技術 > 快樂時光病毒



目錄 ·No. 1 ·No. 2 ·更多結果... No. 1 　　快樂時光病毒vbs.happytime 是一個感染 vbs、html 和腳本文件的腳本類病毒。該病毒采用 vbscript 語言編寫，它既可在電子郵件的形式通過互聯網進行傳播，也可以在本地通過文件進行感染。 　　當用瀏覽器打開一個被感染的 html 文件時，病毒會設置網頁的時間中斷事件，每 10 秒運行執行 help.vbs 一次，該文件存放在 c: 盤下第一個子目錄下。如果通過 hta 文件激活病毒，病毒還會在 c: 盤下第一個子目錄下生成 help.hta 文件並執行。 　　若執行感染病毒的 vbs 文件，如果日期和月份數字之和是 13，則病毒會刪除從 c: 盤找到的第一個 exe 或 dll 文件；如果是其他時間，則從 c: 盤找到第一個 html、vbs、htm 或 asp 文件，從文件內容中找到 mailto 語句，分解出若幹收件人郵件地址，發送帶有病毒附件(附件名 untitled)的郵件，然後置換文件內容為病毒代碼。當病毒被執行的次數為 366 的整數倍時，如果當前時間的秒數值正好是偶數，則取得 outlook express 收件箱(不包括子目錄)中所有信件的發件人地址和主題，然後以轉發原信件為主題，給這些地址發送信件，附件為 untitled 病毒文件；如果秒數為奇數，則讀取 outlook 地址簿中所有聯繫人的 e-mail 地址，分別發送主題為 help、附件為 untitled 病毒文檔的郵件。此外，病毒還會修改桌面墻紙的設置，若無墻紙則會設置成 help，若有墻紙則修改為與原墻紙文件名相同，擴展名為 htm 的文件，而這些文件中帶有病毒代碼。 　　如果是通過腳本或其他方式運行病毒，則會在 c: 盤下第一個子目錄下創建病毒文件 help.vbs，在 %windows% 目錄下創建病毒文件 untitled 文件。修改註册表 hkey_current_useridentitiesxxxxxxxxsoftwaremicrosoftoutlook express5.0mail(其中 xxxxxxxx 為缺省用戶id值)項下的三個鍵值。並查找 windowsweb 目錄下所有 htm、htt、vbs 和 asp 文件，從中找到 mailto 語句，分解出若幹收件人郵件地址，發送帶有病毒附件(附件名 untitled)的郵件，然後置換文件內容為病毒代碼。 病毒腳本代碼的第一行為 rem i am sorry! happy time，可以此來判斷一個文件是否已被感染。 　　病毒生成、修改和刪除的文件 　　1、生成 c:help，html 格式的病毒文件(嵌入 html 文件)； 　　2、在 c: 盤第一個子目錄下生成 vbs 格式的病毒文件 help.vbs 和 hta 格式的 help.hta； 　　3、在 %windows% 目錄下生成 html 格式的病毒文件 help 或者與原墻紙文件同名的 html 格式文件(墻紙)； 　　4、每感染一次修改 c: 盤上一個 vbs、html 或者 asp 文件，將其改為病毒代碼； 　　5、修改 %windows%web 目錄下所有 vbs、html、htt 和 asp 文件； 　　6、每次月份加日期的數字之和為 13 時運行病毒會刪除 c: 盤上一個 exe 或 dll 文件。 　　註册表的修改 　　1、在 hkey_current_usersoftware 下新建 help 項，然後新建 count 鍵值用於記錄病毒感染的次數；新建 filename 鍵值用於指嚮下一次將要被刪除的文件；新建 wallpaper 鍵值用於記錄修改後的墻紙文件； 　　2、修改 hkey_current_useridentitiesxxxxxxxxsoftwaremicrosoftoutlook express5.0mail(其 中 xxxxxxxx 為缺省用戶id值) 下鍵值 message send html 為 1；compose use stationery 為 1；stationery name 為 %windows%untitled。 　　病毒的危害 　　1、破壞 html、htm、htt、vbs 和 asp 文件的內容(被修改成病毒代碼)； 　　2、大量散發病毒郵件，本地的聯繫人地址越多，收件箱中信件越多，散發郵件數量也越多； 　　3、逐次刪除 c: 上可執行文件； 　　4、修改桌面墻紙的設置； 　　5、破壞 windows 資源管理器中缺省的 web 視圖； 　　手工病毒清除 　　1、檢查 c:help、c: 盤第一個子目錄下的 help.vbs 和 help.hta、%windows% 目錄下 help 或者與原墻紙文件 同名的 html 格式文件，若其中含有 rem i am sorry! happy time 字符串，則刪除該文件； 　　2、檢查 c: 盤上所有 vbs、html 或者 asp 文件，若含有 rem i am sorry! happy time 字符串，則刪除該文件； 　　3、檢查 %windows%web 目錄下所有 vbs、html、htt 和 asp 文件，若含有 rem i am sorry! happy time 字符串，則刪除該文件； 　　4、刪除 hkey_current_usersoftware 下 help 項； 　　5、刪除收件箱中所有帶有 untitled 附件的不明郵件。 