浅析VBS移动U盘病毒的变种研究

付三丽 黄恒一 姚婧

摘 要：网络和计算机的发明给人们的生活和学习带来了极大的便利。但任何事物都有两面性，目前，网络和移动设备传播的病毒对人们日常生活的影响越来越大。以VBS移动U盘病毒为研究对象，从病毒攻击和防御两个方面，讨论VBS移动U盘病毒的自复制、病毒激活、病毒封装、文件拷贝和病毒防御。文中研究了信息安全需要解决的问题，对用户了解和预防当前生活中普遍存在的U盘病毒具有一定的指导意义。

关键词：信息安全;病毒激活;文件拷贝;VBS;移动U盘;计算机

中图分类号：TP274文献标识码：A文章编号：2095-1302（2019）04-00-06

0 引 言

随着用户对网络安全问题的日益关注，病毒制作者升级病毒的方式也在与时更新。网络上一些典型的病毒由于杀毒公司的关注，很容易被查杀，各种复合型的顽固病毒频繁出现，给用户造成了巨大的损失，也在一定程度上威胁着国家的信息安全。对于广大的用户而言，只有了解必要的计算机病毒运行机理，掌握一些黑客常用的病毒攻击技术，才能更好地防范恶意用户对自己电脑的攻击。本文从攻防两个方面对VBS脚本移动U盘病毒进行研究，对于用户了解并预防顽固性病毒具有一定的指导作用[1]。

1 病毒入侵原理

計算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法，但各种计算机病毒的基本运行可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。随着U盘、移动硬盘、存储卡等移动存储设备的普及，当下对用户造成信息丢失、泄密、破坏的恶性病毒往往会利用各种传播媒介和已发现的漏洞，作为人们生活中必备的U盘设备，由于U盘autorun.inf漏洞出来之后，U盘病毒的数量与日俱增，中毒的电脑每个分区下面同样有U盘病毒，电脑和U盘交叉传播。本文以Windows环境中编写非常方便、传播快、破坏力大等特点的VBS脚本移动U盘病毒为例，围绕病毒运行机理进行详细分析探讨，旨在帮助用于熟悉并提高针对U盘病毒的预防及查杀[2]。

2 病毒运行机理

2.1 感染型恶性病毒

由于VBS脚本程序编写简易，一些专业黑客会对VBS简易病毒进行一些修改，即可制作出一些具备感染、释放、恶性繁殖类型的VBS病毒。因此很多黑客结合一些恶性VBS病毒和U盘的AutoRun.inf漏洞制作了一些VBSU盘恶性病毒进行传播，只有加强对此类病毒的学习，才能更好地应对VBS移动U盘病毒的攻击[3]。

2.1.1 VBS感染型病毒

传统感染型VBS病毒可以感染某一类型的文件，造成文件数据的破环。随着杀毒技术的更新，新一类感染型VBS病毒常常结合一些加密、封装、释放子病毒，自删等复合型感染病毒。VBS病毒潜伏阶段如图1所示。VBS病毒发作阶段如图2所示。

由图1可知VBS感染病毒源码进行了加密处理。由图2可知病毒发作后会感染病毒所在目录的网页文件，当网页文件打开后弹出对话框脚本。此外，VBS母病毒激活后会释放出子VBS病毒。图1中所示VBS感染病毒虽然简单，但是初步具备了恶性VBS病毒的搜索、感染和释放等功能，如果此类病毒再深入地进行修改，很容易衍变成恶性VBS传播性病毒[4]。

2.1.2 VBS恶性病毒

恶性计算机病毒激活特征类似生物病毒，病毒本身传播迅速，大量地恶性快速繁殖，消耗计算机运行内存，影响正常程序运行，对计算机危害极大。网络上曾存在的熊猫烧香病毒是蠕虫病毒，恶性繁殖，造成网络堵塞，此类恶性病毒也可以通过用户在复制磁盘或文件时，把病毒由一个信息载体复制到另一个信息载体。依赖信息载体进行传播的恶性计算机病毒的基本特征是快速大量繁殖，此类病毒一旦被点击会对用户的计算机产生巨大危害，只有加深对此类病毒的认识，才能减少用户对此类病毒的恐惧，学习对此类病毒的预防及查杀。

