vb脚本病毒实验报告

1 / 34vb 脚本病毒实验报告一、 实验目的和要求了解 VB 脚本病毒的工作原理了解 VB 脚本病毒常见的感染目标和感染方式掌握编写 VB 脚本病毒专杀工具的一般方法二、 实验内容和原理1脚本病毒概述脚本程序的执行环境需要 WSH 环境，WSH 为宿主脚本创建环境。即当脚本到达计算机时，WSH 充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。WSH 是微软提供的一种基于 32 位 Windows 平台的、与语言无关的脚本解释机制，它使得脚本能够直接在 Windows 桌面或命令提示符下运行。利用 WSH 用户能够操纵 WSH 对象、ActiveX 对象、注册表和文件系统，还可以访问活动目录服2 / 34务。WSH 依赖于 IE 提供的 Visual BasicScript 和JavaScript 脚本引擎，所对应的程序“C:Windows”是一个脚本语言解释器。Visual BasicScript 和 JavaScript 作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。“爱虫” 、 “欢乐时光” 、 “尼姆达” 、 “求职信”等病毒都是属于这一类的病毒。 脚本病毒的主要特点：由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。脚本病毒通过 HTML 文档、Email 附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活。3 / 34病毒源码容易被获取，变种多。由于 VBS 病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不太注意的手段，譬如，邮件的附件采用双后缀，如或，由于系统默认不显示后缀，这样，用户看到此文件时就会认为它是一个 jpg 图片或文本文件。2爱虫病毒分析1） 病毒简介“爱虫”病毒从 2000 年 5 月 4 日开始在欧洲大陆迅速传播，并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用 VBScript 编写，其传播原理是通过 Microsoft Outlook 将名为“”的邮件发送给用户地址薄里所有的地址。它可以产生文件，将包括病毒的文件通过 mIRC 蔓延到 Internet 聊天室中。该病毒还有多个发作破坏模块，查找本地驱动器和网络驱动器，4 / 34在所有目录和子目录中搜索可以感染的目标如：.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、.html、.xls、.ini、.bat、.com、.mp3、.mp2 等，它用病毒代码覆盖原有的内容，并在文件名后面添加.vbs 的扩展名，从而取代宿主文件。.mp2 和.mp3 文件被隐藏起来，并未破坏。当病毒运行后会在系统中留下以下文件：windows；system；systemLOVE-LETTER_FOR_。该病毒还修改注册表中的一些路径以便在启动 Windows 时运行。它还在windowssystem 下搜索名为的文件，如果该文件不存在，则修改 IE 的默认初始页面下载的文件，并修改注册键值为：HKLMSoftwareMicrosoftWindowsCurrentVersiionRun5 / 34WIN-BUGSFIX。该病毒已经有很多变种，并被反病毒厂家定为高危险性病毒。所以，提醒用户在接收电子邮件之前，一定要先升级自己的杀毒软件，拦截住这种破坏性很大的病毒。另外，广大用户除了不要冒然打开不明真相的英文邮件及附件外，最好也不要浏览陌生网站和下载其中内容。2） 病毒的杀毒步骤在 Windows 下查看进程列表中是否有 wscript 这个文件，如有此文件说明已经感染。将该文件“结束任务” 。进入 C:WindowsSystem 中，运行选择“启动”模板，将所有的后缀为“*.vbs”的文件选择为禁用状态。在保证内存中无 wscript 这个文件后，重启计算机。查找一个叫的文件并删除它，如果安装了 mIRC 则删除文件，删除含附件的 Email。打开注册表编辑器并删除下列键值：6 / 34HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServerWin32DLL；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGFIX。3） 病毒各模块功能介绍爱虫病毒的结构化做得很好，各个模块功能非常独立，彼此并不相互依赖，流程也非常清楚，下面对每个函数过程的功能作一简单介绍。Main爱虫病毒的主模块，它集成调用其它各个模块。regruns该模块主要用来修改注册表 Run 下面的启动项指向病毒文7 / 34件、修改下载目录，并负责随机从给定的 4 个网址中下载文件，并使启动项指向该文件。html该模块主要用来生成文件，该 HTM 文件执行后会执行里面的病毒代码，并在系统目录生成一个病毒副本文件。spreadtoemail该模块主要用于将病毒文件作为附件发送给 Outlook 地址薄中的所有用户，也是破坏性最大的一个模块。listadriv该模块主要用于搜索本地磁盘，并对磁盘文件进行感染。它调用了 folderlist()函数，该函数主要用来遍历整个磁盘，对目标文件进行感染。folderlist()函数的感染功能实际上是调用了 infectfile()函数。infetcfile()可以对十余种文件进行覆盖，并且还会创建文件，以便于利用 IRC通道进行传播。