病毒腳本
① 什麼叫腳本病毒
腳本病毒通常是javaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
http://tech.163.com/04/1125/10/161E2F1L000915E9.html
這個上很詳細。
② 腳本病毒是什麼
腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
③ 電腦中了腳本病毒,該怎麼辦
症狀:只要一開IE,瑞星就彈出發現病毒的窗口,而且怎麼也殺不掉,即使提示已經刪除病毒文件,但是只要IE一有動作,還是沒完沒了的彈出發現病毒的窗口,上網速度變慢. 瑞星病毒監控報告如下: 病毒名稱 路徑 文件 Trojan.DL.VBS.Psyme.cf C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Trojan.DL.VBS.Agent.xge C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Trojan.DL.VBS.Agent.cog C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Hack.Exploit.Script.JS.RealPlayer.b C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6FEZ6JIN 6[1].gif Trojan.DL.JS.Agent.ldc C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 52039269848.tmp Hack.Exploit.Script.JS.RealPlayer.b C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KD6V8XA3 6[1].gif Trojan.DL.JS.Agent.ldc C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 358853425776.tmp 過程:思路就是找到這些病毒,將其完全刪除。可是在查找病毒時遇到問題,就是在C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\目錄中根本看不到Content.IE5這個文件夾,即使在「我的電腦」-「工具」菜單-「文件夾選項」-「查看」中,選中了「顯示所有文件和文件夾」、取消了「隱藏受保護的操作系統文件」,還是一樣看不到Content.IE5文件夾,難道這個文件夾不存在嗎?不是的。 解決辦法: 1、IE圖標上擊右鍵,屬性,刪除文件,刪除所有離線文件,確定,即清空IE的所有緩存文件。或者,進入C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\這個目錄下,把所有文件都刪除,可能會有1個index文件刪不掉,不用管,把其他的都刪了。 2、進入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄下,把所有文件刪除,肯定會有4、5個文件刪不掉,把其他的能刪的都刪了。 3、最後就是上面說到的看不到Content.IE5文件夾的問題,這樣做:打開我的電腦,在地址欄中,把C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\這個地址粘貼進去,回車,就可以進入這個文件夾中了,把裡面的所有文件夾都刪除。 ok,解決,再打開IE瀏覽網頁不再提示有病毒了。 提示:感染這種病毒,可能是由於瀏覽了一些帶毒的網站,所以不排除再次感染該病毒的可能。因此請及時打全系統的補丁,使用realplayer播放器的用戶更要注意。
④ 腳本病毒什麼意思
腳本病毒,其前綴是Script,其共有特性是使用腳本語言編寫,通過網頁進行傳播,如紅色代碼(Script.Redlof)。
⑤ 腳本病毒的腳本病毒舉例
蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網路連接)。請注意,與一般病毒不同,蠕蟲不需要將其自身附著到宿主程序,有兩種類型的蠕蟲:主機蠕蟲與網路蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中,並且使用網路的連接僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時也叫野兔,蠕蟲病毒一般是通過1434埠漏洞傳播。
比如近幾年危害很大的「尼姆亞」病毒就是蠕蟲病毒的一種,去年春天流行「熊貓燒香」以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統的漏洞,計算機感染這一病毒後,會不斷自動撥號上網,並利用文件中的地址信息或者網路共享進行傳播,最終破壞用戶的大部分重要數據。蠕蟲病毒的一般防治方法是:使用具有實時監控功能的殺毒軟體,並且注意不要輕易打開不熟悉的郵件附件。 2000年5月4日,一種名為「我愛你」的電腦病毒開始在全球各地迅速傳播。這個病毒是通過Microsoft Out ook電子郵件系統傳播的,郵件的主題為「I LOVE YOU」,並包含一個附件。一旦在Microsoft Ou tlook里打開這個郵件,系統就會自動復制並向地址簿中的所有郵件電址發送這個病毒。 「我愛你」病毒,又稱「愛蟲」病毒,是一種蠕蟲病毒,它與1999年的梅麗莎病毒非常相似。據稱,這個病毒可以改寫本地及網路硬碟上面的某些文件。用戶機器染毒以後,郵件系統將會變慢,並可能導致整個網路系統崩潰。
⑥ 常見的腳本病毒有哪些
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網路的特性。比如沖擊波(阻塞網路),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏,然後向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程式控制制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網路游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網路梟雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)——可不是我們的老大代碼兄哦 ^_^。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這里單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。
6、後門病毒
後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網路傳播,給系統開後門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。
7、病毒種植程序病毒
這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。
⑦ 關於一個病毒的腳本
這不是病毒腳本程序,而是病毒輔助伴生配置文件autorun.inf。
Autorun.inf被病毒利用一般有4種方式
1.OPEN=filename.exe
自動運行。但是對於很多XPSP2用戶和Vista用戶,Autorun已經變成了AutoPlay,不會自動運行它,會彈出窗口說要你干什麼。
2. shellAutocommand=filename.exe
shell=Auto
修改上下文菜單。把默認項改為病毒的啟動項。但此時只要用戶在圖標上點擊右鍵,馬上發現破綻。精明點的病毒會改默認項的名字,但如果你在非中文的系統下發現右鍵菜單里多出了亂碼或者中文,你會認為是什麼呢?
