淺析VBS移動U盤病毒的變種研究

付三麗 黃恒一 姚婧

摘 要：網絡和計算機的發明給人們的生活和學習帶來了極大的便利。但任何事物都有兩面性，目前，網絡和移動設備傳播的病毒對人們日常生活的影響越來越大。以VBS移動U盤病毒為研究對象，從病毒攻擊和防御兩個方面，討論VBS移動U盤病毒的自復制、病毒激活、病毒封裝、文件拷貝和病毒防御。文中研究了信息安全需要解決的問題，對用戶了解和預防當前生活中普遍存在的U盤病毒具有一定的指導意義。

關鍵詞：信息安全;病毒激活;文件拷貝;VBS;移動U盤;計算機

中圖分類號：TP274文獻標識碼：A文章編號：2095-1302（2019）04-00-06

0 引 言

隨著用戶對網絡安全問題的日益關注，病毒制作者升級病毒的方式也在與時更新。網絡上一些典型的病毒由于殺毒公司的關注，很容易被查殺，各種復合型的頑固病毒頻繁出現，給用戶造成了巨大的損失，也在一定程度上威脅著國家的信息安全。對于廣大的用戶而言，只有了解必要的計算機病毒運行機理，掌握一些黑客常用的病毒攻擊技術，才能更好地防范惡意用戶對自己電腦的攻擊。本文從攻防兩個方面對VBS腳本移動U盤病毒進行研究，對于用戶了解并預防頑固性病毒具有一定的指導作用[1]。

1 病毒入侵原理

計算機病毒種類繁多而且復雜，按照不同的方式以及計算機病毒的特點及特性，可以有多種不同的分類方法，但各種計算機病毒的基本運行可以像生物病毒一樣進行繁殖，當正常程序運行時，它也進行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。隨著U盤、移動硬盤、存儲卡等移動存儲設備的普及，當下對用戶造成信息丟失、泄密、破壞的惡性病毒往往會利用各種傳播媒介和已發現的漏洞，作為人們生活中必備的U盤設備，由于U盤autorun.inf漏洞出來之后，U盤病毒的數量與日俱增，中毒的電腦每個分區下面同樣有U盤病毒，電腦和U盤交叉傳播。本文以Windows環境中編寫非常方便、傳播快、破壞力大等特點的VBS腳本移動U盤病毒為例，圍繞病毒運行機理進行詳細分析探討，旨在幫助用于熟悉并提高針對U盤病毒的預防及查殺[2]。

2 病毒運行機理

2.1 感染型惡性病毒

由于VBS腳本程序編寫簡易，一些專業黑客會對VBS簡易病毒進行一些修改，即可制作出一些具備感染、釋放、惡性繁殖類型的VBS病毒。因此很多黑客結合一些惡性VBS病毒和U盤的AutoRun.inf漏洞制作了一些VBSU盤惡性病毒進行傳播，只有加強對此類病毒的學習，才能更好地應對VBS移動U盤病毒的攻擊[3]。

2.1.1 VBS感染型病毒

傳統感染型VBS病毒可以感染某一類型的文件，造成文件數據的破環。隨著殺毒技術的更新，新一類感染型VBS病毒常常結合一些加密、封裝、釋放子病毒，自刪等復合型感染病毒。VBS病毒潛伏階段如圖1所示。VBS病毒發作階段如圖2所示。

由圖1可知VBS感染病毒源碼進行了加密處理。由圖2可知病毒發作后會感染病毒所在目錄的網頁文件，當網頁文件打開后彈出對話框腳本。此外，VBS母病毒激活后會釋放出子VBS病毒。圖1中所示VBS感染病毒雖然簡單，但是初步具備了惡性VBS病毒的搜索、感染和釋放等功能，如果此類病毒再深入地進行修改，很容易衍變成惡性VBS傳播性病毒[4]。

2.1.2 VBS惡性病毒

惡性計算機病毒激活特征類似生物病毒，病毒本身傳播迅速，大量地惡性快速繁殖，消耗計算機運行內存，影響正常程序運行，對計算機危害極大。網絡上曾存在的熊貓燒香病毒是蠕蟲病毒，惡性繁殖，造成網絡堵塞，此類惡性病毒也可以通過用戶在復制磁盤或文件時，把病毒由一個信息載體復制到另一個信息載體。依賴信息載體進行傳播的惡性計算機病毒的基本特征是快速大量繁殖，此類病毒一旦被點擊會對用戶的計算機產生巨大危害，只有加深對此類病毒的認識，才能減少用戶對此類病毒的恐懼，學習對此類病毒的預防及查殺。