8 / 344） 脚本病毒的预防和清除脚本病毒的运行和传播有如下特点：VBS 代码是通过 Windows Script Host 来解释执行的。VBS 病毒的运行需要其关联程序的支持。大部分 VBS 病毒运行的时候需要用到一个对象：FileSystemObject。通过网页传播的脚本病毒需要 ActiveX 的支持。通过 Email 传播的病毒需要 OutlookExpress 的自动发送邮件功能支持。防范脚本病毒措施有：卸载 WindowsScriptingHost打开“控制面板”|“添加/删除程序”|“Windows 安装程序”|“附件”|取消9 / 34“WindowsScriptingHost”一项。禁用文件系统对象 FileSystemObject用/u 这条命令就可以禁止文件系统对象。其中 regsvr32是 WindowsSystem 下的可执行文件。或者直接查找文件删除或者改名。在 Windows 目录中，找到，更改名称或者删除。设置浏览器。首先打开浏览器，单击菜单栏里“Internet选项”安全选项卡里的“自定义级别”按钮。把“ActiveX控件及插件”的一切设为禁用。禁止 OutlookExpress 的自动收发邮件功能。3svir 病毒专杀设计分析1） 脚本病毒特征病毒具备爱虫病毒的部分功能，是以爱虫病毒为基础，减10 / 34弱其破坏性，并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件 C:ExpNISAntiVir-LabVirusScriptVir根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。2） 脚本病毒专杀工具设计VBS 是一种较为常用的脚本语言，它语法简单而且功能强大，我们下面介绍如何使用 VBS 脚本语言编程实现脚本病毒专杀工具。为了使程序更清晰易懂，我们应使用模块化设计，也易于为程序扩展新功能。我们将专杀工具分为四个功能模块，各模块的作用分别是删除病毒文件、删除病毒添加的自启动项、查杀指定目录下的病毒文件和结束病毒进程。3） 结束病毒进程在查杀病毒时应该首先结束病毒的进程再进行其它操作，但我们现在查杀的是脚本病毒，使用的工具也是脚本语言，它们都是由 Windows 脚本宿主“”解释执行的，所以如果我们首先就将此进程结束，则专杀工具程序的其它部分就11 / 34不能工作了。因此在查杀脚本病毒时要在专杀程序其它模块的工作完成后，再结束此进程。我们可以通过下列代码结束指定的进程。Set w=GetObject(“winmgmts:”)Set p=(“select * from win32_process where name=“)For each i in pNext首先通过 GetObject(“winmgmts:”)获得 WMI 对象，WMI(Windows Management Instrumentation)技术是微软提供的 Windows 下的系统管理工具。在 WMI 对象下有很多的子项，在这里我们要获得系统中所有的进程列表子项中名为“”的进程，然后使用 Terminate 方法结束此进程。4） 删除病毒文件12 / 34下面代码用于删除指定目录中的指定文件。Set del=(“)d1=(“%SystemRoot%system32”)Set vir1=(d1)ExpandEnvironmentStrings 方法用于返回环境变量的扩展值，%SystemRoot%即是“C:WINDOWS”目录。GetFile 方法用于在指定的路径中返回相应的对象，然后使用此对象的Delete 方法将指定文件删除。5） 删除病毒添加的自启动项使用 regdelete 方法来删除指定的注册表项，如下面代码所示：Set reg=(“)13 / 34“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32”6） 查杀指定目录下的病毒文件在这个模块中我们可以使用病毒源码中遍历文件夹和感染文件的部分代码，实现查杀病毒的功能。 Sub folderlist(folderspec)On Error Resume NextDim f,f1,sfSet f = (folderspec)Set sf = For each f1 insfclearvirus() 查杀指定目录中的病毒文件14 / 34folderlist() 递归，继续搜索子目录NextEnd Sub此模块作用是遍历指定文件夹及其子文件夹，然后调用病毒查杀模块 clearvirus 进行杀毒。根据“”病毒的特点，对目录中的文件的扩展名进行判断。如果是扩展名为“.vbs”的文件，则使用 Delete 方法删除。如果不是，则使用文件 Attributes 的属性将此文件属性改为“0” ，即普通文件。根据病毒源码中的相关部分编写相应的杀毒模块。三、 主要仪器设备Windows 操作系统，交换网络结构，UltraEdit-32Windows脚本宿主 WSH。四、 操作方法与实验步骤15 / 34本练习单人为一组。首先使用“快照 X”恢复 Windows 系统环境。1 观察病毒感染现象查看病毒要感染和修改的目标项。进入实验平台，点击工具栏中的“实验目录”按钮，进入脚本病毒实验目录，使用 UltraEdit 或记事本打开病毒文件查看其源码。由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添加启动项，再感染指定目录下的文件，最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码，查看如下项：? 