VBS脚本病毒原理分析及防范(1)

　　上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。

　　下面我们具体分析一下文件搜索代码：

　　'该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本
　　sub scan(folder_)　　'scan函数定义，
　　on error resume next　　 '如果出现错误，直接跳过，防止弹出错误窗口
　　set folder_=fso.getfolder(folder_)
　　　　 set files=folder_.files　　　' 当前目录的所有文件集合
　　　　 for each file in filesext=fso.GetExtensionName(file)　　'获取文件后缀
　　　　 ext=lcase(ext)　　　　'后缀名转换成小写字母
　　　　　if ext="mp5" then　　'如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，最好是非正常后缀名 ，以免破坏正常程序。
　　　　Wscript.echo (file)
　　　end if
　　next
　　set subfolders=folder_.subfolders
　　for each subfolder in subfolders　　'搜索其他目录；递归调用
　　　scan( ) 
　　　scan(subfolder)
　　next
　　end sub

　　上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。

　　2．vbs脚本病毒通过网络传播的几种方式及代码分析

　　VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：