VBS脚本病毒原理分析及防范(2)

　　3）改变某些对象的声明方法 譬如fso=createobject("scripting.filesystemobject")，我们将其改变为
fso=createobject("script"＋"ing.filesyste"＋"mobject")，这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。

　　4）直接关闭反病毒软件

　　VBS脚本功能强大，它可以直接在搜索用户进程然后对进程名进行比较，如果发现是反病毒软件的进程就直接关闭，并对它的某些关键程序进行删除。

　　5．Vbs病毒生产机的原理介绍

　　所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议，其实对脚本病毒而言它的实现非常简单。

　　脚本语言是解释执行的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得比较清楚。这样，先将病毒功能做成很多单独的模块，在用户做出病毒功能选择后，生产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因，这里不作详细介绍。

　　三、如何防范vbs脚本病毒

　　1．如何从样本中提取（加密）脚本病毒

　　对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍一下如何从病毒样本中提取加密VBS脚本病毒，这里我们以新欢乐时光为例。

　　用JediEdit打开folder.htt。我们发现这个文件总共才93行，第一行<BODY onload="vbscript:KJ_start()">，几行注释后，以<html>开始，</html>节尾。相信每个人都知道这是个什么类型的文件吧！

　　第87行到91行，是如下语句：

　　87：<script language=vbscript>
88：ExeString = "Afi FkSeboa)EqiiQbtq)S^pQbtq)AadobaPfdj)>mlibL^gb`p)CPK...；后面省略，很长！
89：Execute("Dim KeyArr(3),ThisText"&vbCrLf&"KeyArr(0) = 3"&vbCrLf&"KeyArr(1) = 3"&vbCrLf&"KeyArr(2) = 3"&vbCrLf&"KeyArr(3) = 4"&vbCrLf&"For i=1 To Len(ExeString)"&vbCrLf&"TempNum = Asc(Mid(ExeString,i,1))"&vbCrLf&"If TempNum = 18 Then"&vbCrLf&"TempNum = 34"&vbCrLf&"End If"&vbCrLf&"TempChar = Chr(TempNum + KeyArr(i Mod 4))"&vbCrLf&"If TempChar = Chr(28) Then"&vbCrLf&"TempChar = vbCr"&vbCrLf&"ElseIf TempChar = Chr(29) Then"&vbCrLf&"TempChar = vbLf"&vbCrLf&"End If"&vbCrLf&"ThisText = ThisText & TempChar"&vbCrLf&"Next") 90：Execute(ThisText) 91：＜/script＞