系统目录下的病毒副本在“C:WINDOWS”目录及其子文件夹中搜索是否有文件“” 。? 注册表中的开机启动项16 / 34注册表键HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下是否有 MSKernel32 项。? 指定感染目录下的文件查看目录 C:ExpNISAntiVir-LabVirusScriptVirVBA中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。双击“”运行病毒文件。反病毒技术实验报告一脚本病毒概述脚本程序的执行环境需要 WSH 环境，WSH 为宿主脚本创建环境。即当脚本到达计算机时，WSH 充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。WSH 是微软提供的一种基于 32 位 Windows 平台的、与语言无关的脚本解释机制，它使得脚本能够直接在 Windows 桌17 / 34面或命令提示符下运行。利用 WSH 用户能够操纵 WSH 对象、ActiveX 对象、注册表和文件系统，还可以访问活动目录服务。WSH 依赖于 IE 提供的 Visual BasicScript 和 JavaScript脚本引擎，所对应的程序“C:Windows”是一个脚本语言解释器。 Visual BasicScript 和 JavaScript 作为客户端编程语言，当一个以该语言编制的程序被下载到一个兼容的浏览器中时，浏览器将自动执行该程序。“爱虫” 、 “欢乐时光” 、 “尼姆达” 、 “求职信”等病毒都是属于这一类的病毒。 脚本病毒的主要特点：由于脚本是直接解释执行，可以直接通过自我复制的方式感染其它同类文件，并且使异常处理变得非常容易。脚本病毒通过 HTML 文档、Email 附件或其它方式，可以在很短的时间内传遍世界各地，通常是使用在邮件附件中安置病毒本体的方法，然后利用人们的好奇心，通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。新型的邮件病毒邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览18 / 34功能病毒也会被自动激活。病毒源码容易被获取，变种多。由于 VBS 病毒解释执行，其源码可读性好，即使病毒源码经过加密处理后，其源码的获取还是比较简单。因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力了。欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不太注意的手段，譬如，邮件的附件采用双后缀，如或，由于系统默认不显示后缀，这样，用户看到此文件时就会认为它是一个 jpg 图片或文本文件。二爱虫病毒分析1病毒简介“爱虫”病毒从 2000 年 5 月 4 日开始在欧洲大陆迅速传播，并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用 VBScript 编写，其传播原理是通过 Microsoft Outlook 将名为“”的邮件发送给用户地址薄里所有的地址。它可以产生文件，将包括病毒的文件通过 mIRC 蔓延到 Internet 聊天室中。该病19 / 34毒还有多个发作破坏模块，查找本地驱动器和网络驱动器，在所有目录和子目录中搜索可以感染的目标如：.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、 .html、.xls、.ini、.bat、.com、.mp3、.mp2 等，它用病毒代码覆盖原有的内容，并在文件名后面添加.vbs 的扩展名，从而取代宿主文件。.mp2 和.mp3 文件被隐藏起来，并未破坏。 当病毒运行后会在系统中留下以下文件：windows；system；systemLOVE-LETTER_FOR_。该病毒还修改注册表中的一些路径以便在启动 Windows 时运行。它还在windowssystem 下搜索名为的文件，如果该文件不存在，则修改 IE 的默认初始页面下载的文件，并修改注册键值为：20 / 34HKLMSoftwareMicrosoftWindowsCurrentVersiionRunWIN-BUGSFIX。该病毒已经有很多变种，并被反病毒厂家定为高危险性病毒。所以，提醒用户在接收电子邮件之前，一定要先升级自己的杀毒软件，拦截住这种破坏性很大的病毒。另外，广大用户除了不要冒然打开不明真相的英文邮件及附件外，最好也不要浏览陌生网站和下载其中内容。2病毒的杀毒步骤在 Windows 下查看进程列表中是否有 wscript 这个文件，如有此文件说明已经感染。将该文件“结束任务” 。进入 C:WindowsSystem 中，运行选择“启动”模板，将所有的后缀为“*.vbs”的文件选择为禁用状态。在保证内存中无 wscript 这个文件后，重启计算机。查找一个叫的文件并删除它，如果安装了 mIRC 则删除文件，删除含附件的 Email。21 / 34打开注册表编辑器并删除下列键值：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServerWin32DLL； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGFIX。3病毒各模块功能介绍爱虫病毒的结构化做得很好，各个模块功能非常独立，彼此并不相互依赖，流程也非常清楚，下面对每个函数过程的功能作一简单介绍。Main爱虫病毒的主模块，它集成调用其它各个模块。