病毒檔案之腳本病毒解析

 

這類病毒的本質(zhì)是利用腳本解釋器的檢查漏洞和用戶權(quán)限設(shè)置不當(dāng)進(jìn)行感染傳播；病毒本身是ascii碼或者加密的ascii碼，通過(guò)特定的腳本解釋器執(zhí)行產(chǎn)生規(guī)定行為，因其行為對(duì)計(jì)算機(jī)用戶造成傷害，因此被定性為惡意程序。最常見(jiàn)的行為就是修改用戶主頁(yè)，搜索頁(yè)，修改用戶收藏夾，在每個(gè)文件夾下放置自動(dòng)執(zhí)行文件拖慢系統(tǒng)速度等；比較出名的如美利莎郵件病毒、新歡樂(lè)時(shí)光病毒、office的宏病毒等都屬于這類。

 

腳本病毒淺析：

 

為了完成一些自動(dòng)化的任務(wù)，需要用程序方式來(lái)實(shí)現(xiàn)。但復(fù)雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率，方便用戶操作，加強(qiáng)系統(tǒng)特性，于是許多軟件/操作系統(tǒng)都預(yù)留了接口給用戶，用簡(jiǎn)單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的，不編譯，直接解釋執(zhí)行，在調(diào)試/修改使用上相當(dāng)簡(jiǎn)便，雖然犧牲一定效率，但是換來(lái)了易用性。這本是一個(gè)良好的愿望，但太多的時(shí)候，這沒(méi)有起到積極的作用，反而為腳本病毒編寫者提供了良機(jī)。

 

腳本病毒實(shí)例：

 

由于用戶缺乏安全意識(shí)用錯(cuò)誤的權(quán)限登陸，導(dǎo)致ie中的解釋器使用wsh可以操作硬盤上的文件和注冊(cè)表，而javascript和vbscript調(diào)用wsh是很容易的事情——于是惡意腳本的作者只需要讓你訪問(wèn)該頁(yè)面，就能在你本地寫上一些惡意的腳本，在注冊(cè)表里修改你的主頁(yè)/搜索項(xiàng)了。

 

但是

 

1.利用ie的activex檢查漏洞，則可以在不提示地情況下從網(wǎng)絡(luò)上下載文件并自動(dòng)執(zhí)行——這就成了木馬攻擊的前奏曲；

 

2.利用mime頭漏洞，則可以用一個(gè)以jpg結(jié)尾的url中，指向一個(gè)事實(shí)上的web頁(yè)，然后在web頁(yè)中內(nèi)嵌圖片+惡意代碼的方式迷惑計(jì)算機(jī)用戶；

 

3.利用outlook自動(dòng)讀去eml的特性和mime頭檢查不嚴(yán)格來(lái)執(zhí)行惡意2進(jìn)制代碼；

 

4.利用本地硬盤上有執(zhí)行autorun.inf的特性（這功能本來(lái)是光驅(qū)用的，我們的光盤之所以放進(jìn)去就能自動(dòng)讀出程序，就是光盤上有個(gè)名為autorun.inf文件起的作用，它是個(gè)文本文件，各位可以看看）把一些需要加載的程序?qū)懙皆撐募聦?dǎo)致每次訪問(wèn)該分區(qū)的時(shí)候就會(huì)自動(dòng)運(yùn)行；

 

5.利用windows下會(huì)優(yōu)先讀取folder.htt和desktop.ini的特性，將惡意代碼寫入其中，導(dǎo)致訪問(wèn)任何一個(gè)文件夾的時(shí)候都會(huì)啟動(dòng)該病毒，再配合上鎖定注冊(cè)表的功能，殺除起來(lái)異常麻煩——不復(fù)雜，但是相當(dāng)煩瑣，一不留意沒(méi)殺干凈一處，又導(dǎo)致死灰復(fù)燃，前功盡棄。

 

腳本病毒自查：

 

上面有提到，這類病毒一般以搗亂居多，所以特別容易發(fā)現(xiàn)。而其另一個(gè)作用是作為木馬進(jìn)駐系統(tǒng)的先遣部隊(duì)，利用瀏覽器漏洞等達(dá)到下載木馬文件到本地硬盤，并修改啟動(dòng)項(xiàng)，達(dá)到下次啟機(jī)運(yùn)行的目的。因此一旦發(fā)現(xiàn)木馬的同時(shí)，也可以檢查一下是不是有些可疑的腳本文件。