恶性计算机病毒一般会大量复制，损害计算机硬盘，产生各种各样病毒发作的后果。如果黑客在恶性病毒的编写过程中加入针对电脑杀毒软件进程的攻击，可进一步加大病毒的危害性。恶性病毒的特征一般是在基于程序编写的过程中不断复制，一遍遍地对电脑硬盘进行写入过程，根据黑客水平，恶性病毒的复制速度有所不同，一般而言对电脑危害性非常大[5]。

VBS恶性病毒发作阶段如图3所示，由图3可知，繁殖类恶性VBS病毒在电脑上大量复制。VBS恶性病毒源码如图4所示，由图4可知电脑恶性VBS病毒新生成VBS病毒源码，此种类型的恶性病毒不断地往硬盘中写入新生成的病毒，恶性VBS母病毒及大量释放的子病毒会耗占电脑硬盘空间，恶性繁殖类母病毒源码基于程序编程中的编程漏洞设计，如果恶性母病毒程序中增加了关闭杀毒软件进程的模块，会加剧病毒的破坏性。网络上曾经存在的熊猫烧香蠕虫病毒一天之内数次变异，病毒关闭了杀毒软件的进程，增加了病毒被破译的难度[6]。

2.1.3 VBS恶性病毒的查杀

本文中恶性繁殖类VBS病毒基于Microsoft的WSH脚本宿主才能够启动，一旦恶性VBS病毒激活，用户可以卸载WSH组件，此外还可以通过任务管理器尝试关闭VBS脚本病毒运行需要的关联进程Wscript.exe。但是如果病毒的危害性加大，如无法打开任务管理器，无法打开杀毒软件，无法删除等，针对此类恶性病毒只能重装系统。对于病毒的预防及查杀最主要的还是需要用户养成良好的上网及使用电脑的习惯，安装杀毒软件。

2.2 VBS进程攻击性病毒

从病毒攻击的角度而言，一款恶性病毒的制作完成，除了取决于专业黑客编程水平的高低，还取决于病毒的生存时间，对于病毒生存性及时间危害性最大的就是杀毒软件。当下很多恶性病毒在编制过程中加入了对杀毒软件进程的攻击，病毒在运行过程中，不断地对系统运行的进程进行扫描，一旦扫描到查杀病毒的安全软件进程，就立刻关闭此进程。本文选取VBS病毒为例，模拟病毒对系统进程的攻击，目的是引起科研人员的重视，加大对恶性攻击系统进程病毒的研究[7]。

病毒攻击前系统进程如图5所示，由图5可知VBS病毒源码中加入了对鲁大师进程ComputerZ_CN.exe的攻击，当VBS进程攻击病毒激活后，系统里的ComputerZ_CN.exe进程即刻消失，任务管理器里已经看不見此进程。当用户再次点击启动鲁大师时，电脑里的鲁大师已经无法启动。本文仅仅模拟的是针对普通进程的攻击，而当下的顽固性病毒程序模块中一般具备对大量杀毒进程的攻击，增加了病毒的生存时间。

当下网络给人们提供了大量的科技性软件，方便了人们的生活，然而网路上也存在一些病毒的范例源码。VBS进程攻击病毒源码如图6所示。针对网络的开放性，就需要广大用户以法律的准则约束自己。病毒范例源码学习是允许的，但是如果处理不好、恶意传播类似此处的攻击性病毒并且造成危害后果，就会触犯国家《计算机信息网络国际互联网管理暂行办法》等规章。因此面对网络上存在的病毒源码，用户接触时需要具备理性思维[8]。

只有加强对VBS顽固性进程攻击病毒的学习，当用户面对时才能更好地防范此类病毒，恢复系统的正确运行。本文以VBS进程攻击病毒为例，启动任务管理器，关闭VBS脚本运行需要的关联进程Wscript.exe，删除病毒，鲁大师恢复正常工作。