惡性計算機病毒一般會大量復制，損害計算機硬盤，產生各種各樣病毒發作的后果。如果黑客在惡性病毒的編寫過程中加入針對電腦殺毒軟件進程的攻擊，可進一步加大病毒的危害性。惡性病毒的特征一般是在基于程序編寫的過程中不斷復制，一遍遍地對電腦硬盤進行寫入過程，根據黑客水平，惡性病毒的復制速度有所不同，一般而言對電腦危害性非常大[5]。

VBS惡性病毒發作階段如圖3所示，由圖3可知，繁殖類惡性VBS病毒在電腦上大量復制。VBS惡性病毒源碼如圖4所示，由圖4可知電腦惡性VBS病毒新生成VBS病毒源碼，此種類型的惡性病毒不斷地往硬盤中寫入新生成的病毒，惡性VBS母病毒及大量釋放的子病毒會耗占電腦硬盤空間，惡性繁殖類母病毒源碼基于程序編程中的編程漏洞設計，如果惡性母病毒程序中增加了關閉殺毒軟件進程的模塊，會加劇病毒的破壞性。網絡上曾經存在的熊貓燒香蠕蟲病毒一天之內數次變異，病毒關閉了殺毒軟件的進程，增加了病毒被破譯的難度[6]。

2.1.3 VBS惡性病毒的查殺

本文中惡性繁殖類VBS病毒基于Microsoft的WSH腳本宿主才能夠啟動，一旦惡性VBS病毒激活，用戶可以卸載WSH組件，此外還可以通過任務管理器嘗試關閉VBS腳本病毒運行需要的關聯進程Wscript.exe。但是如果病毒的危害性加大，如無法打開任務管理器，無法打開殺毒軟件，無法刪除等，針對此類惡性病毒只能重裝系統。對于病毒的預防及查殺最主要的還是需要用戶養成良好的上網及使用電腦的習慣，安裝殺毒軟件。

2.2 VBS進程攻擊性病毒

從病毒攻擊的角度而言，一款惡性病毒的制作完成，除了取決于專業黑客編程水平的高低，還取決于病毒的生存時間，對于病毒生存性及時間危害性最大的就是殺毒軟件。當下很多惡性病毒在編制過程中加入了對殺毒軟件進程的攻擊，病毒在運行過程中，不斷地對系統運行的進程進行掃描，一旦掃描到查殺病毒的安全軟件進程，就立刻關閉此進程。本文選取VBS病毒為例，模擬病毒對系統進程的攻擊，目的是引起科研人員的重視，加大對惡性攻擊系統進程病毒的研究[7]。

病毒攻擊前系統進程如圖5所示，由圖5可知VBS病毒源碼中加入了對魯大師進程ComputerZ_CN.exe的攻擊，當VBS進程攻擊病毒激活后，系統里的ComputerZ_CN.exe進程即刻消失，任務管理器里已經看不見此進程。當用戶再次點擊啟動魯大師時，電腦里的魯大師已經無法啟動。本文僅僅模擬的是針對普通進程的攻擊，而當下的頑固性病毒程序模塊中一般具備對大量殺毒進程的攻擊，增加了病毒的生存時間。

當下網絡給人們提供了大量的科技性軟件，方便了人們的生活，然而網路上也存在一些病毒的范例源碼。VBS進程攻擊病毒源碼如圖6所示。針對網絡的開放性，就需要廣大用戶以法律的準則約束自己。病毒范例源碼學習是允許的，但是如果處理不好、惡意傳播類似此處的攻擊性病毒并且造成危害后果，就會觸犯國家《計算機信息網絡國際互聯網管理暫行辦法》等規章。因此面對網絡上存在的病毒源碼，用戶接觸時需要具備理性思維[8]。

只有加強對VBS頑固性進程攻擊病毒的學習，當用戶面對時才能更好地防范此類病毒，恢復系統的正確運行。本文以VBS進程攻擊病毒為例，啟動任務管理器，關閉VBS腳本運行需要的關聯進程Wscript.exe，刪除病毒，魯大師恢復正常工作。

