脚本病毒制作与分析

一、什么是脚本病毒

脚本病毒通常是 JavaScript 或 VBScript 等语言编写的恶意代码，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。

通过网页进行的传播的病毒较为典型，脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)、红色代码(Script.Redlof)等。

二、有何特点

1、脚本与Script，看到这些是不是得悠着点了

2、编写简易、破坏力大、感染力强、传播范围大、变种多

3、特征SET

Set fso=createobject("scripting.filesystemobject")  '创建一个文件系统对象

三、预防查杀

(1)禁用文件系统对象FileSystemObject。用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。

(2) 文件夹选项中设置：删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射,同时取消隐藏系统中已知文件类型的扩展名。

(3) 在Windows\system32目录中，找到WScript.exe，更改名称或者删除。

(4)设置浏览器：把“ActiveX控件及插件”的一切设为禁用，同时将系统的网络连接的安全级别设置至少为“中等”。

(5)禁止Outlook Express的自动收发邮件功能，这样将阻止蠕虫通过邮件的传播。

四、制作

要遵守规章制度的玩耍！

没错，站在巨人的肩膀上，从模仿到创新！

介绍个工具：病毒制作机

走个流程，请在虚拟机里研究：

最后，看下源码

****注意打开方式：右键->打开方式->记事本

五、分析

5.1 调试脚本病毒

工具：VS（visual studio）

首先用管理员方式启动VS，接着选择调试->选项，把脚本前面的勾给打上

然后在命令行输入：wscript.exe /x C:\Users\LS\Desktop\病毒.vbs

最后，可以在VS里调试了

5.2 分析源码

1、Set fso = wscript.createobject("scripting.filesystemobject")

文件系统是所有操作系统最重要的部分之一，脚本经常会需要对文件及文件夹进行访问和管理，在Vbs中对桌面和文件系统进行访问的顶级对象是FileSystemObject(FSO)，这个对象特别复杂，是vbs进行文件操作的核心。

使用CreateObject方法来创建FileSystemObject对象，Scripting 是类型库的名字，而 FileSystemObject 则是想要创建的对象的名字。

2、set dir1 = fs.getSpecialFolder(0)

3、

dim r    声明一个变量

set r=creatObject("Wscript.shell")

WScript.Shell是WshShell对象的ProgID，创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量。该对象有以下方法：

4、r.RegWrite "项路径\子键名\键值","键值数据" ,"键值类型"

5、so.getfile(wscript.scriptfullname).copy()

       将自身复制到指定文件夹