关闭VBS病毒所需进程如图7所示，鲁大师软件恢复正常如图8所示。由图7和图8可知，当任务管理器中关闭了VBS脚本运行所需的关联进程Wscript.exe，用户再次点击鲁大师界面时，软件恢复正常。本文中的VBS进程攻击病毒没有加入对杀毒软件、任务管理器进程的攻击，如果类似的顽固性病毒加入了任务管理器进程的攻击，当病毒对用户电脑造成了破坏性后果时，用户只能采取重装系统的方法，恢复电脑的正常运行。

2.3 U盘病毒

由于移动设备的普及和AutoRun.inf文件漏洞的出现，

U盘病毒已经成为传播泛滥的病毒之一。此外，U盘病毒由于具备入侵功能，携带病毒的U盘可实现病毒对宿主计算机的交叉感染，类似网络蠕虫病毒的功能，因此某些专业资料也将U盘病毒归纳为蠕虫病毒。随着各种系统漏洞不断被发现以及经济利益的驱动，网络恶意代码长期存在，U盘病毒将不仅仅单纯指代某一种病毒，凡是通过AutoRun.inf文件进行传播的恶意代码均为U盘病毒。

2.3.1 U盘病毒的运行机理

U盘病毒由于类似蠕虫病毒的功能，当携带病毒的U盘激活后，可以感染宿主电脑，将U盘病毒复制进电脑。此外，宿主电脑复制的U盘病毒不断地扫描硬盘，监控是否存在新的U盘插入，一旦发现有新的U盘插入，会再次感染新插入的U盘。本文以简易的VBS脚本U盘感染病毒为例，从病毒攻击的角度进行研究，用以阐释这种当下人们接触最多、移动硬盘资料最易受感染的病毒运行机理，只有深入地掌握U盘病毒运行的基本知识，才能更好地理解U盘防病毒软件的工作原理。

2.3.2 简易VBS脚本U盘病毒

本文涉及的简易VBS脚本U盘病毒对电脑的危害性并不大，仅仅实现了U盘病毒对宿主电脑的感染及新插入U盘的病毒文件的复制。本文病毒文件包含proj7_2.exe，autorun.inf及4.vbs通过封装软件封装的4.exe文件。VBS脚本封装EXE格式软件如图9所示，U盘中病毒运行的三个文件如图10所示。

病毒对新插入U盘的感染如图11所示，病毒自我复制系统根目录如图12所示。由图11和图12可知，病毒实现了对电脑新插入U盘的监控，当激活后的病毒检查到有新的移动设备插入时，就会将病毒文件复制到移动设备，此外电脑的根目录中也会复制病毒文件。本文此处的病毒文件仅仅具备蠕虫病毒的侵入功能，病毒并不具备破坏性[9]。

2.3.3 文件窃取型VBS病毒

由于利益的驱动，目前很多电脑恶意病毒激活后，携带有盗号木马，骗取IP流量，窃取用户文件，致使蠕虫自动入侵，如网络上曾经出现的熊猫烧香病毒、勒索病毒等。本文选取VBS窃取U盘文件病毒为例进行研究，目的是使用户了解病毒窃取文件的功能模块。VBS病毒窃取的U盘文件如图13所示。

本文中文件窃取型病毒实现了对新插入U盘中目标格式文件的复制、拷贝，窃取型病毒实现了自身在用户系统文件中复制并且病毒在运行自身的过程中释放子病毒，图14展示了文件窃取型病毒的部分源码。文件窃取型病毒带有很强的商业目的，对用户的重要资料危害性很大，本文展示的文件源码属于明文，如果黑客结合病毒的加密等措施，更加大了病毒被解析破译的难度。

2.3.4 恶性VBS文件复制病毒

前文阐述的文件窃取型VBS病毒可对插入电脑内的目标格式文件进行拷贝窃取，缺点是每次拷贝文件后，需要再次点击VBS病毒进行文件窃取。网络的开放性及VBS编码的简易性使得大量VBS脚本经过简单修改后，即可变异成恶性复制型病毒。

