VBS脚本病毒原理分析及防范(1)

　　4．传播范围大。这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地。

　　5．病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改一下特征值，很多杀毒软件可能就无能为力。

　　6．欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，譬如，邮件的附件名采用双后缀，如.jpg.vbs，由于系统默认不显示后缀，这样，用户看到这个文件的时候，就会认为它是一个jpg图片文件。

　　7．使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的意愿，生产病毒的机器（当然，这里指的是程序），目前的病毒生产机，之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本是解释执行的，实现起来非常容易，具体将在我们后面谈及。

　　正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成新型脚本病毒变得非常容易。

　　1．vbs脚本病毒如何感染、搜索文件

　　VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：
以下是文件感染的部分关键代码：

　　Set fso=createobject("scripting.filesystemobject")　'创建一个文件系统对象
　　set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件（即病毒本身）
　　vbscopy=self.readall　　　' 读取病毒全部代码到字符串变量vbscopy…… 
　　set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件，准备写入病毒代码
　　ap.write vbscopy　　　　　　　' 将病毒代码覆盖目标文件
　　ap.close
　　set cop=fso.getfile(目标文件.path)　'得到目标文件路径
　　cop.copy(目标文件.path & ".vbs")　　' 创建另外一个病毒文件（以.vbs为后缀）
　　目标文件.delete(true)　　　'删除目标文件