3.shellexecute=filename.exe
ShellExecute=....只要調用ShellExecuteA/W函數試圖打開U盤根目錄,病毒就會自動運行。這種是對付那些用Win+R輸盤符開盤的人。
4.shellopen=打開(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現的一種形式。右鍵菜單一眼也看不出問題,但是在非中文的系統下,原形畢露。突然出現的亂碼、中文當然難逃法眼。
面對這種危險,尤其是第四種,僅僅依靠Explorer本身,已經很難判斷可移動磁碟是否已經中毒。而在這種情況下,一部分人也根據自己的經驗,做出了「免疫」工具。
免疫的辦法(對可移動磁碟和硬碟)
1、同名目錄
目錄在Windows下是一種特殊的文件,而兩個同一目錄下的文件不能同名。於是,新建一個目錄「autorun.inf"在可移動磁碟的根目錄,可以防止早期未考慮這種情況存在的病毒創建autorun.inf,減少傳播成功的概率。
2、autorun.inf下的非法文件名目錄
有些病毒加入了容錯處理代碼,在生成autorun.inf之前先試圖刪除autorun.inf目錄。
在Windows NTWin32子系統下,諸如"filename."這樣的目錄名是允許存在的,但是為了保持和DOS/Win9x的8.3文件系統的兼容性(.後為空非法),直接調用標准Win32API中的目錄查詢函數是無法查詢這類目錄中的內容的,會返回錯誤。但是,刪除目錄必須要逐級刪除其下的整個樹形結構,因此必須查詢其下每個子目錄的內容。因此,在「autorun.inf"目錄建一個此類特殊目錄,方法如"MDx:autorun.infyksoft.. ",可以防止autorun.inf目錄輕易被刪除。類似的還有利用NativeAPI創建使用DOS保留名的目錄(如con、lpt1、prn等)也能達到相似的目的。
3、NTFS許可權控制
病毒製造者也是黑客,知道Windows的這幾個可算是Bug的功能。他們可以做一個程序,掃描目錄時發現某目錄名最後一個位元組為'.'則通過訪問 "dirfullname.."、或者通過利用Windows NT的Native API中的文件系統函數直接插手,刪除該特殊目錄。
因此,基於更低層的文件系統許可權控制的辦法出現了。將U盤、移動硬碟格式化為NTFS文件系統,創建Autorun.inf目錄,設置該目錄對任何用戶都沒有任何許可權,病毒不僅無法刪除,甚至無法列出該目錄內容。
但是,該辦法不適合於音樂播放器之類通常不支持NTFS的設備。
這三步可謂是一步比一步精彩。但是,最大的問題不在怎麼防止生成這個autorun.inf上,而是系統本身、Explorer的脆弱性。病毒作者很快就會做出更強大的方案。這是我的預想。
1、結合ANI漏洞,在autorun.inf里將icon設成一個ANI漏洞的Exploit文件(經過我的實驗,發現Windows有一種特性,就算把ani擴展名改為ico,還是可以解析出圖標),這樣只要一打開「我的電腦」,未打補丁、無殺軟的系統就會直接遭殃。這樣的東西還可以放到網上的各種資源ISO中。
2、提高病毒的整體編程水平,綜合以上各種反免疫方式,另外利用多數國內windows用戶常以高許可權登錄系統的特點,自動將沒有許可權的Autorun.inf目錄獲得所有權、加讀寫刪除許可權,擊破這最堅固的堡壘。
面對如此恐怖的東西,對付的辦法已經不多了。但是它們其實是一切windows安全問題的基本解決方案,
1、一定要將系統和安全軟體保持在最新狀態。即使是盜版用戶,微軟也不會不給重要級別的安全更新,也從來沒有過在重要級別安全更新中加入反盜版程序的記錄。
2、盡量以受限制的帳戶使用系統和上網,這樣可以減少病毒進入系統的概率。Vista之所以加入UAC功能,正是因為它能夠使用戶在盡量方便的同時,享受到受限用戶的安全。
3、某種程度上,可以說QQ、IE和某些裝備能換真錢、什麼都要真錢的網游是導致大量病毒木馬編寫者出現的「萬惡之源」。通過IE漏洞,製作網頁木馬,安裝盜號程序,盜取賬號,獲得人民幣。這條黑色產業鏈中,IE其實是最容易剪斷的一環。珍愛系統,系統一定要更新,要有能防止網頁木馬的殺毒軟體,用 IE不要亂上各種小型下載站、色情網站等高危站點,如果有可能,使用非IE引擎的瀏覽器。