關閉VBS病毒所需進程如圖7所示，魯大師軟件恢復正常如圖8所示。由圖7和圖8可知，當任務管理器中關閉了VBS腳本運行所需的關聯進程Wscript.exe，用戶再次點擊魯大師界面時，軟件恢復正常。本文中的VBS進程攻擊病毒沒有加入對殺毒軟件、任務管理器進程的攻擊，如果類似的頑固性病毒加入了任務管理器進程的攻擊，當病毒對用戶電腦造成了破壞性后果時，用戶只能采取重裝系統的方法，恢復電腦的正常運行。

2.3 U盤病毒

由于移動設備的普及和AutoRun.inf文件漏洞的出現，

U盤病毒已經成為傳播泛濫的病毒之一。此外，U盤病毒由于具備入侵功能，攜帶病毒的U盤可實現病毒對宿主計算機的交叉感染，類似網絡蠕蟲病毒的功能，因此某些專業資料也將U盤病毒歸納為蠕蟲病毒。隨著各種系統漏洞不斷被發現以及經濟利益的驅動，網絡惡意代碼長期存在，U盤病毒將不僅僅單純指代某一種病毒，凡是通過AutoRun.inf文件進行傳播的惡意代碼均為U盤病毒。

2.3.1 U盤病毒的運行機理

U盤病毒由于類似蠕蟲病毒的功能，當攜帶病毒的U盤激活后，可以感染宿主電腦，將U盤病毒復制進電腦。此外，宿主電腦復制的U盤病毒不斷地掃描硬盤，監控是否存在新的U盤插入，一旦發現有新的U盤插入，會再次感染新插入的U盤。本文以簡易的VBS腳本U盤感染病毒為例，從病毒攻擊的角度進行研究，用以闡釋這種當下人們接觸最多、移動硬盤資料最易受感染的病毒運行機理，只有深入地掌握U盤病毒運行的基本知識，才能更好地理解U盤防病毒軟件的工作原理。

2.3.2 簡易VBS腳本U盤病毒

本文涉及的簡易VBS腳本U盤病毒對電腦的危害性并不大，僅僅實現了U盤病毒對宿主電腦的感染及新插入U盤的病毒文件的復制。本文病毒文件包含proj7_2.exe，autorun.inf及4.vbs通過封裝軟件封裝的4.exe文件。VBS腳本封裝EXE格式軟件如圖9所示，U盤中病毒運行的三個文件如圖10所示。

病毒對新插入U盤的感染如圖11所示，病毒自我復制系統根目錄如圖12所示。由圖11和圖12可知，病毒實現了對電腦新插入U盤的監控，當激活后的病毒檢查到有新的移動設備插入時，就會將病毒文件復制到移動設備，此外電腦的根目錄中也會復制病毒文件。本文此處的病毒文件僅僅具備蠕蟲病毒的侵入功能，病毒并不具備破壞性[9]。

2.3.3 文件竊取型VBS病毒

由于利益的驅動，目前很多電腦惡意病毒激活后，攜帶有盜號木馬，騙取IP流量，竊取用戶文件，致使蠕蟲自動入侵，如網絡上曾經出現的熊貓燒香病毒、勒索病毒等。本文選取VBS竊取U盤文件病毒為例進行研究，目的是使用戶了解病毒竊取文件的功能模塊。VBS病毒竊取的U盤文件如圖13所示。

本文中文件竊取型病毒實現了對新插入U盤中目標格式文件的復制、拷貝，竊取型病毒實現了自身在用戶系統文件中復制并且病毒在運行自身的過程中釋放子病毒，圖14展示了文件竊取型病毒的部分源碼。文件竊取型病毒帶有很強的商業目的，對用戶的重要資料危害性很大，本文展示的文件源碼屬于明文，如果黑客結合病毒的加密等措施，更加大了病毒被解析破譯的難度。

2.3.4 惡性VBS文件復制病毒

前文闡述的文件竊取型VBS病毒可對插入電腦內的目標格式文件進行拷貝竊取，缺點是每次拷貝文件后，需要再次點擊VBS病毒進行文件竊取。網絡的開放性及VBS編碼的簡易性使得大量VBS腳本經過簡單修改后，即可變異成惡性復制型病毒。