 

腳本病毒查殺：

 

這類病毒一般來(lái)說(shuō)由于其編寫靈活，源代碼公開，所以衍生版本格外地多；殺毒軟件/木馬殺除軟件對(duì)待這類病毒大多沒(méi)用。而由于腳本病毒（除宏病毒外）大多是獨(dú)立文件，只要將這些文件查找出來(lái)刪除掉就行了。不過(guò)這里值得留意的是，利用微軟的瀏覽器的漏洞，在點(diǎn)擊選擇某些文件的同時(shí)就自動(dòng)執(zhí)行了，甚至打開瀏覽器的同時(shí)腳本病毒就開始駐留感染——這樣是無(wú)法殺除干凈的。

 

正確的做法是使用其他第三方的資源瀏覽器，例如Total Command就是一個(gè)非常不錯(cuò)的選擇。查殺大致過(guò)程如下：首先，在資源瀏覽器——工具——文件夾選項(xiàng)中，將“使用Windows傳統(tǒng)風(fēng)格的桌面”取消掉，在桌面上點(diǎn)右鍵，點(diǎn)“屬性”——“桌面設(shè)置”，將使用活動(dòng)桌面取消，接著查殺可疑對(duì)象；常見(jiàn)查殺對(duì)象：各個(gè)根分區(qū)下的autorun.inf，各個(gè)目錄下的desktop.ini和folder.htt（有幾個(gè)是系統(tǒng)自帶的，不過(guò)刪除了也無(wú)關(guān)系的），這一步最好采用第三方的資源瀏覽器，例如前面介紹的Total Command來(lái)完成。在這一步，最忌諱查殺不凈，即使有一個(gè)病毒遺漏，很快就又遍布各個(gè)文件夾內(nèi)了。關(guān)于郵件病毒的殺除使用專殺工具就行了。

 

腳本病毒殘留：

 

純粹腳本病毒在殺除后不會(huì)有任何殘留，但由于目前的病毒大都采用復(fù)合形態(tài)，捆綁多種傳染方式和多種特性，因此不少腳本病毒只是將用戶機(jī)器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其后進(jìn)入系統(tǒng)，因此在殺除掉腳本病毒后，非常有必要連帶著檢查系統(tǒng)中是否已經(jīng)有了木馬和蠕蟲病毒。

 

腳本病毒防御：

 

腳本病毒的特性之一就是被動(dòng)觸發(fā)——因此防御腳本病毒最好的方法是不訪問(wèn)帶毒的文件/web網(wǎng)頁(yè)，在網(wǎng)絡(luò)時(shí)代，腳本病毒更以欺騙的方式引誘人運(yùn)行居多。由于ie本身存在多個(gè)漏洞，特別是執(zhí)行activex的功能存在相當(dāng)大的弊端，最近爆出的重大漏洞都和它有關(guān)，包括mozilla的windows版本也未能幸免。因此個(gè)人推薦使用myie2軟件代替ie作為默認(rèn)瀏覽器，因?yàn)閙yie2中有個(gè)方便的功能是啟用/禁用web頁(yè)面的activex控件，在默認(rèn)的時(shí)候，可以將頁(yè)面中的activex控件全部禁用，待訪問(wèn)在線電影類等情況下根據(jù)自己的需要再啟用。關(guān)于郵件病毒，大多以eml作為文件后綴的，如果您單機(jī)有用outlook取信的習(xí)慣，最好準(zhǔn)備一個(gè)能檢測(cè)郵件病毒的殺毒軟件并及時(shí)升級(jí)。如果非必要，將word等office軟件中的宏選項(xiàng)設(shè)置為禁用。

 

腳本病毒是目前網(wǎng)絡(luò)上最為常見(jiàn)的一類病毒，它編寫容易，源代碼公開，修改起來(lái)相當(dāng)容易和方便，而且往往給用戶造成的巨大危害。所以經(jīng)常上網(wǎng)的用戶要多多留意，不要讓腳本病毒纏身。