文档介绍:一、实验目的和要求了解VB脚本病毒的工作原理了解VB脚本病毒常见的感染目标和感染方式掌握编写VB脚本病毒专杀工具的一般方法二、(WindowsScriptHost,Windows脚本宿主)环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH用户能够操纵WSH对象、ActiveX对象、注册表和文件系统,还可以访问活动目录服务。WSH依赖于IE提供的VisualBasicScript和JavaScript脚本引擎,所对应的程序“C:\Windows\”是一个脚本语言解释器。VisualBasicScript和JavaScript作为客户端编程语言,当一个以该语言编制的程序被下载到一个兼容的浏览器中时,浏览器将自动执行该程序。“爱虫”、“欢乐时光”、“尼姆达”、“求职信”等病毒都是属于这一类的病毒。脚本病毒的主要特点:(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。(2)脚本病毒通过HTML文档、Email附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活。(4)病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源码可读性好,即使病毒源码经过加密处理后,其源码的获取还是比较简单。因此,这类病毒稍微改变一下病毒的结构或者特征值,很多杀毒软件可能就无能为力了。(5)欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不太注意的手段,譬如,邮件的附件采用双后缀,,由于系统默认不显示后缀,这样,用户看到此文件时就会认为它是一个jpg图片或文本文件。).病毒简介“爱虫”()病毒从2000年5月4日开始在欧洲大陆迅速传播,并向全世界蔓延。该病毒别名叫做LoveLetter、LoveBug、VeryFunny。它采用VBScript编写,其传播原理是通过MicrosoftOutlook将名为“LOVE-LETTER-FOR-”的邮件发送给用户地址薄里所有的地址。,将包括病毒的LOVE-LETTER-FOR-。该病毒还有多个发作破坏模块,查找本地驱动器和网络驱动器,在所有目录和子目录中搜索可以感染的目标如:.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.wav、.txt、.gif、.doc、.htm、.html、.xls、.ini、.bat、.com、.mp3、.mp2等,它用病毒代码覆盖原有的内容,,从而取代宿主文件。.