VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。同时,vbs脚本病毒还有反病毒软件技巧。下面佰佰安全网来介绍下vbs脚本病毒有哪些反病毒软件技巧。
1)自加密
譬如,新欢乐时光病毒,它可以随机选取密钥对自己的部分代码进行加密变换,使得每次感染的病毒代码都不一样,达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术,使得每次感染后的加密病毒的解密后的代码都不一样。
下面看一个简单的vbs脚本变形引擎(来自flyshadow)
Randomize
SetOf=CreateObject("Scripting.FileSystemObject")'创建文件系统对象
vC=Of.OpenTextFile(WScript.ScriptFullName,1).Readall'读取自身代码
fS=Array("Of","vC","fS","fSC")'定义一个即将被替换字符的数组
ForfSC=0To3
vC=Replace(vC,fS(fSC),Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65)))'取4个随机字符替换数组fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName,2,1).WritelinevC'将替换后的代码写回文件
上面这段代码使得该VBS文件在每次运行后,其Of,vC,fS,fSC四字符串都会用随机字符串来代替,这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。
2)巧妙运用Execute函数
用过VBS程序的朋友是否会觉得奇怪:当一个正常程序中用到了FileSystemObject对象的时候,有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高,但是有些VBS脚本病毒同样采用了FileSystemObject对象,为什么却又没有任何警告呢?原因很简单,就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些反病毒软件。
3)改变某些对象的声明方法
譬如fso=createobject("scripting.filesystemobject"),我们将其改变为
fso=createobject("script"+"ing.filesyste"+"mobject"),这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。
4)直接关闭反病毒软件
VBS脚本功能强大,它可以直接在搜索用户进程然后对进程名进行比较,如果发现是反病毒软件的进程就直接关闭,并对它的某些关键程序进行删除。
以上就是小编今天给带介绍的vbs脚本病毒的反病毒软件技巧的相关知识,想要知道怎样检测清除脚本病毒吗,那么,来佰佰安全网吧,这里有很全面的网络病毒小知识哦。
( 责任编辑: 邹兰 )