文件夹模仿者脚本病毒的分析和专杀程序的设计

2024年1月22日发(作者：)

论文题目：文件夹模仿者脚本病毒的分析和专杀程序的设计

文件夹模仿者脚本病毒的分析和专杀程序的设计

摘要： 近期,机房中出现了一些病毒,这些病毒被触发后可以隐藏掉用户的文件,而只显示一些指向病毒体的快捷方式,而且这些快捷方式伪装成用户的文件夹,因此误导用户点击从而触发病毒,或者使用户误拷贝了这些病毒产物,而失去了真正需要拷贝的软件或资料。

关键词： 文件夹 、脚本病毒、专杀

一、 脚本病毒

1.1脚本病毒的简介

脚本病毒一般是用VB Script 和 Java Script 脚本语言编写，并由Windows Scripting Host解释执行的一类病毒，脚本语言的功能非常强大，它们利用Windows系统开放性的特点，通过调用一些现成的Windows对象和组件，可以直接对文件系统、注册表等进行控制。脚本病毒正是利用脚本语言的这些特点，通过ActiveX进行网页传播，通过Outlook Express的自动发送邮件功能进行

邮件传播的一种恶意病毒，脚本病毒通常与网页相结合，将恶意的破坏性代码内嵌在网页中，一旦有用户浏览带毒网页，病毒就会立即发作，轻则修改用户注册表，更改默认网页或强迫用户访问某个站点；重则格式化硬盘，造成重大的数据损失。

1.2脚本病毒的特点

脚本病毒是用脚本语言编写的纯文本文件,这些文件没有固定的结构,操作系统在运行这些程序文件的时候,只是简单地从文件的第一行运行到文件的最后一行.因此病毒感染这种文件的时候就省去了复杂的文件结构判断和地址计算,使病毒的感染变得更加简单.由于Windows不断提高脚本语言的功能,脚本病毒也越来越具有破坏性.

(1)隐蔽性强

在我们的传统认识里,我们只要不从互联网上下载应用程序,从网上感染病毒的几率就会大大减少.脚本病毒的出现彻底改变了人们的这种看法.一不小心,用户就会在浏览网页的同时“中招”,造成无尽的麻烦.此外,隐藏在电子邮件里的脚本病毒往往具有双扩展名来迷惑用户.有的文件看似一个jpg图片,其实真正的扩展名是vbs脚本.

(2)传播性广

脚本病毒可以自我大量复制,可以通过互联网进行广泛传播,它基本上不依赖于文件就可以直接解释执行.脚本病毒同样具有反分析能力,也能够对病毒代码进行加密和变形.

(3)病毒变种多

与其他同类型的病毒相比,脚本病毒更容易产生变种.病毒制造者并不需要太多的编程知识,只需要对源代码进行稍加修改,就可以制造出新的变种病毒,让人们防不胜防。

二、病毒的发现

有学生向老师询问,为什么有用的资料老被杀毒软件误杀? 老师把学生的U盘插到自己电脑上后,

他打开U盘,杀毒软件显示警报,一看文件扩展名,是.NIK,该快捷方式指向一个VBS脚本。同时,U盘

里已经显示出了一堆具有隐藏属性的文件夹。于是, 老师对学生说这个确实是病毒,你真正的文件在这里,被病毒隐藏了。但是,问题出现了,杀掉病毒容易,可以通过杀毒软件,但是想要恢复这些被隐藏的文件,却不简单,因为我们点击右键后,隐藏属性前面的复选框是灰色的,无法选择。凭经验,知道这个是病毒给它添加了系统属性,因此不能直接通过右键去修改属性,只能通过命令行提示CMD. EXE的ATTRIB命令去修改属性,于是,想到了用批处理程序写个专杀工具。

三、病毒的分析

3.1病毒的触发方式

病毒有两种触发方式、第一种触发方式,通过可以触发, Windows 老用户都知道,如果在磁盘根目录下放一个文件,通过在里面设置自动运行语句,即可在用户双击磁盘时运行我们指定的程序。这个病毒就是利用这个原理,在用户双击盘符时运行它。第二种触发方式是,病毒创建的指向病毒的快捷方式伪装成文件夹,并且名称和用户的文件夹名称相同,诱导用户双击打开,即可运行该病毒。