regruns22 / 34该模块主要用来修改注册表 Run 下面的启动项指向病毒文件、修改下载目录，并负责随机从给定的 4 个网址中下载文件，并使启动项指向该文件。html该模块主要用来生成文件，该 HTM 文件执行后会执行里面的病毒代码，并在系统目录生成一个病毒副本文件。spreadtoemail该模块主要用于将病毒文件作为附件发送给 Outlook 地址薄中的所有用户，也是破坏性最大的一个模块。listadriv该模块主要用于搜索本地磁盘，并对磁盘文件进行感染。它调用了 folderlist()函数，该函数主要用来遍历整个磁盘，对目标文件进行感染。folderlist()函数的感染功能实际上是调用了 infectfile()函数。infetcfile()可以对十余种文件进行覆盖，并且还会创建文件，以便于利用 IRC23 / 34通道进行传播。4脚本病毒的预防和清除脚本病毒的运行和传播有如下特点：VBS 代码是通过 Windows Script Host 来解释执行的。VBS 病毒的运行需要其关联程序的支持。大部分 VBS 病毒运行的时候需要用到一个对象：FileSystemObject。通过网页传播的脚本病毒需要 ActiveX 的支持。通过 Email 传播的病毒需要 OE 的自动发送邮件功能支持。防范脚本病毒措施有：卸载 Windows Scripting Host打开“控制面板”|“添加/删除程序”|“Windows 安装程24 / 34序”|“附件”|取消“WindowsScripting Host”一项。禁用文件系统对象 FileSystemObject用 regsvr32 /u 这条命令就可以禁止文件系统对象。其中regsvr32 是 WindowsSystem 下的可执行文件。或者直接查找文件删除或者改名。在 Windows 目录中，找到，更改名称或者删除。设置浏览器。首先打开浏览器，单击菜单栏里“Internet选项”安全选项卡里的“自定义级别”按钮。把“ActiveX控件及插件”的一切设为禁用。禁止 OE 的自动收发邮件功能。三svir 病毒专杀设计分析1脚本病毒特征25 / 34病毒具备爱虫病毒的部分功能，是以爱虫病毒为基础，减弱其破坏性，并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件C:ExpNISAntiVir-LabVirusScriptVir根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。2脚本病毒专杀工具设计VBS 是一种较为常用的脚本语言，它语法简单而且功能强大，我们下面介绍如何使用 VBS 脚本语言编程实现脚本病毒专杀工具。为了使程序更清晰易懂，我们应使用模块化设计，也易于为程序扩展新功能。我们将专杀工具分为四个功能模块，各模块的作用分别是删除病毒文件、删除病毒添加的自启动项、查杀指定目录下的病毒文件和结束病毒进程。3结束病毒进程在查杀病毒时应该首先结束病毒的进程再进行其它操作，26 / 34但我们现在查杀的是脚本病毒，使桂林电子科技大学数学与计算科学学院实验报告实验室：06303 实验日期：2016 年 10 月 21 日实验八 脚本病毒一、 实验目的1了解脚本病毒的工作原理；2观察病毒感染现象并手工查杀病毒。二、 实验环境1本练习由单人为一组进行。2首先使用“快照 X”恢复 Windows 系统环境。27 / 34三、 实验原理恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。VBS 病毒是用 VB Script 编写而成，该脚本语言功能非常强大，它们利用 Windows 系统的开放性特点，通过调用一些现成的 Windows 对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。2000 年 5 月 4 日，在欧美爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒是通过 Microsoft Outlook 电子邮件系统传播的，邮件的主题为“I LOVE YOU”，并包含一个附件。一旦在Microsoft Outlook 里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 这个病毒属于vbs 脚本病毒，可以通过 html，irc，email 进行大量的传播。病毒具备“爱虫”病毒的部分功能，是以“爱虫”病毒为基础，减弱其破坏性，并将感染范围控制到一定的范围内28 / 34的模拟病毒。四、 实验步骤1网页恶意代码(1) 恶意网页 1新建记事本，在文本中编写如下代码，保存代码并退出，更改扩展名.txt 为.html，双击页面，观察页面效果。 var color = new Arraycolor1= “ black”color2= “ white”for(x=0;x = colorxif(x=2)29 / 34 x=0页面效果： 。并说明其实现原理： 。(2) 恶意网页 2新建记事本，在文本中编写如下代码，保存代码并退出，更改扩展名.txt 为.html，双击页面，观察页面效果。 nofunction openwindow()30 / 34for(i=0;i (“ http:/”) 页面效果：并说明其实现原理： 。2. 病毒专杀工具设计(1) 观察病毒感染现象查看病毒要感染和修改的目标项。进入实验平台，点击工具栏中的“实验目录”按钮，进入脚本病毒实验目录，使用 UltraEdit 或记事本打开病毒文31 / 34件查看其源码。由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表