欢迎您访问科普小知识本站旨在为大家提供日常生活中常见的科普小知识,以及科普文章!
您现在的位置是:首页  > 安全

vbs脚本病毒有哪些反病毒软件技巧

科普小知识2021-12-02 03:29:43
...

VBS病毒是用VBScript编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。同时,vbs脚本病毒还有反病毒软件技巧。下面来介绍下vbs脚本病毒有哪些反病毒软件技巧。

1)自加密

譬如,新欢乐时光病毒,它可以随机选取密钥对自己的部分代码进行加密变换,使得每次感染的病毒代码都不一样,达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术,使得每次感染后的加密病毒的解密后的代码都不一样。

下面看一个简单的vbs脚本变形引擎(来自flyshadow)

Randomize

SetOf=CreateObject("Scripting.FileSystemObject")'创建文件系统对象

vC=Of.OpenTextFile(WScript.ScriptFullName,1).Readall'读取自身代码

fS=Array("Of","vC","fS","fSC")'定义一个即将被替换字符的数组

ForfSC=0To3

vC=Replace(vC,fS(fSC),Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65)))'取4个随机字符替换数组fS中的字符串

Next

Of.OpenTextFile(WScript.ScriptFullName,2,1).WritelinevC'将替换后的代码写回文件

上面这段代码使得该VBS文件在每次运行后,其Of,vC,fS,fSC四字符串都会用随机字符串来代替,这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。

2)巧妙运用Execute函数

用过VBS程序的朋友是否会觉得奇怪:当一个正常程序中用到了FileSystemObject对象的时候,有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高,但是有些VBS脚本病毒同样采用了FileSystemObject对象,为什么却又没有任何警告呢?原因很简单,就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些反病毒软件。

3)改变某些对象的声明方法

譬如fso=createobject("scripting.filesystemobject"),我们将其改变为

fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。

4)直接关闭反病毒软件

VBS脚本功能强大,它可以直接在搜索用户进程然后对进程名进行比较,如果发现是反病毒软件的进程就直接关闭,并对它的某些关键程序进行删除。