扫一扫
关注微信公众号

VBS脚本病毒的特点及防范
2006-04-03   VBS

网络上病毒泛滥的今天,VBS脚本病毒也扮演着重要的角色,从“新欢乐时光”到“爱虫”,从“爱情森林”到“库尔尼科娃”,把个Internet搞的乱七八糟的。虽然蠕虫和木马也越来越猖狂,但现在VBS脚本病毒仍然声势浩大的活跃在这个舞台上。最近在论坛上又有很多朋友问如何消灭这可恶的VBS脚本病毒,回复帖子都成了一件非常艰巨的程序化的任务。因此,红色代码特地写了这篇有关VBS病毒防范的文章,希望能对各位朋友有所帮助。

  仔细分析一下,VBS脚本病毒有以下几个特点:

  1,编写简单,变种繁多。由于VBS脚本病毒是由VB语言编写的,所以即使你原来什么都不懂,也可以在很短的时间内研究学习,编写出一个属于自己的VBS脚本病毒。再加上它的结构比较简单,你只要弄到了它的源代码,稍加改动,一个新的VBS脚本病毒就从你手里诞生了。更有甚者,你可以使用一种叫“病毒生产机”的程序,以最快的速度制造出一个完全按照自己意愿来“工作”的病毒。

  2,破坏性大,感染力强。VBS脚本病毒语言功能强大,直接调用Windows组件,可迅速获得对系统文件及注册表的控制权,这就使得一旦发作,即可造成大的破坏。如耗费系统资源、制造系统垃圾、滥发电子邮件、阻塞网络等。再加之脚本是直接解释执行的,使得它的感染变的非常简单,电子邮件、局域网共享、文件感染、IRC感染等都是它感染的良好途径。

  3,欺骗性强,不易彻底消灭。编写良好的VBS脚本病毒本身就很善于伪装自己,它们想尽千方百计不引起杀毒软件及电脑使用者的注意,再加之一些别有用心的无聊之人的操作,如给邮件附件取双后缀名来欺骗电脑使用者,使得VBS脚本病毒传播变的隐蔽和容易。而且VBS脚本病毒的生命力十分顽强,使得它的彻底清除有了一定的难度。

  当然VBS脚本病毒也有它自己致命的不足之处:

  1,VBS脚本病毒要通过WSH(Windows Scripting Host,Windows脚本宿主)来解释执行。

  2,VBS脚本病毒的运行要其关联程序文件“Wcsript.exe”的支持。

  3,VBS脚本病毒在网页上的传播要“Active控件及插件”的支持。

  4,VBS脚本病毒通过电子邮件传播需要OE(OutLook Express,Windows自带的邮件服务程序)的支持。

  针对VBS脚本病毒以上的特点,我们就可以对症下药地做好一些防范措施,把VBS脚本病毒的危害程度降到最低:

  1,不可缺少的东西:杀毒软件。在病毒横行的网络上,一台没有杀毒软件的机子是不可思议的。即使有时候它的表现也不尽如人意(误报、漏报、杀毒不彻底等),但它至少给你提供了一个相对受保护的空间。需要说明的一点是,一款再出色的杀毒软件,如果不及时升级的话,也一样形同虚设,面对VBS脚本病毒的“铁蹄”,它也逃不掉遭受“践踏”的命运。另外,病毒防火墙应该随机自启动。

  2,不得不防的地方:局域网。经常有朋友在论坛发贴问“为什么我公司的机器中了‘新欢乐时光’,用专杀工具杀完后又重新感染,后来才发现杀毒时没有断开局域网连接,也没有关闭可写的共享,导致从局域网的其他机子上又很快重新感染。除非在必要的情况下,开可写的共享是一件非常危险的事情。VBS脚本病毒在局域网内的传播速度出奇的快,只要它感染了一台机子,不管被感染的是不是服务器,只要其他任何一台机子上开了可写的共享,它就可以以最快的速度对其进行感染。Windows2000开的共享默认就是可写的,一定要改为“只读”。

  3,不得不出的杀手锏:治标治本。尽管VBS脚本病毒有那么多“可怕”的地方,但“一切病毒都是纸老虎”(“非典”也不例外),病毒要生存也需要载体,它们也有致命的弱点,这就使得我们可以有效的做好防范工作。

  在IE中禁用Active控件及插件,使得网页内包含的VBS脚本病毒不能被执行。方法(只针对IE):打开IE,“工具”----“Internet 选项”----“安全”----“自定义级别”,把“Active控件及插件”的一切选项设置为禁用(如图1)。这样还可以预防大部分的恶意网页的攻击。

  最后,取消OE的自动发送邮件功能,切断VBS脚本病毒通过病毒电子邮件传播的途径;并且设置安全的邮件规则:若邮件带有附件,将它移动到指定的文件夹。方法:打开OE,“工具”----“规则和通知”----“电子邮件规则”----“新建规则”----“由空白规则开始” ,然后点“下一步”开始配置一条新规则。在“检测条件”中选择“带有附件”,然后在“如何处理该邮件”中选择“将它移动到指定的文件夹”(如图2),然后在“编辑规则说明”中选则好文件夹比如草稿夹。这样当任何带有附件的邮件到达时,OE会自动将该邮件转移到你设置的文件夹里,只需要对该文件夹进行杀毒就可以了。

  这里告诉大家一个绝招,各种Windows系统适用:

  分别删除VBS脚本在Windows环境和DOS环境的的支持程序:Wscript.exe和Cscript.exe,都在system32目录下,这样就彻底禁止了所有VBS脚本的运行,无论是有毒的还是没毒的——通常没人会用到VBS脚本的,放心删吧。

  4,不得不注意的事项:养成两好的使用电脑的习惯。有资料显示,受过安全培训的员工,其公司的机子受黑客及病毒攻击成功的可能性远远低于没有受过培训的。所以养成良好的电脑使用习惯提高个人的网络安全意识是非常有必要的。针对VBS脚本病毒,我们在日常使用电脑时要注意那些方面的问题呢?

  首先,让系统显示文件的扩展名,防止病毒欺骗电脑使用者。方法:打开一个文件夹,然后依次点击“工具”----“文件夹选项”----“查看”,把“隐藏已知文件类型的扩展名”前的勾去掉,确定(如图3)。(Windows2000/XP下为“查看”----“文件夹选项”----“查看”)。VBS脚本病毒经常把自身带毒文件取名为name.jpg.vbs,一不小心你就把它当成图片直接打开了。

  其次,对邮件的附件要格外小心,无论是认识的朋友还是不认识的陌生人,他们发给你的邮件附件中都可能带有VBS脚本病毒或其他病毒或木马等(特别是不认识的陌生人)。一个比较有效的办法,就是先下载到本地,用杀毒软件先杀一遍。从网上下载的各种东西在执行前都要先杀毒,病毒库要及时升级。

  最后,要十分警惕系统与平时不一样的地方及所表现出来的情况。服务器要经常作好备份工作,以防不测。最好安装两种杀毒软件。

  以上就是对VBS脚本病毒的简单分析及针对其特征的一些简单防范方法,红色代码在此抛砖引玉与各位共勉,希望可以对各位电脑使用者有所帮助。可以看出VBS脚本病毒其实并不可怕,只要能对它有个比较正确和全面的认识,就可以有效地对它进行防范。

  对付病毒,最重要的还在于防患未然、未雨绸缪,任何时候都要有很好的意识。这样邂逅病毒的几率就会大大降低。

热词搜索:

上一篇:灰鸽子手工快速检测方法
下一篇:教你玩转天网防火墙设置

分享到: 收藏