VBS病毒是用VB Script編寫而成，該腳本語言功能非常強大，它們利用Windows系統(tǒng)的開放性特點，通過調(diào)用一些現(xiàn)成的Windows對象、組件，可以直接對文件系統(tǒng)、注冊表等進行控制，功能非常強大。同時，vbs腳本病毒還有反病毒軟件技巧。下面佰佰安全網(wǎng)來介紹下vbs腳本病毒有哪些反病毒軟件技巧。

1)自加密

譬如，新歡樂時光病毒，它可以隨機選取密鑰對自己的部分代碼進行加密變換，使得每次感染的病毒代碼都不一樣，達到了多態(tài)的效果。這給傳統(tǒng)的特征值查毒法帶來了一些困難。病毒也還可以進一步的采用變形技術(shù)，使得每次感染后的加密病毒的解密后的代碼都不一樣。

下面看一個簡單的vbs腳本變形引擎(來自flyshadow)

Randomize

SetOf=CreateObject("Scripting.FileSystemObject")'創(chuàng)建文件系統(tǒng)對象

vC=Of.OpenTextFile(WScript.ScriptFullName,1).Readall'讀取自身代碼

fS=Array("Of","vC","fS","fSC")'定義一個即將被替換字符的數(shù)組

ForfSC=0To3

vC=Replace(vC,fS(fSC),Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65))&Chr((Int(Rnd*22)+65)))'取4個隨機字符替換數(shù)組fS中的字符串

Next

Of.OpenTextFile(WScript.ScriptFullName,2,1).WritelinevC'將替換后的代碼寫回文件

上面這段代碼使得該VBS文件在每次運行后，其Of，vC，fS，fSC四字符串都會用隨機字符串來代替，這在很大程度上可以防止反病毒軟件用特征值查毒法將其查出。

2)巧妙運用Execute函數(shù)

用過VBS程序的朋友是否會覺得奇怪：當一個正常程序中用到了FileSystemObject對象的時候，有些反病毒軟件會在對這個程序進行掃描的時候報告說此Vbs文件的風(fēng)險為高，但是有些VBS腳本病毒同樣采用了FileSystemObject對象，為什么卻又沒有任何警告呢?原因很簡單，就是因為這些病毒巧妙的運用了Execute方法。有些殺毒軟件檢測VBS病毒時，會檢查程序中是否聲明使用了FileSystemObject對象，如果采用了，這會發(fā)出報警。如果病毒將這段聲明代碼轉(zhuǎn)化為字符串，然后通過Execute(String)函數(shù)執(zhí)行，就可以躲避某些反病毒軟件。

3)改變某些對象的聲明方法

譬如fso=createobject("scripting.filesystemobject")，我們將其改變?yōu)?

fso=createobject("script"+"ing.filesyste"+"mobject")，這樣反病毒軟件對其進行靜態(tài)掃描時就不會發(fā)現(xiàn)filesystemobject對象。

4)直接關(guān)閉反病毒軟件

VBS腳本功能強大，它可以直接在搜索用戶進程然后對進程名進行比較，如果發(fā)現(xiàn)是反病毒軟件的進程就直接關(guān)閉，并對它的某些關(guān)鍵程序進行刪除。

以上就是小編今天給帶介紹的vbs腳本病毒的反病毒軟件技巧的相關(guān)知識，想要知道怎樣檢測清除腳本病毒嗎，那么，來佰佰安全網(wǎng)吧，這里有很全面的網(wǎng)絡(luò)病毒小知識哦。

責任編輯:鄒蘭