4.脚本病毒
这类病毒编写最为简单,但形成的危害很是大。咱们常见的浏览了xx站点就被改了主页,在收藏夹里被添加上不少无谓的东西,就是拜这类病毒所赐。
病毒描述:这类病毒的本质是利用脚本解释器的检查漏洞和用户权限设置不当进行感染传播;病毒自己是 ascii码或者加密的ascii码,经过特定的脚本解释器执行产生规定行为,因其行为对计算机用户形成伤害,所以被定性为恶意程序。最多见的行为就是修改用户主页,搜索页,修改用户收藏夹,在每一个文件夹下放置自动执行文件拖慢系统速度等;比较出名的如美利莎邮件病毒、新欢乐时光病毒、office的宏病 毒等都属于这类。
病毒浅析:为了完成一些自动化的任务,须要用程序方式来实现。但复杂的程序编写又不是非程序人员可以胜任的。为了提升工做效率,方便用户操做,增强系统特性,因而许多软件/操做系统都预留了接口给用户,用简单的方法编写一些完成必定功能的小程序。程序自己是 ascii码的,不编译,直接解释执行,在调试/修改使用上至关简便,虽然牺牲必定效率,可是换来了易用性。这本是一个良好的愿望,但太多的时候,这没有起到积极的做用,反而为脚本病毒编写者提供了良机。
以web病毒为例,因为用户缺少安全意识用错误的权限登录,致使ie中的解释器使用wsh能够操做硬盘上的文件和注册表,而 javascript和vbscript调用wsh是很容易的事情——因而恶意脚本的做者只须要让你访问该页面,就能在你本地写上一些恶意的脚本,在注册表里修改你的主页/搜索项了。而利用ie的activex检查漏洞,则能够在不提示地状况下从网络上下载文件并自动执行——这就成了******的前奏曲;利用mime头漏洞,则能够用一个以jpg结尾的url中,指向一个事实上的web页,而后在web页中内嵌图片+恶意代码的方式迷惑计算机用户;利用outlook自动读去eml的特性和mime头检查不严格来执行恶意2进制代码;利用本地硬盘上有执行autorun.inf 的特性(这功能原本是光驱用的,咱们的光盘之因此放进去就能自动读出程序,就是光盘上有个名为autorun.inf文件起的做用,它是个文本文件,各位 能够看看)把一些须要加载的程序写到该文件下致使每次访问该分区的时候就会自动运行;利用windows下会优先读取folder.htt和 desktop.ini的特性,将恶意代码写入其中,致使访问任何一个文件夹的时候都会启动该病毒,再配合上锁定注册表的功能,杀除起来异常麻烦——不复 杂,可是至关烦琐,一不留意没杀干净一处,又致使死灰复燃,前功尽弃。
病毒自查:上面有提到,这类病毒通常以捣乱居多,因此特别容易发现。而其另外一个做用是做为***进驻系统的先遣部队,利用浏览器漏洞等达到下载***文件到本地硬盘,并修改启动项,达到下次启机运行的目的。所以一旦发现***的同时,也能够检查一下是否是有些可疑的脚本文件。
病毒查杀:这类病毒通常来讲因为其编写灵活,源代码公开,因此衍生版本格外地多;杀毒软件/***杀除软件对 待这类病毒大多没用。而因为脚本病毒(除宏病毒外)大可能是独立文件,只要将这些文件查找出来删除掉就好了。不过这里值得留意的是,利用微软的浏览器的漏洞,在点击选择某些文件的同时就自动执行了,甚至打开浏览器的同时脚本病毒就开始驻留感染——这样是没法杀除干净的。
正确的作法是使用其余第三方的资源浏览器,例如Total Command就是一个很是不错的选择。查杀大体过程以下:首先,在资源浏览器——工具——文件夹选项中,将“使用Windows传统风格的桌面”取消 掉,在桌面上点右键,点“属性”——“桌面设置”,将使用活动桌面取消,接着查杀可疑对象;常见查杀对象:各个根分区下的autorun.inf,各个目录下的desktop.ini和folder.htt(有几个是系统自带的,不过删除了也无关系的),这一步最好采用第三方的资源浏览器,例如前面介绍的 Total Command来完成。在这一步,最忌讳查杀不净,即便有一个病毒遗漏,很快就又遍及各个文件夹内了。关于邮件病毒的杀除使用专杀工具就好了。
病毒残留:纯粹脚本病毒在杀除后不会有任何残留,但因为目前的病毒大都采用复合形态,捆绑多种传染方式和多种特性,所以很多脚本病毒只是将用户机器的安全防线撕开的前奏——真正的破坏主力***、蠕虫尾随其后进入系统,所以在杀除掉脚本病毒后,很是有必要连带着检查系统中是否已经有了***和蠕虫病毒。
病毒防护:脚本病毒的特性之一就是被动触发——所以防护脚本病毒最好的方法是不访问带毒的文件/web网 页,在网络时代,脚本病毒更以欺骗的方式引诱人运行居多。因为ie自己存在多个漏洞,特别是执行activex的功能存在至关大的弊端,最近爆出的重大漏 洞都和它有关,包括mozilla的windows版本也未能幸免。所以我的推荐使用myie2软件代替ie做为默认浏览器,由于myie2中有个方便的 功能是启用/禁用web页面的activex控件,在默认的时候,能够将页面中的activex控件所有禁用,待访问在线电影类等状况下根据本身的须要再 启用。关于邮件病毒,大多以eml做为文件后缀的,若是您单机有用outlook取信的习惯,最好准备一个能检测邮件病毒的杀毒软件并及时升级。若是非必要,将word等office软件中的宏选项设置为禁用。脚本病毒是目前网络上最为常见的一类病毒,它编写容易,源代码公开,修改起来至关容易和方便,并且每每给用户形成的巨大危害。
以上4类程序的介绍,为了下降学习难度,我是单态方式来介绍的。事实上目前的病毒大多以具备上面4类程序中的2到3类的特征,所以不管感染,传播,杀除的困难都大大增长。例如发文前夕的mydoom新变种病毒的分析中:它利用系统漏洞/邮件群发/共享漏洞方式传播(具有了蠕虫、脚本病毒和新型病 毒的传播特性),进驻用户系统后上载自身并运行(***特性),获取用户本地outlook中的地址本(***特性),经过调用google等搜索引擎获取用户email地址本中同后缀的相关选项(调用系统程序,***功能),再主动给地址本中的每一个程序发出email(***特性)。对待这样一个病毒,不管是系 统存在漏洞、共享安全设置不当、或者随意地打开了“朋友”发来的email,均可能致使中毒。关于中毒途径的分析,留待下一站《***防护之旅》内一并介绍。
在从第一个病毒出现到如今,已经有整整半个世纪了,病毒的发展突飞猛进,令查杀的困难大大增长,形成的损失也异常巨大。或许,计算机病毒这个幽灵,从计算机诞生的那一刻起就注定要如影相随的。只要还有用心险恶的人存在,那么病毒就不会消亡。病毒之战,恐怕会在从此的日子里越演越烈……