No. 2 　　快樂時光病毒VBS.Happytime 是一個感染 VBS、html 和腳本文件的腳本類病毒。該病毒采用 VBScript 語言編寫，它既可在電子郵件的形式通過互聯網進行傳播，也可以在本地通過文件進行感染。 　　當用瀏覽器打開一個被感染的 html 文件時，病毒會設置網頁的時間中斷事件，每 10 秒運行執行 Help.vbs 一次，該文件存放在 C: 盤下第一個子目錄下。如果通過 hta 文件激活病毒，病毒還會在 C: 盤下第一個子目錄下生成 Help.hta 文件並執行。 　　若執行感染病毒的 VBS 文件，如果日期和月份數字之和是 13，則病毒會刪除從 C: 盤找到的第一個 exe 或 dll 文件；如果是其他時間，則從 C: 盤找到第一個 html、vbs、htm 或 asp 文件，從文件內容中找到 mailto 語句，分解出若幹收件人郵件地址，發送帶有病毒附件(附件名 Untitled.htm)的郵件，然後置換文件內容為病毒代碼。當病毒被執行的次數為 366 的整數倍時，如果當前時間的秒數值正好是偶數，則取得 Outlook Express 收件箱(不包括子目錄)中所有信件的發件人地址和主題，然後以轉發原信件為主題，給這些地址發送信件，附件為 Untitled.htm 病毒文件；如果秒數為奇數，則讀取 Outlook 地址簿中所有聯繫人的 E-mail 地址，分別發送主題為 Help、附件為 Untitled.htm 病毒文檔的郵件。此外，病毒還會修改桌面墻紙的設置，若無墻紙則會設置成 Help.htm，若有墻紙則修改為與原墻紙文件名相同，擴展名為 htm 的文件，而這些文件中帶有病毒代碼。 　　如果是通過腳本或其他方式運行病毒，則會在 C: 盤下第一個子目錄下創建病毒文件 Help.vbs，在 %Windows% 目錄下創建病毒文件 Untitled.htm 文件。修改註册表 HKEY_CURRENT_USERIdentitiesXXXXXXXXSoftwareMicrosoftOutlook Express5.0Mail(其中 XXXXXXXX 為缺省用戶ID值)項下的三個鍵值。並查找 WindowsWeb 目錄下所有 htm、htt、vbs 和 asp 文件，從中找到 mailto 語句，分解出若幹收件人郵件地址，發送帶有病毒附件(附件名 Untitled.htm)的郵件，然後置換文件內容為病毒代碼。 病毒腳本代碼的第一行為 Rem I am sorry! happy time，可以此來判斷一個文件是否已被感染。 　　病毒生成、修改和刪除的文件 　　1、生成 C:Help.htm，html 格式的病毒文件(嵌入 html 文件)； 　　2、在 C: 盤第一個子目錄下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta； 　　3、在 %Windows% 目錄下生成 html 格式的病毒文件 Help.htm 或者與原墻紙文件同名的 html 格式文件(墻紙)； 　　4、每感染一次修改 C: 盤上一個 vbs、html 或者 asp 文件，將其改為病毒代碼； 　　5、修改 %Windows%Web 目錄下所有 vbs、html、htt 和 asp 文件； 　　6、每次月份加日期的數字之和為 13 時運行病毒會刪除 C: 盤上一個 exe 或 dll 文件。 　　註册表的修改 　　1、在 HKEY_CURRENT_USERSoftware 下新建 Help 項，然後新建 Count 鍵值用於記錄病毒感染的次數；新建 FileName 鍵值用於指嚮下一次將要被刪除的文件；新建 wallPaper 鍵值用於記錄修改後的墻紙文件； 　　2、修改 HKEY_CURRENT_USERIdentitiesXXXXXXXXSoftwareMicrosoftOutlook Express5.0Mail(其 中 XXXXXXXX 為缺省用戶ID值) 下鍵值 Message Send HTML 為 1；Compose Use Stationery 為 1；Stationery Name 為 %Windows%Untitled.htm。 　　病毒的危害 　　1、破壞 html、htm、htt、vbs 和 asp 文件的內容(被修改成病毒代碼)； 　　2、大量散發病毒郵件，本地的聯繫人地址越多，收件箱中信件越多，散發郵件數量也越多； 　　3、逐次刪除 C: 上可執行文件； 　　4、修改桌面墻紙的設置； 　　5、破壞 Windows 資源管理器中缺省的 Web 視圖； 　　手工病毒清除 　　1、檢查 C:Help.htm、C: 盤第一個子目錄下的 Help.vbs 和 Help.hta、%Windows% 目錄下 Help.htm 或者與原墻紙文件 同名的 html 格式文件，若其中含有 Rem I am sorry! happy time 字符串，則刪除該文件； 　　2、檢查 C: 盤上所有 vbs、html 或者 asp 文件，若含有 Rem I am sorry! happy time 字符串，則刪除該文件； 　　3、檢查 %Windows%Web 目錄下所有 vbs、html、htt 和 asp 文件，若含有 Rem I am sorry! happy time 字符串，則刪除該文件； 　　4、刪除 HKEY_CURRENT_USERSoftware 下 Help 項； 　　5、刪除收件箱中所有帶有 Untitled.htm 附件的不明郵件。