini文件,删除含LOVE-LETTER-FOR-YOU.TXT附件的Email。(5)打开注册表编辑器并删除下列键值:HKEY_CURRENT_USERSoftl该模块主要用来生成LOVE-LETTER-FOR-YOU.HTM文件,该HTM文件执行后会执行里面的病毒代码,并在系统目录生成一个病毒副本MSKernel32.vbs文件。(4)spreadtoemail该模块主要用于将病毒文件作为附件发送给Ou
6、tlook地址薄中的所有用户,也是破坏性最大的一个模块。(5)listadriv该模块主要用于搜索本地磁盘,并对磁盘文件进行感染。它调用了folderlist()函数,该函数主要用来遍历整个磁盘,对目标文件进行感染。folderlist()函数的感染功能实际上是调用了infectfile()函数。infetcfile()可以对十余种文件进行覆盖,并且还会创建script.ini文件,以便于利用IRC通道进行传播。4).脚本病毒的预防和清除脚本病毒的运行和传播有如下特点:(1)VBS代码是通过I对象,I(SKe
7、rne32.vbs)Setvir1=fso.GetFile(d1)vir1.DeleteExpandEnvironmentStrings方法用于返回环境变量的扩展值,%SystemRoot%即是“C:icrosoftOutlook将名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的邮件发送给用户地址薄里所有的地址。它可以产生Script.ini文件,将包括病毒的LOVE-LETTER-FOR-YOU.HTM文件通过mIRC蔓延到Inter聊天室中。该病毒还有多个发作破坏模块,查找本地驱动器和网
8、络驱动器,在所有目录和子目录中搜索可以感染的目标如:.vbs、.vbe、.js、.jse、.css、.、.html、.xls、.ini、.bat、.、.mp3、.mp2等,它用病毒代码覆盖原有的内容,并在文件名后面添加.vbs的扩展名,从而取代宿主文件。.mp2和.mp3文件被隐藏起来,并未破坏。当病毒运行后会在系统中留下以下文件:(1)\MSKernel.vbs;(3)systemLOVE-
此文档下载收益归作者所有