在XP時(shí)代，少有病毒作者使用。net編程語(yǔ)言開(kāi)發(fā)惡意程序，反病毒廠商也很少檢測(cè)。net文件，因?yàn)槟J(rèn)環(huán)境下。net程序需要額外安裝運(yùn)行時(shí)環(huán)境。但隨著Win7的普及，其自帶的。net環(huán)境免除了這一限制，也讓。net型病毒快速增加;另外由于。net的指令是非x86的中間語(yǔ)言(IL)，也使傳統(tǒng)的啟發(fā)式和虛擬機(jī)引擎很難做到通用檢測(cè)。 最近AVG中國(guó)防病毒實(shí)驗(yàn)室截獲到一款。net下載器，值得一提的是它利用了用戶機(jī)器中的語(yǔ)言編譯器對(duì)自身代碼進(jìn)行重新編譯，以躲過(guò)主防軟件的查殺。

原始文件的。net IL經(jīng)過(guò)加密，受保護(hù)的文件內(nèi)容在經(jīng)過(guò)加密后通過(guò)Assembly.Load重現(xiàn)裝入內(nèi)存，并進(jìn)入入口調(diào)用。

真實(shí)的病毒文件首先向磁盤(pán)寫(xiě)入一個(gè)vb源代碼文件，然后調(diào)用%Windows%\\Microsoft.NET\\Framework \\v2.0.50727\\vbc.exe 將其編譯為WLIDSCV.exe，并設(shè)置自啟動(dòng)。Vbc.exe是。net framework 自帶的vb編譯器。

由于這個(gè)程序是在用戶的機(jī)器上編譯生成的，部分主防認(rèn)為是開(kāi)發(fā)測(cè)試之用，因此忽略這個(gè)文件。病毒因此達(dá)到躲避主防的目的。另外由于源程序每次編譯產(chǎn)生的可執(zhí)行文件都有一些差異，這樣也為病毒逃脫云查殺提供了機(jī)會(huì)。

該文件的代碼也比較簡(jiǎn)單，結(jié)束掉vbc.exe進(jìn)程，并且每3秒鐘檢查一次。net病毒母體是否在運(yùn)行，沒(méi)有在運(yùn)行就啟動(dòng)它。這樣動(dòng)態(tài)編譯出的程序就成為了作為病毒的守護(hù)進(jìn)程存在。

病毒主要的功能是下載，從互聯(lián)網(wǎng)下載一個(gè)新的惡意程序，并運(yùn)行。

下載下來(lái)的文件仍然是一個(gè)。net程序。使用同樣的加密方式。

首先病毒釋放一個(gè)C#源代碼文件，它的功能是注入代碼到目標(biāo)進(jìn)程，使用經(jīng)典的NtUnmapViewOfSection方法。

然后調(diào)用位于C：\Windows\Microsoft.NET\Framework\v2.0.50727 下的csc.exe，將此源代碼編譯為一個(gè)dll.Csc.exe是。net framework自帶的C#編譯器。

病毒體加載這個(gè)dll，并調(diào)用這個(gè)dll將自身中解密出的一個(gè)非。net惡意程序注入到svchost中。病毒編譯生成新dll并調(diào)用新dll，而不是直接調(diào)用的原因是部分啟發(fā)引擎會(huì)識(shí)別。net程序中的引用的Win32API，會(huì)檢測(cè)產(chǎn)生注入的代碼。

由于。net程序難以操作底層，因此。net惡意軟件常常以下載器，釋放器的面目出現(xiàn)，為黑客進(jìn)一步入侵用戶的計(jì)算機(jī)做鋪墊。尤其隨著WP7 等微軟移動(dòng)設(shè)備的普及，。net framework 因?yàn)槠淇缙脚_(tái)，開(kāi)發(fā)較容易的特點(diǎn)，會(huì)吸引越來(lái)越多的開(kāi)發(fā)人員，當(dāng)然其中也包括病毒作者……net惡意軟件也許會(huì)漸漸成為一種趨勢(shì)。AVG提醒廣大用戶，經(jīng)常更新病毒庫(kù)，不輕易運(yùn)行陌生的可執(zhí)行程序，包括。net應(yīng)用程序。