4、惡意捆綁軟體,現在越來越和病毒木馬接近。部分惡意軟體的FSD HOOK自我防禦程序可能被病毒利用來保護自己(如SONY XCP事件),而一些惡意軟體本身就是一個病毒木馬的下載器。因此,不要讓流氓接近你的機器。
Autorun.inf的攻防戰還在繼續,只會變得越來越精彩,網民的安全意識會在攻與防的對立與統一中獲得突破性的進展。
⑧ 什麼是腳本病毒
什麼是惡意腳本?
惡意腳本是指一切以製造危害或者損害系統功能為目的而從軟體系統中增加、改變或刪除的任何腳本。傳統的惡意腳本包括:病毒,蠕蟲,特洛伊木馬,和攻擊性腳本。更新的例子包括: Java攻擊小程序(Java attack applets)和危險的ActiveX控制項。
防治惡意腳本,應該採取以下措施 :
第一,上網時開啟瑞星殺毒軟體的八大監控。
第二,不要輕易瀏覽不良網站。
第三,如果懷疑自己感染了惡意腳本,可以登陸瑞星免費查毒網站,對自己的電腦進行全面掃描。
具體的原理和防範方法到這里去學習下:
http://www.yesky.com/SoftChannel/72356699872165888/20031015/1736105.shtml
⑨ 電腦中了腳本病毒
可以用騰訊電腦管家,佔用內存小。而且電腦管家有自己的殺毒引擎叫做TAV自主殺毒引擎,先後滿分通過了西海岸,VB100兩大權威評測,算是國際領先水平了,可以跟小紅傘這種國際知名引擎並肩,其實現在中國自主研發的殺毒引擎並不是很多的。查殺病毒很給力。
⑩ 什麼叫腳本病毒又何危害
腳本病毒
這類病毒編寫最為簡單,但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁,在收藏夾里被添加上很多無謂的東西,就是拜這類病毒所賜。
病毒描述:這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶許可權設置不當進行感染傳播;病毒本身是ascii碼或者加密的ascii碼,通過特定的腳本解釋器執行產生規定行為,因其行為對計算機用戶造成傷害,因此被定性為惡意程序。最常見的行為就是修改用戶主頁,搜索頁,修改用戶收藏夾,在每個文件夾下放置自動執行文件拖慢系統速度等;比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬於這類。
病毒淺析:為了完成一些自動化的任務,需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率,方便用戶操作,加強系統特性,於是許多軟體/操作系統都預留了介面給用戶,用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的,不編譯,直接解釋執行,在調試/修改使用上相當簡便,雖然犧牲一定效率,但是換來了易用性。這本是一個良好的願望,但太多的時候,這沒有起到積極的作用,反而為腳本病毒編寫者提供了良機。
以web病毒為例,由於用戶缺乏安全意識用錯誤的許可權登陸,導致ie中的解釋器使用wsh可以操作硬碟上的文件和注冊表,而javascript和vbscript調用wsh是很容易的事情——於是惡意腳本的作者只需要讓你訪問該頁面,就能在你本地寫上一些惡意的腳本,在注冊表裡修改你的主頁/搜索項了。而利用ie的activex檢查漏洞,則可以在不提示地情況下從網路上下載文件並自動執行——這就成了木馬攻擊的前奏曲;利用mime頭漏洞,則可以用一個以jpg結尾的url中,指向一個事實上的web頁,然後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶;利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼;利用本地硬碟上有執行autorun.inf的特性(這功能本來是光碟機用的,我們的光碟之所以放進去就能自動讀出程序,就是光碟上有個名為autorun.inf文件起的作用,它是個文本文件,各位可以看看)把一些需要載入的程序寫到該文件下導致每次訪問該分區的時候就會自動運行;利用windows下會優先讀取folder.htt和desktop.ini的特性,將惡意代碼寫入其中,導致訪問任何一個文件夾的時候都會啟動該病毒,再配合上鎖定注冊表的功能,殺除起來異常麻煩——不復雜,但是相當煩瑣,一不留意沒殺干凈一處,又導致死灰復燃,前功盡棄。