U盘实验文件如图15所示，电脑拷贝的U盘文件如图16所示。由图16可知病毒激活后，对U盘文件进行了实时复制和拷贝。电脑实时拷贝U盘文件如图17所示，恶性VBS复制病毒源码如图18所示。由图18可知恶性VBS复制性病毒利用程序编程语言中的循环漏洞，不断地循环检测电脑是否插入有盘符为H的可移动硬盘，如果病毒检测到盘符为H的硬盘，病毒VBS脚本程序将复制硬盘中的资料文件至本地文件夹中。因此对于用户而言，如果目标电脑中存在这种恶性VBS复制性病毒，自己移动硬盘中的资料就会不经易间被窃取、丢失。因此针对当下恶意代码泛滥的网络环境，用户需要提高计算机信息安全的意识，对于需要借助移动U盘拷贝的重要资料，用户在使用电脑之前，建议用杀毒软件进行一次全盘查杀。

2.3.5 恶性VBS脚本U盘感染病毒

前文阐述的VBS脚本病毒激活后不断地监控电脑新插入的U盘，而U盘病毒最大的特征就是传播功能，类似蠕虫病毒的特征，本文在此以VBS脚本U盘感染病毒为例，阐述VBS脚本病毒如何入侵新插入的U盘。当VBS脚本病毒激活后，将电脑硬盘内的病毒文件不断地复制到新插入的U盘中，从而实现U盘感染。

恶性VBS脚本U盘感染病毒如图19所示，U盘感染9.EXE病毒文件如图20所示。由图19和图20可知，VBS脚本母病毒实现了对电脑新插入U盘的实时监控，当有移动硬盘插入时实现了对新插入U盘的病毒复制。更换U盘感染9.EXE病毒文件如图21所示，误击9.EXE病毒文件效果如图22所示。由图21可知更换U盘后，病毒文件依然复制到新插入的U盘。由图22可知当打开移动硬盘后，9.EXE病毒文件不慎被点击后，病毒大量无限繁殖，消耗硬盘的存储空间，损坏移动硬盘设备。

本文中这种恶性复制病毒不慎被点击后，无法删除，解决的措施是打开任务管理器，关闭VBS运行所需要的Wscript.exe关联进程，再次删除U盘中病毒释放的文件。但是如果VBS母病毒脚本包含前文所述的关闭任务管理器进程，关闭杀毒软件进程，则只能采取重装电脑系统等挽救措施[10]。

2.3.6 VBS网页脚本U盘感染病毒

很多恶性计算机病毒的编写从篡改网页开始，经过伪装，用户不慎点击后，就会不断地刷新弹出目的网站的页面或者用户宣传的广告页面。如果病毒弹出的页面恰是黑客预先设定的钓鱼网站，则在一定程度上可能对用户造成经济上的损失。本文以VBS网页脚本U盘感染病毒为例，模拟病毒激活后，感染新的U盘，VBS网页脚本病毒锁定特定网站的实验攻击，目的还是加深用户对此类病毒的理解，提高针对钓鱼网站恶意病毒的防范意识。

VBS网页脚本病毒文件如图23所示，360软件检测到的病毒程序如图24所示。由图23和图24可知，浏览器主页篡改程序被360杀毒软件检测，因此杀毒软件对于网站主页篡改程序的检测很有必要。

360软件检测到U盘的病毒程序如图25所示，由图25可知U盘感染母病毒激活后，新插入电脑的U盘同样感染了VBS网页篡改病毒脚本，但是由于电脑中安装了杀毒软件，杀毒软件可监控到U盘中的VBS网页脚本病毒。网页篡改病毒源码如图26所示，由图26可知VBS网页脚本病毒源码是明文，如果黑客在病毒编写的过程中采用了加壳、加花、病毒封装等技术，则会进一步加大病毒被破译的难度。

2.4 黑客软件的应用

前文主要从黑客专业水平及病毒攻击的角度针对VBS移动U盘病毒及其变种进行研究，由于网络的开放性和大量黑客软件的存在，专业技术水平不是很高的用户往往可以利用这些黑客软件轻易、快速地制造出各种功能复杂极具破坏性的计算机病毒，这在一定程度上加大了网络运行的风险。本文选取一些典型的黑客软件进行阐述，用以提高用户对安装杀毒软件及对网絡下载软件的防范意识。

