試驗4VB腳本病毒

XI'ANTECHNOLOGICALUNIVERSITY實驗報告實驗課程名稱 VB腳本病毒專 業(yè)： 信息對抗技術(shù)班 級： 130609 名： 學 號： 實驗學時： 12學時 指導(dǎo)教師： 成 ^： 2016年4月5日實驗?zāi)康?了解VB腳本病毒的工作原理.了解VB腳本病毒常見的感染目標和感染方式實掌握編原理本病毒專殺工具的一般方法一.腳本病毒概述腳本程序的執(zhí)行環(huán)境需要WSH(WINDOWSSCRIPTHOST,WINDOWS腳本宿主)環(huán)境，WSH為宿主腳本創(chuàng)建環(huán)境。即當腳本到達計算機時，WSH充當主機的部分，它使對象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。腳本病毒的主要特點：(1)由于腳本是直接解釋執(zhí)行，可以直接通過自我復(fù)制的方式感染其它同類文件，并且使異常處理變得非常容易。(2)腳本病毒通過HTML文檔、EMAIL附件或其它方式，可以在很短的時間內(nèi)傳遍世界各地，通常是使用在郵件附件中安置病毒本體的方法，然后利用人們的好奇心，通過郵件主題或郵件內(nèi)容誘騙人們點擊附件中的病毒體而被感染。(3)新型的郵件病毒郵件正文即為病毒，用戶接收到帶毒郵件后，即使不將郵件打開，只要將鼠標指向郵件，通過預(yù)覽功能病毒也會被自動激活。(4)病毒源碼容易被獲取，變種多。(5)欺騙性強。二.愛蟲病毒分析.病毒簡介“愛蟲”(VBS.LOVELETTER)病毒從2000年5月4日開始在歐洲大陸迅速傳播，并向全世界蔓延。其傳播原理是通過MICROSOFTOUTLOOK將名為“LOVE-LETTER-FOR-YOU.TXT.VBS”的郵件發(fā)送給用戶地址薄里所有的地址。當病毒運行后會在系統(tǒng)中留下以下文件：\WINDOWS\WIN32DLL.VBS；\SYSTEM\MSKERNEL.VBS；\SYSTEM\LOVE-LETTER_FOR_YOU.TXT.VBS。.病毒的殺毒步驟(1)在WINDOWS下查看進程列表中是否有WSCRIPT這個文件，如有此文件說明已經(jīng)感染。將該文件“結(jié)束任務(wù)”。(2)進入C:\WINDOWS\SYSTEM中，運行MSCONFIG.EXE選擇“啟動”模板，將所有的后綴為“*.VBS”的文件選擇為禁用狀態(tài)。(3)在保證內(nèi)存中無WSCRIPT這個文件后，重啟計算機。(4)查找一個叫WIN-BUGFIX.EXE的文件并刪除它，如果安裝了MIRC則刪除SCRIPT.INI文件，刪除含LOVE-LETTER-FOR-YOU.TXT附件的EMAIL。(5)打開注冊表編輯器并刪除下列鍵值：.病毒各模塊功能介紹愛蟲病毒的結(jié)構(gòu)化做得很好，各個模塊功能非常獨立，彼此并不相互依賴，流程也非常清楚，下面對每個函數(shù)過程的功能作一簡單介紹。MAIN愛蟲病毒的主模塊，它集成調(diào)用其它各個模塊。REGRUNS該模塊主要用來修改注冊表RUN下面的啟動項指向病毒文件、修改下載目錄，并負責隨機從給定的4個網(wǎng)址中下載WIN-BUGFIX.EXE文件，并使啟動項指向該文件。HTML該模塊主要用來生成LOVE-LETTER-FOR-YOU.HTM文件，該HTM文件執(zhí)行后會執(zhí)行里面的病毒代碼，并在系統(tǒng)目錄生成一個病毒副本MSKERNEL32.VBS文件。SPREADTOEMAIL該模塊主要用于將病毒文件作為附件發(fā)送給OUTLOOK地址薄中的所有用戶，也是破壞性最大的一個模塊。LISTADRIV該模塊主要用于搜索本地磁盤，并對磁盤文件進行感染。它調(diào)用了FOLDERLIST()函數(shù)，該函數(shù)主要用來遍歷整個磁盤，對目標文件進行感染。.腳本病毒的預(yù)防和清除腳本病毒的運行和傳播有如下特點：VBS代碼是通過WINDOWSSCRIPTHOST來解釋執(zhí)行的。VBS病毒的運行需要其關(guān)聯(lián)程序WSCRIPT.EXE的支持。(3)大部分VBS病毒運行的時候需要用到一個對象：FILESYSTEMOBJECT。(4)通過網(wǎng)頁傳播的腳本病毒需要ACTIVEX的支持。(5)通過EMAIL傳播的病毒需要OE的自動發(fā)送郵件功能支持。防范腳本病毒措施有：(1)卸載WINDOWSSCRIPTINGHOST打開“控制面板”|“添加/刪除程序”|“WINDOWS安裝程序”|“附件”|取消“WINDOWSSCRIPTINGHOST”一項。(2)禁用文件系統(tǒng)對象FILESYSTEMOBJECT用REGSVR32SCRRUN.DLL/U這條命令就可以禁止文件系統(tǒng)對象。其中REGSVR32是WINDOWS\SYSTEM下的可執(zhí)行文件。