這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶權限設置不當進行感染傳播；病毒本身是ascii碼或者加密的ascii碼，通過特定的腳本解釋器執(zhí)行產生規(guī)定行為，因其行為對計算機用戶造成傷害，因此被定性為惡意程序。最常見的行為就是修改用戶主頁，搜索頁，修改用戶收藏夾，在每個文件夾下放置自動執(zhí)行文件拖慢系統(tǒng)速度等；比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬于這類。

 

腳本病毒淺析：

 

為了完成一些自動化的任務，需要用程序方式來實現(xiàn)。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率，方便用戶操作，加強系統(tǒng)特性，于是許多軟件/操作系統(tǒng)都預留了接口給用戶，用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的，不編譯，直接解釋執(zhí)行，在調試/修改使用上相當簡便，雖然犧牲一定效率，但是換來了易用性。這本是一個良好的愿望，但太多的時候，這沒有起到積極的作用，反而為腳本病毒編寫者提供了良機。

 

腳本病毒實例：

 

由于用戶缺乏安全意識用錯誤的權限登陸，導致ie中的解釋器使用wsh可以操作硬盤上的文件和注冊表，而javascript和vbscript調用wsh是很容易的事情——于是惡意腳本的作者只需要讓你訪問該頁面，就能在你本地寫上一些惡意的腳本，在注冊表里修改你的主頁/搜索項了。

 

但是

 

1.利用ie的activex檢查漏洞，則可以在不提示地情況下從網絡上下載文件并自動執(zhí)行——這就成了木馬攻擊的前奏曲；

 

2.利用mime頭漏洞，則可以用一個以jpg結尾的url中，指向一個事實上的web頁，然后在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶；

 

3.利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執(zhí)行惡意2進制代碼；

 

4.利用本地硬盤上有執(zhí)行autorun.inf的特性（這功能本來是光驅用的，我們的光盤之所以放進去就能自動讀出程序，就是光盤上有個名為autorun.inf文件起的作用，它是個文本文件，各位可以看看）把一些需要加載的程序寫到該文件下導致每次訪問該分區(qū)的時候就會自動運行；

 

5.利用windows下會優(yōu)先讀取folder.htt和desktop.ini的特性，將惡意代碼寫入其中，導致訪問任何一個文件夾的時候都會啟動該病毒，再配合上鎖定注冊表的功能，殺除起來異常麻煩——不復雜，但是相當煩瑣，一不留意沒殺干凈一處，又導致死灰復燃，前功盡棄。

 

腳本病毒自查：

 

上面有提到，這類病毒一般以搗亂居多，所以特別容易發(fā)現(xiàn)。而其另一個作用是作為木馬進駐系統(tǒng)的先遣部隊，利用瀏覽器漏洞等達到下載木馬文件到本地硬盤，并修改啟動項，達到下次啟機運行的目的。因此一旦發(fā)現(xiàn)木馬的同時，也可以檢查一下是不是有些可疑的腳本文件。

 

腳本病毒查殺：

 

這類病毒一般來說由于其編寫靈活，源代碼公開，所以衍生版本格外地多；殺毒軟件/木馬殺除軟件對待這類病毒大多沒用。而由于腳本病毒（除宏病毒外）大多是獨立文件，只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是，利用微軟的瀏覽器的漏洞，在點擊選擇某些文件的同時就自動執(zhí)行了，甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。

 

正確的做法是使用其他第三方的資源瀏覽器，例如Total Command就是一個非常不錯的選擇。查殺大致過程如下：首先，在資源瀏覽器——工具——文件夾選項中，將“使用Windows傳統(tǒng)風格的桌面”取消掉，在桌面上點右鍵，點“屬性”——“桌面設置”，將使用活動桌面取消，接著查殺可疑對象；常見查殺對象：各個根分區(qū)下的autorun.inf，各個目錄下的desktop.ini和folder.htt（有幾個是系統(tǒng)自帶的，不過刪除了也無關系的），這一步最好采用第三方的資源瀏覽器，例如前面介紹的Total Command來完成。在這一步，最忌諱查殺不凈，即使有一個病毒遺漏，很快就又遍布各個文件夾內了。關于郵件病毒的殺除使用專殺工具就行了。

 

腳本病毒殘留：

 

純粹腳本病毒在殺除后不會有任何殘留，但由于目前的病毒大都采用復合形態(tài)，捆綁多種傳染方式和多種特性，因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其后進入系統(tǒng)，因此在殺除掉腳本病毒后，非常有必要連帶著檢查系統(tǒng)中是否已經有了木馬和蠕蟲病毒。

 

腳本病毒防御：

 

腳本病毒的特性之一就是被動觸發(fā)——因此防御腳本病毒最好的方法是不訪問帶毒的文件/web網頁，在網絡時代，腳本病毒更以欺騙的方式引誘人運行居多。由于ie本身存在多個漏洞，特別是執(zhí)行activex的功能存在相當大的弊端，最近爆出的重大漏洞都和它有關，包括mozilla的windows版本也未能幸免。因此個人推薦使用myie2軟件代替ie作為默認瀏覽器，因為myie2中有個方便的功能是啟用/禁用web頁面的activex控件，在默認的時候，可以將頁面中的activex控件全部禁用，待訪問在線電影類等情況下根據自己的需要再啟用。關于郵件病毒，大多以eml作為文件后綴的，如果您單機有用outlook取信的習慣，最好準備一個能檢測郵件病毒的殺毒軟件并及時升級。如果非必要，將word等office軟件中的宏選項設置為禁用。

 

腳本病毒是目前網絡上最為常見的一類病毒，它編寫容易，源代碼公開，修改起來相當容易和方便，而且往往給用戶造成的巨大危害。所以經常上網的用戶要多多留意，不要讓腳本病毒纏身。