VBS脚本病毒原理分析及防范(2)

　　4．vbs脚本病毒对抗反病毒软件的几种技巧

　　病毒要生存，对抗反病毒软件的能力也是必需的。一般来说，VBS脚本病毒采用如下几种对抗反病毒软件的方法：

　　1）自加密

　　譬如，新欢乐时光病毒，它可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术，使得每次感染后的加密病毒的解密后的代码都不一样。

　　下面看一个简单的vbs脚本变形引擎(来自flyshadow)

　　Randomize
Set Of = CreateObject("Scripting.FileSystemObject")　’创建文件系统对象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall　’读取自身代码
fS = Array("Of", "vC", "fS", "fSC") ’定义一个即将被替换字符的数组
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))) ’取4个随机字符替换数组fS中的字符串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC ’将替换后的代码写回文件

　　上面这段代码使得该VBS文件在每次运行后，其Of，vC，fS，fSC四字符串都会用随机字符串来代替，这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。

　　2）巧妙运用Execute函数

　　用过VBS程序的朋友是否会觉得奇怪：当一个正常程序中用到了FileSystemObject对象的时候，有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高，但是有些VBS脚本病毒同样采用了FileSystemObject对象，为什么却又没有任何警告呢？原因很简单，就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时，会检查程序中是否声明使用了FileSystemObject对象，如果采用了，这会发出报警。如果病毒将这段声明代码转化为字符串，然后通过Execute(String)函数执行，就可以躲避某些反病毒软件。