什么是vbs脚本病毒
VBS脚本病毒是用VBScript编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。
VBS脚本病毒具有如下几个特点:
1、编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2、破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3、感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
4、传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
5、病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
6、欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
7、使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
vbs病毒的原理是什么
小编了解到,vbs病毒的原理是它先将病毒自身代码赋给字符串变量,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后把目标文件删除,只要一打开,病毒就自动运行。
VBS病毒是用VB Script编写的,它利用Windows系统的开放性,通过调用现有的Windows对象、组件,程序可以直接控制文件、系统、注册表,功能非常强大。VBS脚本病毒通常的传播方式有:通过Email附件、IRC聊天通道、局域网共享传播,还可以通过感染htm、jsp、php 、asp等网页文件传播,传播范围比较广泛,它的变种多,迷惑性很强,所以电脑如果中了这种病毒就会很麻烦。
当然VBS脚本病毒也有它自己致命的不足之处:
1、VBS脚本病毒要通过WSH(Windows Scripting Host,Windows脚本宿主)来解释执行。
2、VBS脚本病毒的运行要其关联程序文件“Wcsript.exe”的支持。
3、VBS脚本病毒在网页上的传播要“Active控件及插件”的支持。
4、VBS脚本病毒通过电子邮件传播需要OE(OutLook Express,Windows自带的邮件服务程序)的支持。
针对VBS脚本病毒以上的特点,我们就可以对症下药地做好一些防范措施,把VBS脚本病毒的危害程度降到最低:
1、不可缺少的东西:杀毒软件。在病毒横行的网络上,一台没有杀毒软件的机子是不可思议的。即使有时候它的表现也不尽如人意(误报、漏报、杀毒不彻底等),但它至少给你提供了一个相对受保护的空间。需要说明的一点是,一款再出色的杀毒软件,如果不及时升级的话,也一样形同虚设,面对VBS脚本病毒的“铁蹄”,它也逃不掉遭受“践踏”的命运。另外,病毒防火墙应该随机自启动。
2、不得不防的地方:局域网。经常有朋友在论坛发贴问“为什么我公司的机器中了‘新欢乐时光’,用专杀工具杀完后又重新感染,后来才发现杀毒时没有断开局域网连接,也没有关闭可写的共享,导致从局域网的其他机子上又很快重新感染。除非在必要的情况下,开可写的共享是一件非常危险的事情。VBS脚本病毒在局域网内的传播速度出奇的快,只要它感染了一台机子,不管被感染的是不是服务器,只要其他任何一台机子上开了可写的共享,它就可以以最快的速度对其进行感染。Windows2000开的共享默认就是可写的,一定要改为“只读”。
3、不得不出的杀手锏:治标治本。尽管VBS脚本病毒有那么多“可怕”的地方,但“一切病毒都是纸老虎”(“非典”也不例外),病毒要生存也需要载体,它们也有致命的弱点,这就使得我们可以有效的做好防范工作。
在IE中禁用Active控件及插件,使得网页内包含的VBS脚本病毒不能被执行。方法(只针对IE):打开IE,“工具”----“Internet 选项”----“安全”----“自定义级别”,把“Active控件及插件”的一切选项设置为禁用(如图1)。这样还可以预防大部分的恶意网页的攻击。
最后,取消OE的自动发送邮件功能,切断VBS脚本病毒通过病毒电子邮件传播的途径;并且设置安全的邮件规则:若邮件带有附件,将它移动到指定的文件夹。方法:打开OE,“工具”----“规则和通知”----“电子邮件规则”----“新建规则”----“由空白规则开始” ,然后点“下一步”开始配置一条新规则。在“检测条件”中选择“带有附件”,然后在“如何处理该邮件”中选择“将它移动到指定的文件夹”(如图2),然后在“编辑规则说明”中选则好文件夹比如草稿夹。这样当任何带有附件的邮件到达时,OE会自动将该邮件转移到你设置的文件夹里,只需要对该文件夹进行杀毒就可以了。
这里告诉大家一个绝招,各种Windows系统适用:
分别删除VBS脚本在Windows环境和DOS环境的的支持程序:Wscript.exe和Cscript.exe,都在system32目录下,这样就彻底禁止了所有VBS脚本的运行,无论是有毒的还是没毒的——通常没人会用到VBS脚本的,放心删吧。
4、不得不注意的事项:养成两好的使用电脑的习惯。有资料显示,受过安全培训的员工,其公司的机子受黑客及病毒攻击成功的可能性远远低于没有受过培训的。所以养成良好的电脑使用习惯提高个人的网络安全意识是非常有必要的。
vbs脚本病毒具有哪些特点
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
1、编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2、破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3、感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
4、传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
5、病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
6、欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
7、使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
中了vbs脚本病毒后怎么办
小编认为,电脑中了vbs病毒,可采取以下方法:
1、升级杀毒软件到最新;
2、关闭系统还原,防止病毒复活;
3、重启,按动F8,进入安全模式;
4、安全模式里,全盘查杀病毒;
5、速度很慢,请耐心等待;
6、结束后,正常重启,故障排除。
7、也可以下载一个windows清理助手,查杀木马、病毒很有效。
下面佰佰安全网给大家分享一些防止恶意脚本通用的方法:
1、可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。
2、在IE设置中将ActiveX插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。方法是:打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。不过这样做以后,一些制作精美的网页我们也无法欣赏到了。
3、及时升级系统和IE并打补丁。选择一款好的防病毒软件并做好及时升级,不要轻易地去浏览一些来历不明的网站。这样大部分的恶意代码都会被我们拒之“机”外
怎样防范vbs脚本病毒
1)禁用文件系统对象FileSystemObject
方法:用regsvr32scrrun.dll/u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。
还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项,咔嚓即可。
2)卸载WindowsScriptingHost
在Windows98中(NT4.0以上同理),打开[控制面板]→[添加/删除程序]→[Windows安装程序]→[附件],取消“WindowsScriptingHost”一项。3)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
点击[我的电脑]→[查看]→[文件夹选项]→[文件类型],然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
4)在Windows目录中,找到WScript.exe,更改名称或者删除
如果你觉得以后有机会用到的话,最好更改名称好了,当然以后也可以重新装上。
5)要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器
我们首先打开浏览器,单击菜单栏里“Internet选项”安全选项卡里的[自定义级别]按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。呵呵,譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了。
6)禁止OE的自动收发邮件功能
7)由于蠕虫病毒大多利用文件扩展名作文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名
Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。
8)将系统的网络连接的安全级别设置至少为“中等”
它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。
营业执照公示信息