或者直接查找SCRRUN.DLL文件刪除或者改名。(3)在WINDOWS目錄中，找到WSCRIPT.EXE,更改名稱或者刪除。(4)設(shè)置瀏覽器。首先打開瀏覽器，單擊菜單欄里“INTERNET選項”安全選項卡里的“自定義級別”按鈕。把“ACTIVEX控件及插件”的一切設(shè)為禁用。(5)禁止?！甑淖詣邮瞻l(fā)郵件功能。三.SVIR病毒專殺設(shè)計分析SVIR.VBS腳本病毒特征SVIR.VBS病毒具備愛蟲病毒的部分功能，是以愛蟲病毒為基礎(chǔ)，減弱其破壞性，并將感染范圍控制到一定的范圍內(nèi)的模擬病毒。使”己事本打開文件C:\EXPNIS\ANTIVIR-LAB\VIRUS\SCRIPTVIR\SVIR.VBS根據(jù)愛蟲病毒原理和源代碼中的相關(guān)注釋了解它的工作原理和感染現(xiàn)象。實驗步驟一.svir.vbs病毒專殺工具設(shè)計.觀察svir.vbs病毒感染現(xiàn)象(1)查看病毒要感染和修改的目標項。進入實驗平臺，點擊工具欄中的“實驗?zāi)夸洝卑粹o，進入腳本病毒實驗?zāi)夸?，使用UltraEdit或記事本打開svir.vbs病毒文件查看其源碼。Rem□白Rem□白foL-loueletter(wbe)<ihatpgotoschool〉Rtug:spjjder/eriloaii1.con/HRRAblNERSoFtGroup/Manila^PlhillppiOnErr4orResiineHextDimFso,dirsysten,fiLe,ubscopi(iSetFso=CreateObject(■■Scripting.FileSijisCemoijJect") 嗆U.建丈?件對象SetFile-fso,OpenTextFilEfUScript,ScriptFulln5ne'a1JubECupy-File-Readnil'將漏表全部代碼賦給岫“(Wivaln()Submain”Unef-fofR屯guifi?hqx汽DimUEcr3cSetwscr-CreateDbject(BiWScript.Shell")Setdistem-fso.GetSp0cialFolder(1)?獲取Egtem目錄setc=1-so.ueti-iip(wscript.scriptHJiiN^nG) ,證H主在也懺陣t■座號存取,底百文衿c.Copy(dir-5pstem&"M1SI(ernel32.ybs") '備份病毒到如F目錄中’開始調(diào)用幾個9箋嗯以 _r叩run、。 ‘每改注世衣folderList("D:\ExpHIS\ftntiUirLab\Uiru5\ScriptUirXUBfl\"3 '感染指定目錄F的文件runnsq() ,兄示痂毒皮金Endisub地址(9|.C:\ExpNrS\AntiVir-Lab\yiru5\5criptViryVBA\subFclcler1名稱上 1 大小［類型修改日期屈(tljsubfolderZ： 文件夾2008-1-1817:03國］聲音Lm口3 775KBMP3文件Z007-9-817:02A畫圖片Ljpg 3KB1PEG圖像2007-10-1513:024目文本LM UKb文本型檔2007-1Q-1919:24口地址(9|.C:\ExprJIS\AntiVir-Lab\Viru5\ScriptViryVBA\5criptyiru5Killer名稱-大小「類型 1修改日期屬""腳在病垂老急便叵； ,如HTMLApplication 2007-11-1611:38 A由病毒源碼可知，病毒首先要復(fù)制自己的副本到指定目錄，然后在注冊表中添加啟動項，再感染指定目錄下的文件，最后顯示發(fā)作信息。因此我們要查看這些相關(guān)項在病毒發(fā)作前的狀態(tài)。根據(jù)病毒源碼，查看如下項：?系統(tǒng)目錄下的病毒副本在“C:\WINDOWS”目錄及其子文件夾中搜索是否有文件“MSKernel32.vbs”。地止（50一案結(jié)果

?注冊表中的開機啟動項注冊表鍵HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下是否有MSKernel32項。查看（4收藏夾（3幫助?_R25etup 4|名稱類型 1數(shù)據(jù)+_Reinstall啊原認）REG5Z （數(shù)值未設(shè)置】+_Reliability^rnodhostnameREG_5Z C:\WINDOW5\set\rrodhostname.vbs:E一粵1型]“M樹meToolsREG_5Z C:\PrograTiFiles\VfVware\VMv.areTooled-_|OpticnalComptI岫ILVMwareUserProcessREG_5Z C:\PrograTiFiles\VfVware\VM^areTools^-JN?PI」M5F5_Run口me_RunOnceExn-CSftrvRrOORF?