脚本病毒是主要采用脚本语言设计的计算机病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)脚本病毒通常有如下前缀:VBS、JS(表明是脚本文件格式),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。常见脚本文件后缀:.VBS、.VBE、.JS、.BAT、.CMD。
防止恶意脚本还有一些通用的方法:
1、可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。
小编了解到,常见的网页恶意脚本的检测技术包括客户端蜜罐技术,静态代码检测和动态行为检测。
1) 客户端蜜罐技术。客户端蜜罐主要是针对客户端软件存在的漏洞,主动寻找可能的攻击行为。在与服务器的交互过程中,客户端蜜罐时刻监测系统的变化,引入各种检测方法来判定是否有恶意攻击行为的发生。这种方法的缺陷是需要花大量时间,分析性能的提升也比较困难。北大的张慧琳等提出基于网页动态视图的网页恶意脚本检测方法,主要是重构网页动态视图,检测方法基于客户端蜜罐技术,模拟存在漏洞的插件被攻击,从而通过捕获这些攻击行为达到检测的目的。
2) 静态代码检测。静态代码检测技术是根据已知网页恶意脚本样本库程序代码本身的特点来检测未知网页程序是否为网页恶意脚本程序,主要是对网页进行解析,提取网页中的静态内嵌链接和本地脚本,再通过一定的技术筛选特征集,构建相应的模型,检测未知网页程序的代码特征,并将这些特征和筛选出的特征集进行比较,若代码特征相匹配则将网页程序定义为网页恶意脚本,反之,则为普通网页程序。
所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议,其实对脚本病毒而言它的实现非常简单。
脚本语言是解释执行的、不需要编译,程序中不需要什么校验和定位,每条语句之间分隔得比较清楚。这样,先将病毒功能做成很多单独的模块,在用户做出病毒功能选择后,生产机只需要将相应的功能模块拼凑起来,最后再作相应的代码替换和优化即可。
比如,VBS病毒原理就是,它先将病毒自身代码赋给字符串变量,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后把目标文件删除,只要一打开,病毒就自动运行。
因此,为了预防脚本病毒,佰佰安全网给大家以下建议:
我们就以VBS脚本病毒为例子进行说明。VBS脚本病毒利用Windows系统地开放性特点,通过调用一些现成地Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
1、编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2、破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3、感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
小编了解到,脚本病毒通常是JavaScript代码编写的恶意代码,一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
但是在脚本应用无所不在的今天,脚本病毒却成为危害最大、最为广泛的病毒,特别是当它们和一些传统的进行恶性破坏的病毒如CIH相结合时其危害就更为严重了。随着计算机系统软件技术的发展,新的病毒技术也应运而生,特别是结合脚本技术的病毒更让人防不胜防,由于脚本语言的易用性,并且脚本在现在的应用系统中特别是Internet应用中占据了重要地位,脚本病毒也成为互联网病毒中最为流行的网络病毒。
下面佰佰安全网给大家分享一些预防恶意脚本的通用版办法:
1、可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。
2、在IE设置中将ActiveX插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。方法是:打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。不过这样做以后,一些制作精美的网页我们也无法欣赏到了。
3、及时升级系统和IE并打补丁。选择一款好的防病毒软件并做好及时升级,不要轻易地去浏览一些来历不明的网站。这样大部分的恶意代码都会被我们拒之“机”外。