病毒及***防護手冊之六

4．腳本病毒

　　這類病毒編寫最爲簡單，但形成的危害很是大。咱們常見的瀏覽了xx站點就被改了主頁，在收藏夾裏被添加上不少無謂的東西，就是拜這類病毒所賜。

　　病毒描述：這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶權限設置不當進行感染傳播；病毒自己是 ascii碼或者加密的ascii碼，經過特定的腳本解釋器執行產生規定行爲，因其行爲對計算機用戶形成傷害，所以被定性爲惡意程序。最多見的行爲就是修改用戶主頁，搜索頁，修改用戶收藏夾，在每一個文件夾下放置自動執行文件拖慢系統速度等；比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病 毒等都屬於這類。

　　病毒淺析：爲了完成一些自動化的任務，須要用程序方式來實現。但複雜的程序編寫又不是非程序人員可以勝任的。爲了提升工做效率，方便用戶操做，增強系統特性，因而許多軟件/操做系統都預留了接口給用戶，用簡單的方法編寫一些完成必定功能的小程序。程序自己是 ascii碼的，不編譯，直接解釋執行，在調試/修改使用上至關簡便，雖然犧牲必定效率，可是換來了易用性。這本是一個良好的願望，但太多的時候，這沒有起到積極的做用，反而爲腳本病毒編寫者提供了良機。

　　以web病毒爲例，因爲用戶缺少安全意識用錯誤的權限登錄，致使ie中的解釋器使用wsh能夠操做硬盤上的文件和註冊表，而 javascript和vbscript調用wsh是很容易的事情——因而惡意腳本的做者只須要讓你訪問該頁面，就能在你本地寫上一些惡意的腳本，在註冊表裏修改你的主頁/搜索項了。而利用ie的activex檢查漏洞，則能夠在不提示地狀況下從網絡上下載文件並自動執行——這就成了******的前奏曲；利用mime頭漏洞，則能夠用一個以jpg結尾的url中，指向一個事實上的web頁，而後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶；利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼；利用本地硬盤上有執行autorun.inf 的特性（這功能原本是光驅用的，咱們的光盤之因此放進去就能自動讀出程序，就是光盤上有個名爲autorun.inf文件起的做用，它是個文本文件，各位 能夠看看）把一些須要加載的程序寫到該文件下致使每次訪問該分區的時候就會自動運行；利用windows下會優先讀取folder.htt和 desktop.ini的特性，將惡意代碼寫入其中，致使訪問任何一個文件夾的時候都會啓動該病毒，再配合上鎖定註冊表的功能，殺除起來異常麻煩——不復 雜，可是至關煩瑣，一不留意沒殺乾淨一處，又致使死灰復燃，前功盡棄。

　　病毒自查：上面有提到，這類病毒通常以搗亂居多，因此特別容易發現。而其另外一個做用是做爲***進駐系統的先遣部隊，利用瀏覽器漏洞等達到下載***文件到本地硬盤，並修改啓動項，達到下次啓機運行的目的。所以一旦發現***的同時，也能夠檢查一下是否是有些可疑的腳本文件。

　　病毒查殺：這類病毒通常來講因爲其編寫靈活，源代碼公開，因此衍生版本格外地多；殺毒軟件/***殺除軟件對 待這類病毒大多沒用。而因爲腳本病毒（除宏病毒外）大可能是獨立文件，只要將這些文件查找出來刪除掉就好了。不過這裏值得留意的是，利用微軟的瀏覽器的漏洞，在點擊選擇某些文件的同時就自動執行了，甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是沒法殺除乾淨的。

　　正確的作法是使用其餘第三方的資源瀏覽器，例如Total Command就是一個很是不錯的選擇。查殺大體過程以下：首先，在資源瀏覽器——工具——文件夾選項中，將「使用Windows傳統風格的桌面」取消 掉，在桌面上點右鍵，點「屬性」——「桌面設置」，將使用活動桌面取消，接着查殺可疑對象；常見查殺對象：各個根分區下的autorun.inf，各個目錄下的desktop.ini和folder.htt（有幾個是系統自帶的，不過刪除了也無關係的），這一步最好採用第三方的資源瀏覽器，例如前面介紹的 Total Command來完成。在這一步，最忌諱查殺不淨，即便有一個病毒遺漏，很快就又遍及各個文件夾內了。關於郵件病毒的殺除使用專殺工具就好了。

　　病毒殘留：純粹腳本病毒在殺除後不會有任何殘留，但因爲目前的病毒大都採用複合形態，捆綁多種傳染方式和多種特性，所以很多腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力***、蠕蟲尾隨其後進入系統，所以在殺除掉腳本病毒後，很是有必要連帶着檢查系統中是否已經有了***和蠕蟲病毒。

　　病毒防護：腳本病毒的特性之一就是被動觸發——所以防護腳本病毒最好的方法是不訪問帶毒的文件/web網 頁，在網絡時代，腳本病毒更以欺騙的方式引誘人運行居多。因爲ie自己存在多個漏洞，特別是執行activex的功能存在至關大的弊端，最近爆出的重大漏 洞都和它有關，包括mozilla的windows版本也未能倖免。所以我的推薦使用myie2軟件代替ie做爲默認瀏覽器，由於myie2中有個方便的 功能是啓用/禁用web頁面的activex控件，在默認的時候，能夠將頁面中的activex控件所有禁用，待訪問在線電影類等狀況下根據本身的須要再 啓用。關於郵件病毒，大多以eml做爲文件後綴的，若是您單機有用outlook取信的習慣，最好準備一個能檢測郵件病毒的殺毒軟件並及時升級。若是非必要，將word等office軟件中的宏選項設置爲禁用。腳本病毒是目前網絡上最爲常見的一類病毒，它編寫容易，源代碼公開，修改起來至關容易和方便，並且每每給用戶形成的巨大危害。

　　以上4類程序的介紹，爲了下降學習難度，我是單態方式來介紹的。事實上目前的病毒大多以具備上面4類程序中的2到3類的特徵，所以不管感染，傳播，殺除的困難都大大增長。例如發文前夕的mydoom新變種病毒的分析中：它利用系統漏洞/郵件羣發/共享漏洞方式傳播（具有了蠕蟲、腳本病毒和新型病 毒的傳播特性），進駐用戶系統後上載自身並運行（***特性），獲取用戶本地outlook中的地址本（***特性），經過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項（調用系統程序，***功能），再主動給地址本中的每一個程序發出email（***特性）。對待這樣一個病毒，不管是系 統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email，均可能致使中毒。關於中毒途徑的分析，留待下一站《***防護之旅》內一併介紹。

　　在從第一個病毒出現到如今，已經有整整半個世紀了，病毒的發展突飛猛進，令查殺的困難大大增長，形成的損失也異常巨大。或許，計算機病毒這個幽靈，從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在，那麼病毒就不會消亡。病毒之戰，恐怕會在從此的日子裏越演越烈……