U盤實驗文件如圖15所示，電腦拷貝的U盤文件如圖16所示。由圖16可知病毒激活后，對U盤文件進行了實時復制和拷貝。電腦實時拷貝U盤文件如圖17所示，惡性VBS復制病毒源碼如圖18所示。由圖18可知惡性VBS復制性病毒利用程序編程語言中的循環漏洞，不斷地循環檢測電腦是否插入有盤符為H的可移動硬盤，如果病毒檢測到盤符為H的硬盤，病毒VBS腳本程序將復制硬盤中的資料文件至本地文件夾中。因此對于用戶而言，如果目標電腦中存在這種惡性VBS復制性病毒，自己移動硬盤中的資料就會不經易間被竊取、丟失。因此針對當下惡意代碼泛濫的網絡環境，用戶需要提高計算機信息安全的意識，對于需要借助移動U盤拷貝的重要資料，用戶在使用電腦之前，建議用殺毒軟件進行一次全盤查殺。

2.3.5 惡性VBS腳本U盤感染病毒

前文闡述的VBS腳本病毒激活后不斷地監控電腦新插入的U盤，而U盤病毒最大的特征就是傳播功能，類似蠕蟲病毒的特征，本文在此以VBS腳本U盤感染病毒為例，闡述VBS腳本病毒如何入侵新插入的U盤。當VBS腳本病毒激活后，將電腦硬盤內的病毒文件不斷地復制到新插入的U盤中，從而實現U盤感染。

惡性VBS腳本U盤感染病毒如圖19所示，U盤感染9.EXE病毒文件如圖20所示。由圖19和圖20可知，VBS腳本母病毒實現了對電腦新插入U盤的實時監控，當有移動硬盤插入時實現了對新插入U盤的病毒復制。更換U盤感染9.EXE病毒文件如圖21所示，誤擊9.EXE病毒文件效果如圖22所示。由圖21可知更換U盤后，病毒文件依然復制到新插入的U盤。由圖22可知當打開移動硬盤后，9.EXE病毒文件不慎被點擊后，病毒大量無限繁殖，消耗硬盤的存儲空間，損壞移動硬盤設備。

本文中這種惡性復制病毒不慎被點擊后，無法刪除，解決的措施是打開任務管理器，關閉VBS運行所需要的Wscript.exe關聯進程，再次刪除U盤中病毒釋放的文件。但是如果VBS母病毒腳本包含前文所述的關閉任務管理器進程，關閉殺毒軟件進程，則只能采取重裝電腦系統等挽救措施[10]。

2.3.6 VBS網頁腳本U盤感染病毒

很多惡性計算機病毒的編寫從篡改網頁開始，經過偽裝，用戶不慎點擊后，就會不斷地刷新彈出目的網站的頁面或者用戶宣傳的廣告頁面。如果病毒彈出的頁面恰是黑客預先設定的釣魚網站，則在一定程度上可能對用戶造成經濟上的損失。本文以VBS網頁腳本U盤感染病毒為例，模擬病毒激活后，感染新的U盤，VBS網頁腳本病毒鎖定特定網站的實驗攻擊，目的還是加深用戶對此類病毒的理解，提高針對釣魚網站惡意病毒的防范意識。

VBS網頁腳本病毒文件如圖23所示，360軟件檢測到的病毒程序如圖24所示。由圖23和圖24可知，瀏覽器主頁篡改程序被360殺毒軟件檢測，因此殺毒軟件對于網站主頁篡改程序的檢測很有必要。

360軟件檢測到U盤的病毒程序如圖25所示，由圖25可知U盤感染母病毒激活后，新插入電腦的U盤同樣感染了VBS網頁篡改病毒腳本，但是由于電腦中安裝了殺毒軟件，殺毒軟件可監控到U盤中的VBS網頁腳本病毒。網頁篡改病毒源碼如圖26所示，由圖26可知VBS網頁腳本病毒源碼是明文，如果黑客在病毒編寫的過程中采用了加殼、加花、病毒封裝等技術，則會進一步加大病毒被破譯的難度。

2.4 黑客軟件的應用

前文主要從黑客專業水平及病毒攻擊的角度針對VBS移動U盤病毒及其變種進行研究，由于網絡的開放性和大量黑客軟件的存在，專業技術水平不是很高的用戶往往可以利用這些黑客軟件輕易、快速地制造出各種功能復雜極具破壞性的計算機病毒，這在一定程度上加大了網絡運行的風險。本文選取一些典型的黑客軟件進行闡述，用以提高用戶對安裝殺毒軟件及對網絡下載軟件的防范意識。