一些常见的黑客软件如图27所示，由图27可知本文从病毒攻击的角度而言选取了网络常见的一些黑客软件进行阐述（如捆绑工具、QQ盗号木马、病毒制造机等）。网络上的黑客软件不限于本文介绍的几种，学习黑客软件的目的不是破坏网络，而是增进对此类常见黑客软件的了解，只有对其加深了解及掌握，才能更好地避免损失。

捆绑工具的工作原理是把两个病毒文件经过捆绑器软件捆绑后，生成一个复合型更改图标的病毒文件，捆绑后的病毒文件将按照执行捆绑前病毒执行的顺序执行。一些文件捆绑器捆绑病毒文件的同时，增加了捆绑新生成病毒文件的免杀功能，也增强了恶性病毒的生存性。

对于用户通过QQ盗号木马制作出来的病毒程序，一旦用户不慎点击，盗号木马就会潜伏在电脑中。用户再次登录QQ时，QQ用户名及密码等信息就会被黑客事先设定好的发送邮箱发送，由指定的接收邮箱进行接收。当下QQ已经成为人们日常生活中沟通的重要工具，一旦QQ用户名及密码信息泄露，将会对用户的隐私等信息产生严重影响。病毒制造机可以轻易地制造出网络蠕虫病毒，这些黑客软件的存在也使得普通的用户可能具备黑客技术且进一步威胁了网络安全。用户只有加强对黑客软件的了解，能够区分黑客软件的“障眼法”（如此处的QQ盗号木马制作出来的QQ登录界面），才能更好地保护信息安全。

病毒制造机的出现促使网络病毒的制作不再是一件很难完成的事情，病毒制作机器内部包含一些病毒运作的基本模块，用户只需要按照自己的需要即可快速制作出功能复杂、极具破坏性的病毒，黑客利用病毒制作机点击鼠标即可快速完成网络蠕虫病毒的生成。

网络的开源特性促使网络成为一把“双刃剑”，网络上的软件千千万，能够方便人们生活的软件很多，危害网络运行的黑客软件也不仅仅限于本文叙述的这几种。对于广大的用户而言，怎样用好这把“双刃剑”，主要还是靠用户自己。

3 结 语

本文选取VBS脚本U盘病毒作为对象，系统地从病毒攻击和防守两个角度并结合黑客软件阐述病毒运行的机理及防御措施。研究恶性VBS脚本U盘病毒旨在帮助用户揭开病毒的神秘面纱，促使用户了解计算机病毒的生物特性。针对广大用户而言，只有掌握必备的病毒运行机理，才能更好地结合杀毒软件保护好计算机安全。

参 考 文 献

[1]王勇，黄国兴，彭道刚.计算机网络病毒传播模型[J].计算机工程与应用，2006（30）：139-141.

[2]石艳荣，贺永强.一种基于关联的IDS告警分析模型[J].微电子学与计算机，2008（12）：122-124.

[3]王德正.基于VBS脚本病毒分析[J].大众科技，2005（3）：40-41.

[4]万春，刘丽莉.缓冲区溢出攻击手段及防范策略分析[J].集美大学学报，2003（9）：237-242.

[5]高楷模.HTML脚本病毒原理分析与防范策略[J].九江职业技术学院学报，2006（1）：52.

[6]何申，张四海，王煦法，等.网络脚本病毒的统计分析方法[J].计算机学报，2006（6）：969-975.

[7]张涛，张瀚，付垒朋.基于模糊模式与决策树融合的脚本病毒检测算法[J].电子与信息学报，2014（1）：108-113.

[8]向振兴.Script脚本病毒的原理分析及防范措施[J].肇庆学院学报，2005（2）：48-50.

[9]牟晓东.Windows7向脚本病毒说再见[J].电脑知识与技术（经验技巧），2010（9）：66.

[10] HEAV Y D.将VBScript拒之“窗”外：VBScript脚本病毒全接触[J].电脑爱好者，2003（22）：45.