病毒自查:上面有提到,這類病毒一般以搗亂居多,所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊,利用瀏覽器漏洞等達到下載木馬文件到本地硬碟,並修改啟動項,達到下次啟機運行的目的。因此一旦發現木馬的同時,也可以檢查一下是不是有些可疑的腳本文件。
病毒查殺:這類病毒一般來說由於其編寫靈活,源代碼公開,所以衍生版本格外地多;殺毒軟體/木馬殺除軟體對待這類病毒大多沒用。而由於腳本病毒(除宏病毒外)大多是獨立文件,只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是,利用微軟的瀏覽器的漏洞,在點擊選擇某些文件的同時就自動執行了,甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。
正確的做法是使用其他第三方的資源瀏覽器,例如Total Command就是一個非常不錯的選擇。查殺大致過程如下:首先,在資源瀏覽器——工具——文件夾選項中,將「使用Windows傳統風格的桌面」取消掉,在桌面上點右鍵,點「屬性」——「桌面設置」,將使用活動桌面取消,接著查殺可疑對象;常見查殺對象:各個根分區下的autorun.inf,各個目錄下的desktop.ini和folder.htt(有幾個是系統自帶的,不過刪除了也無關系的),這一步最好採用第三方的資源瀏覽器,例如前面介紹的Total Command來完成。在這一步,最忌諱查殺不凈,即使有一個病毒遺漏,很快就又遍布各個文件夾內了。關於郵件病毒的殺除使用專殺工具就行了。
病毒殘留:純粹腳本病毒在殺除後不會有任何殘留,但由於目前的病毒大都採用復合形態,捆綁多種傳染方式和多種特性,因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其後進入系統,因此在殺除掉腳本病毒後,非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。
病毒防禦:腳本病毒的特性之一就是被動觸發——因此防禦腳本病毒最好的方法是不訪問帶毒的文件/web網頁,在網路時代,腳本病毒更以欺騙的方式引誘人運行居多。由於ie本身存在多個漏洞,特別是執行activex的功能存在相當大的弊端,最近爆出的重大漏洞都和它有關,包括mozilla的windows版本也未能倖免。因此個人推薦使用myie2軟體代替ie作為默認瀏覽器,因為myie2中有個方便的功能是啟用/禁用web頁面的activex控制項,在默認的時候,可以將頁面中的activex控制項全部禁用,待訪問在線電影類等情況下根據自己的需要再啟用。關於郵件病毒,大多以eml作為文件後綴的,如果您單機有用outlook取信的習慣,最好准備一個能檢測郵件病毒的殺毒軟體並及時升級。如果非必要,將word等office軟體中的宏選項設置為禁用。腳本病毒是目前網路上最為常見的一類病毒,它編寫容易,源代碼公開,修改起來相當容易和方便,而且往往給用戶造成的巨大危害。
以上4類程序的介紹,為了降低學習難度,我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特徵,因此無論感染,傳播,殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中:它利用系統漏洞/郵件群發/共享漏洞方式傳播(具備了蠕蟲、腳本病毒和新型病毒的傳播特性),進駐用戶系統後上載自身並運行(木馬特性),獲取用戶本地outlook中的地址本(木馬特性),通過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項(調用系統程序,木馬功能),再主動給地址本中的每個程序發出email(木馬特性)。對待這樣一個病毒,無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email,都可能導致中毒。關於中毒途徑的分析,留待下一站《攻擊防禦之旅》內一並介紹。
在從第一個病毒出現到現在,已經有整整半個世紀了,病毒的發展日新月異,令查殺的困難大大增加,造成的損失也異常巨大。或許,計算機病毒這個幽靈,從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在,那麼病毒就不會消亡。病毒之戰,恐怕會在今後的日子裡越演越烈……