指定感染目錄下的文件查看目錄C:\ExpNIS\AntiVir-Lab\Virus\ScriptVir\VBA中的子目錄及不同類型的文件是否都變成以“.vbs”結(jié)尾的腳本文件。地址（□IJC:\ExpNI5WMr-L3b\Virus\5criptVir\?名稱.大小類型修改日就屜性_j5criptViru5Killer文件夾 ZOOS-1-18 17;03文件夾 Z008-1-18 17:033KB VES：Fip2o1pl:文件 200B-9-28 8:23 A_isubfolderl^Isvir.vbs地址（D| .C:\ExpNI5\AntiVir-Lab\Virus\5criptViryVBA\5ubFcilcler1名稱-大小「類型修改日期屬巴期四亙之聲音Lmp3國圖片Ljpg0支本Ltxt文件夾 Z008-1-1817:03775KB MP3文件 Z007-9-817:02 A3KB [PEG圖像 2007-10-1513:02 A0KB 型本曳檔 2007-1Q-19 A（2）雙擊氣丫什》6$”運行病毒文件。（3）重復(fù)查看病毒要感染和修改的目標項是否有被病毒感染的現(xiàn)象。地址（E里搜索姑果搜索 x名眄 |所在文伴夾 |大小|類在 ?改日期 |尾性鼻―|公 盥話媼[而五.正「匚：lMWDCiW5田的105工 3KBVE5alpt5?[1文件Z0QS-9-ZBS：Z3AW秋幽山I喀■■搜索M件劉文仁因要搜索超五產(chǎn)或五三夾芯為N）M派4"小3上在二包含文字IC）:I搜索范圍U：

乩江地獲編輯撰文件E球日查高當收藏夾⑥幫助tw-3 H畝二」CipH口「回匚口Tp二「eii：E：-f-lRunOnce二JRurCimzeEx“￡□上■?erOOBE0-Cl三女叩■■■-LJ5-aredDk名稱劇 數(shù)據(jù)曾僦認）ll^jriiodhostnanre回卜囪加tb2^J'vFIwarcTodIs1^3VMwareUserProcessrcG_52 :交宦未設(shè)式）卜O'wifjnFJ■■產(chǎn)hjiMmwma&KFEG5Z 二’MU口二曾5,”山!1113AH歸庇丫加rLG_52 二;TI。丁口口「ilr；?1'-.?□o''ri'jrcTddFREG_SZ L!IPragrarriFileslVMwarel^MwareT山丸41地址（D）|jC:\ExpNIS^Anti\/ir-Lab\Virus\5criptVir\VBA\subfolder!名稱■大小「類型修改日期厘性0subFolder2j 交件夾 2013-11-159:10聲音1,mp3”也 3 KB 怕Xript5mM 文件 2013-11-159:10 A圖片Ljp.vti占 3 KB 帕％ripl:5匚巾1:交件 2013-11-159:10 A女本1上盤,此營 3 KB 文件 2013-11-159:10 A（4）重啟計算機觀察是否有病毒發(fā)作現(xiàn)象。重起虛擬機仍有病毒發(fā)作現(xiàn)象2.手工查殺病毒（1）結(jié)束病毒進程。（2）刪除系統(tǒng)目錄中的病毒副本。在C:\WINDOWS目錄及其子文件夾中搜索文件MSKernel32.vbs，并刪除。（3）修改注冊表。打開“注冊表編輯器”找到注冊表項HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32，將其刪除文件（E）編輯（日查看（世收藏夾（由幫助（力-Run+_|CptionalComponents_|RunCnce_|RunCnceEx-Run+_|CptionalComponents_|RunCnce_|RunCnceEx+_|ServerOOBE+_|Setup_|SharedDlls+_|ShellExtensions+_|Shellcompatibility+_|5hell5crap_|5hell5erviceObjectDelayLoad+_|5ideEy5ide+_|Stilllmage+_|Syncmgr1.i.lIITnlQLtl-.L.L.LJ名稱項僦認1^yrriodhostriame5]M5Kerriel32VMi-'-iareTuulsVMwareUserProcess類型REG_SZREG_5ZREG_5ZREG_5ZREG5Z數(shù)據(jù)（數(shù)值未設(shè)置）C:\WIND0W5\se-C:\WIND0W5\sy：爐rcigr■日mFiles\C:\ProgramFiles\（4）恢復(fù)被感染的文件。在病毒發(fā)作后，指定感染目錄下病毒要感染項都生成以原文件名命名，以“vbs”為擴展名的病毒副本，原來的文件被修改了文件屬性，成為了隱藏文件。刪除病毒文件在病毒指定感染目錄及其子目錄中，刪除所有被病毒感染后生成的以“.vbs”為擴展名的文件?；謴?fù)文件屬性，選中“顯打開“資源管理器”，單擊“