一些常見的黑客軟件如圖27所示，由圖27可知本文從病毒攻擊的角度而言選取了網絡常見的一些黑客軟件進行闡述（如捆綁工具、QQ盜號木馬、病毒制造機等）。網絡上的黑客軟件不限于本文介紹的幾種，學習黑客軟件的目的不是破壞網絡，而是增進對此類常見黑客軟件的了解，只有對其加深了解及掌握，才能更好地避免損失。

捆綁工具的工作原理是把兩個病毒文件經過捆綁器軟件捆綁后，生成一個復合型更改圖標的病毒文件，捆綁后的病毒文件將按照執行捆綁前病毒執行的順序執行。一些文件捆綁器捆綁病毒文件的同時，增加了捆綁新生成病毒文件的免殺功能，也增強了惡性病毒的生存性。

對于用戶通過QQ盜號木馬制作出來的病毒程序，一旦用戶不慎點擊，盜號木馬就會潛伏在電腦中。用戶再次登錄QQ時，QQ用戶名及密碼等信息就會被黑客事先設定好的發送郵箱發送，由指定的接收郵箱進行接收。當下QQ已經成為人們日常生活中溝通的重要工具，一旦QQ用戶名及密碼信息泄露，將會對用戶的隱私等信息產生嚴重影響。病毒制造機可以輕易地制造出網絡蠕蟲病毒，這些黑客軟件的存在也使得普通的用戶可能具備黑客技術且進一步威脅了網絡安全。用戶只有加強對黑客軟件的了解，能夠區分黑客軟件的“障眼法”（如此處的QQ盜號木馬制作出來的QQ登錄界面），才能更好地保護信息安全。

病毒制造機的出現促使網絡病毒的制作不再是一件很難完成的事情，病毒制作機器內部包含一些病毒運作的基本模塊，用戶只需要按照自己的需要即可快速制作出功能復雜、極具破壞性的病毒，黑客利用病毒制作機點擊鼠標即可快速完成網絡蠕蟲病毒的生成。

網絡的開源特性促使網絡成為一把“雙刃劍”，網絡上的軟件千千萬，能夠方便人們生活的軟件很多，危害網絡運行的黑客軟件也不僅僅限于本文敘述的這幾種。對于廣大的用戶而言，怎樣用好這把“雙刃劍”，主要還是靠用戶自己。

3 結 語

本文選取VBS腳本U盤病毒作為對象，系統地從病毒攻擊和防守兩個角度并結合黑客軟件闡述病毒運行的機理及防御措施。研究惡性VBS腳本U盤病毒旨在幫助用戶揭開病毒的神秘面紗，促使用戶了解計算機病毒的生物特性。針對廣大用戶而言，只有掌握必備的病毒運行機理，才能更好地結合殺毒軟件保護好計算機安全。

參 考 文 獻

[1]王勇，黃國興，彭道剛.計算機網絡病毒傳播模型[J].計算機工程與應用，2006（30）：139-141.

[2]石艷榮，賀永強.一種基于關聯的IDS告警分析模型[J].微電子學與計算機，2008（12）：122-124.

[3]王德正.基于VBS腳本病毒分析[J].大眾科技，2005（3）：40-41.

[4]萬春，劉麗莉.緩沖區溢出攻擊手段及防范策略分析[J].集美大學學報，2003（9）：237-242.

[5]高楷模.HTML腳本病毒原理分析與防范策略[J].九江職業技術學院學報，2006（1）：52.

[6]何申，張四海，王煦法，等.網絡腳本病毒的統計分析方法[J].計算機學報，2006（6）：969-975.

[7]張濤，張瀚，付壘朋.基于模糊模式與決策樹融合的腳本病毒檢測算法[J].電子與信息學報，2014（1）：108-113.

[8]向振興.Script腳本病毒的原理分析及防范措施[J].肇慶學院學報，2005（2）：48-50.

[9]牟曉東.Windows7向腳本病毒說再見[J].電腦知識與技術（經驗技巧），2010（9）：66.

[10] HEAV Y D.將VBScript拒之“窗”外：VBScript腳本病毒全接觸[J].電腦愛好者，2003（22）：45.