vbs脚本病毒

     VBS脚本病毒功能强大，它可以直接在搜索用户进程然后对进程名进行比较，如果发现是反病毒软件的进程就直接关闭，并对它的某些关键程序进行删除。  
     VBS脚本病毒有时改变某些对象的声明方法,比如fso=createobject("scripting.filesystemobject")，改变为  
fso=createobject("script"＋"ing.filesyste"＋"mobject")，这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。  
     VBS脚本病毒可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术，使得每次感染后的加密病毒的解密后的代码都不一样。下面是一个简单的vbs脚本变形引擎 
Randomize  
Set f = CreateObject("Scripting.FileSystemObject")  
’创建文件系统对象  
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall  
’读取自身代码  
fS=Array("Of", "vC", "fS", "fSC")  
’定义一个即将被替换字符的数组  
For fSC = 0 To 3  
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))  
& Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))  
& Chr((Int(Rnd * 22) + 65)))  
’取4个随机字符替换数组fS中的字符串  
Next  
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC  
’将替换后的代码写回文件  
      上面这段代码使得该VBS文件在每次运行后，其Of，vC，fS，fSC四字符串都会用随机字符串来代替，这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。  
     有时当一个正常程序中用到了FileSystemObject对象的时候，有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高，但是有些VBS脚本病毒同样采用了FileSystemObject对象，却又没有任何警告呢？原因很简单，就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时，会检查程序中是否声明使用了FileSystemObject对象，如果采用了，这会发出报警。如果病毒将这段声明代码转化为字符串，然后通过Execute(String)函数执行，就可以躲避某些反病毒软件。 
   了解了病毒的手段,我们查杀的时候就要小心了.