vbs脚本病毒的病毒原理是怎样的

2024年3月11日发(作者：)

vbs脚本病毒的病毒原理是怎样的

电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

这篇文章主要介绍了对一个vbs脚本病毒的病毒原理分析的相关资料,非常不错，具有参

考借鉴价值，需要的朋友可以参考下

功能分析

从头开始看吧。显示一些配置信息，包括了服务器的域名。可以查到服务器是美国的，

尝试ping了下，ping不通，可能是服务器作了设置不让人ping、也可能是服务器已经

不用了、也有可能是我国的防火长城直接墙掉了。。。

然后是一些之后要用到的变量，这里不作过多的解释。

之后就是code start的部分了。然后由于里面调用了各种函数，所以这里按执行的顺

序给调用的函数编号，以便阅读，不然会感觉很凌乱的。

这里先是调用了instance函数。

ce函数

给之前的一个参数usbspreading赋值，并对注册表进行写操作

在执行完了instance函数后，会进入一个while true的死循环，不断从服务器读取

命令，然后执行。在进入while里面后，先是调用install过程。

l过程

在install中，又调用了upstart，再进去看看。

2.1 upstart过程

这里通过注册表将病毒脚本设置成开机自启动。

然后从upstart过程出来继续看看install剩下的代码，有点多，直接把功能告诉大

家。

扫描所有的驱动,如果类型号是1,会有所动作,为1时代表可移动设备,这是想感染优盘

之类的可移动设备。它将脚本拷贝到可移动设备的根目录下,然后设置文件属性,2为隐藏

文件,可读写,4为系统文件,可读写。

然后获取可移动设备根目录所有的文件,如果不是lnk文件, 将其设置为隐藏的系统文

件,可读写。然后创建相应的快捷方式,其指向的程序是,其参数是"/c start " &

replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(,"

", chrw(34) & " " & chrw(34)) &"&exit",意思是点击该快捷方式后会先启动那个脚本病

毒,然后再启动真正的文件,之后退出cmd。

然后对根目录下的文件夹作同样的操作。至此,对子程序install的分析到此结束,接下

来分析函数程序post。

函数

可以看到post的功能是发送被感染机器的相关信息到服务器并从服务器获取病毒制

作者的命令数据。在里面有调用了函数information以获取被感染机的相关信息,再看下它

是怎么实现的。

3.1 information函数

information函数用来获取硬盘序列号、系统相关信息和电脑上安装的安全软件。

现在从post函数中执行完出来，得到服务器的命令。然后就是对命令的解析执行，

接下来是一个vbs中的结构，来对不同的命令解析执行。

相关阅读：2018网络安全事件：

一、英特尔处理器曝“Meltdown”和“Spectre漏洞”

2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新

型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都

受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程

序从其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它

一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模 Memcached DDoS 攻击

2018年2月，知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻

击，流量峰值高达1.35 Tbps。然而，事情才过去五天，DDoS攻击再次刷新纪录，美国

一家服务提供商遭遇DDoS 攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的

Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现，截止2018年

2月底，中国有2.5万 Memcached 服务器暴露在网上 。

三、苹果 iOS iBoot源码泄露

2018年2月，开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone

操作系统的核心组件源码，泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。

iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的

iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示，这是 iOS 历

史上最严重的一次泄漏事件。

四、韩国平昌冬季奥运会遭遇黑客攻击

2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，此次攻击造成网络中

断，广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作，许多观众无法打印

开幕式门票，最终未能正常入场。

五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪

2018年2月中旬，工业网络安全企业 Radiflow 公司表示，发现四台接入欧洲废水处

理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了

废水处理设备中的 HMI 服务器 CPU，致欧洲废水处理服务器瘫痪 。

Radiflow 公司称，此次事故是加密货币恶意软件首次对关键基础设施运营商的运营

技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备，之所以导致废水处

理系统瘫痪，是因为这种恶意软件会严重降低 HMI 的运行速度。