3.2病毒的传播方式

病毒通过在U盘根目录下生成病毒本体和伪装成文件夹的指向病毒的快捷方式,以及生成指向病毒的文件来触发病毒。

3.3病毒的自启动

病毒通过注册表项使之能够自己随操作系统启动。该注册表项是“[KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]”。

四、专杀程序的设计

专杀程序用批处理程序.bat来编写,这是因为批处理程序用记事本编辑,不用编译,可以直接调用常见程序的命令行格式,非常方便。

专杀程序从杀除病毒本体及其生成文件、恢复用户文件、删除病毒启动项三个方面彻底清除病毒及其残留,并且恢复用户文件。

4.1杀除病毒及其创建的快捷方式,删除

首先,要利用Attrib命令恢复文件的属性,去掉它的隐藏属性和系统属性,以便我们对它进行清理。这里我们要使用通配符“*”,它可以用来代替文件名中的任意个英文或数字字符。

利用del命令删除所有病毒脚本及其快捷方式,病毒脚本采用Vbscript编写,因此,扩展名是.vbs由于病毒名是随机的,不是固定的,所以我们用*.vbs来代替所有病毒文件名,这样的副作用是删除U盘里所有的VBS文件,包括用户自己编写的VBS文件。不过,我们学校没有开设Vbscrip课程,一般情况下也没有学生学习这个语言,所以这个副作用可以忽略不计。

快捷方式文件的扩展名看不到,但是实际上,它是有扩展名的,就是.INK,因此,可以用*.Ink来表示所有的快捷方式文件。

/Q表示是安静模式,删除不要求确认。

把本程序放到U盘里,然后双击执行,这样当前目录就是U盘所

在盘符,因此我们不需要再加路径。

Attrib *.vbs s h

Attrib *. Ink s h

Attrib s h

Del /q

Del *.vbs /q

Del *.ink /q

4.2恢复用户文件

由于用户文件被隐藏,因此我们要恢复出所有被病毒隐藏的文件和文件夹,即把这些文件或文件夹去掉隐藏和系统属性。这里同样是用ATTRIB命令,不同的是这里我们要处理文件夹,所以加上/S/D参数,让它能够处理文件夹。

Attrib /D /S * -S H

4.3删除启动项

病毒或木马一般都会通过修改注册表等操作来实现开机自动启动,本文所分析的病毒就是通过注册表项“[HKEY_LOCAL_MACHINESOFTWAREMierosoftWindowsCurrentVtersionRun]”来启动。因此,我们要去掉该脚本病毒在注册表中的启动项。

Reg命令用来对注册表进行修改, reg delete子命令用来删除注册表中的项或值。/f用来强行删除不提示。HKLM表示”HKEY_LOCAL_MACHINr根键。Reg delete

HklmSOFTWAREMierosoftWindowsCurrentVesroinRunqqpCtray/va/F

4.4实际效果测试

把这些代码在记事本上输人后,保存为“’’,如果有人U盘中此病毒,把本程序放到中毒U盘中,运行它即可杀掉该脚本病毒并恢复被隐藏的文件和文件夹。经实际检验,它能够起到清除病毒并恢复文件的目的。

4.5脚本病毒的防范建议

(1)养成良好的上网习惯,不浏览不熟悉的网站,尤其是一些个人主页和色情网站,从根本上减少病毒侵害的机会;

(2)安装杀毒软件或安装个人防火墙,在上网前打开“实时监控功能”,尤其要打开“网页监控”和“注册表监控”两项功能;

(3)将正常的注册表进行备份,或者下载注册表修复程序,一旦出现异常情况,马上进行相应的修复;

(4)提高IE的安全级别,将IE的安全级别设置为“高”;

(5)如果发现有不良网站,立刻向有关部门报告,同时将该网站添加到防火墙的“黑名单”中.

参考文献

[1] 韩莜卿,王建峰,钟玮.计算机病毒分析与防范大全[M].北京:电子工业出版社, 2006.

[2] 宁葵.访问控制安全技术及应用[M].北京:电子工业出版社, 2005.

[3] 李旭华.计算机病毒机制与防范[M].重庆：重庆大学出版社，2000.