最近一种新型病毒在网上流传开来,这就是“欢乐时光”(Happytime)病毒。 它是一种VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,Foxmail用户如果采用超文本格式来浏览它也会受到感染。并生成如下文件: c:\help.htm; c:\windows\help.vbs; c:\windows\help.hta;c:\windows\NTITLED.HTM。然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值。当染毒的计算机内的时间是日+月=13,该病毒将逐步删除硬盘中的EXE,DLL文件,最后,导致系统瘫痪。目前江民公司、瑞星公司、金山公司、创源公司和熊猫公司都有了解决方案,用户可下载他们的升级程序,及时查杀该病毒。同时,国家计算机病毒应急处理中心提醒广大计算机用户,可以将WINDOWS SCRIPTING HOST卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。由于5月8日是该病毒第一次发作的日子,所以请大家一定要注意!!
病毒名称:VBS.HappyTime
病毒类型:VB SCRIPT病毒
病毒简介:病毒感染过程介绍
VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。
当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta 文件激活病毒,病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行。
若执行感染病毒的 VBS 文件,如果日期和月份数字之和是 13,则病毒会删除从 C: 盘找到的第一个 exe 或 dll 文件;如果是其他时间,则从 C: 盘找到第一个 html、vbs、htm 或 asp 文件,从文件内容中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时,如果当前时间的秒数值正好是偶数,则取得 Outlook Express 收件箱(不包括子目录)中所有信件的发件人地址和主题,然后以转发原信件为主题,给这些地址发送信件,附件为 Untitled.htm 病毒文件;如果秒数为奇数,则读取 Outlook 地址簿中所有联系人的 E-mail 地址,分别发送主题为 Help、附件为 Untitled.htm 病毒文档的邮件。此外,病毒还会修改桌面墙纸的设置,若无墙纸则会设置成 Help.htm,若有墙纸则修改为与原墙纸文件名相同,扩展名为 htm 的文件,而这些文件中带有病毒代码。
如果是通过脚本或其他方式运行病毒,则会在 C:\ 盘下第一个子目录下创建病毒文件 Help.vbs,在 %Windows% 目录下创建病毒文件 Untitled.htm 文件。修改注册表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)项下的三个键值。并查找 Windows\Web 目录下所有 htm、htt、vbs 和 asp 文件,从中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。 病毒脚本代码的第一行为 Rem I am sorry! happy time,可以此来判断一个文件是否已被感染。
病毒生成、修改和删除的文件
1、生成 C:\Help.htm,html 格式的病毒文件(嵌入 html 文件);
2、在 C:\ 盘第一个子目录下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta;
3、在 %Windows% 目录下生成 html 格式的病毒文件 Help.htm 或者与原墙纸文件同名的 html 格式文件(墙纸);
4、每感染一次修改 C: 盘上一个 vbs、html 或者 asp 文件,将其改为病毒代码;
5、修改 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件;
6、每次月份加日期的数字之和为 13 时运行病毒会删除 C: 盘上一个 exe 或 dll 文件。
注册表的修改
1、在 HKEY_CURRENT_USER\Software 下新建 Help 项,然后新建 Count 键值用于记录病毒感染的次数;新建 FileName 键值用于指向下一次将要被删除的文件;新建 wallPaper 键值用于记录修改后的墙纸文件;
2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1;Compose Use Stationery 为 1;Stationery Name 为 %Windows%\Untitled.htm。
病毒的危害
1、破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码);
2、大量散发病毒邮件,本地的联系人地址越多,收件箱中信件越多,散发邮件数量也越多;
3、逐次删除 C: 上可执行文件;
4、修改桌面墙纸的设置;
5、破坏 Windows 资源管理器中缺省的 Web 视图;
手工病毒清除
1、检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件 同名的 html 格式文件,若其中含有 Rem I am sorry! happy time 字符串,则删除该文件;
2、检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
3、检查 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
4、删除 HKEY_CURRENT_USER\Software 下 Help 项;
5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
|