由於被“歡樂時光”(vbs.haptime.a@mm)病毒感染的用戶越來越多,現在賽門鐵剋把它從以前的3級危害升級到了4級(5級危害最高)
“歡樂時光”(vbs.haptime.a@mm)是一個vb源程序病毒,專門感染、l、.vbs、.asp和.htt文件。它作為電子郵件的附件,並利用
outlook express的性能缺陷把自己傳播出去,利用一個被人們所知的microsoft outlook express的安全漏洞,可以在你沒有運行任何附件時就運行自己。還利用outlook express的信紙功能,使自己復製在信紙的html模板上,以便傳播。這和“wscript.kakworm”病毒很相似,當你發信出去時,“歡樂時光”的源病毒隱藏在html文件上。衹要你在outlook express上預覽了隱藏有病毒的html文件,甚至你都不用打開它,它就能感染你的電腦。
當“歡樂時光”發作後:
·它會把自己偽裝成help.hta, help.vbs, help或untitled文件。
·它會在註册表的hkey_current_usersoftwarehelpcount上改變鍵值,更新被感染文件的數量。
·當月份和日期加起來等於13時,源病毒會刪除全部的.exe和.dll文件。
·每個帶有“歡樂時光”病毒的郵件都會是以下的格式:
subject: help
message: (信體是空的)
attachment: untitled (被感染的附件)
被email感染的文件:
, .vbs,.asp或.htt文件的名字都會儲存在係統註册表的hkey_current_usersoftwarehelpfilename裏面。
·每當366個被感染者時,下面兩件事發生的機會相等:
一個是儲存在收信箱裏的所有信都會被回覆以下面的形式:
subject: fw: <最初的發信人地址>
message: (信體是空的)
attachment: untitled (被感染的附件)
另一個情況是以下面的形式嚮默認的所有聯繫人發送email:
subject: help
message: (信體是空的)
attachment: untitled (被感染的附件)
·病毒源程序建立一個新的默認壁紙,顯示一個被感染的help頁面,使病毒可以在啓動時自動運行。為了更好的隱藏自己,它會盡可能的使用一個和被感染之前相同的壁紙。
·源病毒感染在windowsweb文件夾底下的.htt文件。超文本模板文件是用來設計和觀看文件夾的內容的。假如你設定以web方式瀏覽文件夾,那樣你每次瀏覽的文件夾都會被感染。
·病毒會設置一個默認的信紙格式,每次你發信時,它都會連同信體一同發送到別人的電腦上,通過這樣的復製,不斷的蔓延。要註意的是,假如你的email程序或者email服務器不支持html格式的信件,email程序或者email服務器會把信件轉換成附件,發送給你。假如你打開附件,也會感染“歡樂時光”病毒。
賽門鐵剋安全響應中心已經開發了一個使被“vbs.haptime.a@mm”或者“vbs.haptime.b@mm”感染的計算機恢復的程序。到下面的網址可以得到這個程序:
http://www.symantec.com/avcenter/venc/data/vbs.haptime.fixl
刪除病毒方法:
·需要刪除.htt文件,和所有檢測到的“vbs.haptime.a@mm”,刪除註册表裏病毒添加的鍵值,重新設置你的outlook express。
·更新殺毒程序,確保你有最新的病毒定義。
·打開賽門鐵剋防毒(nav),、運行全係統掃描,確保掃描到所有文件。
·更改註册表:點擊開始,點擊運行;輸入“regedit”,點ok,註册表打開;找到下面,並刪除鍵值:
hkey_current_usersoftwarehelpcount
hkey_current_usersoftwarehelpfilename
退出註册表編輯器。
·重新設置微軟的outlook express:打開outlook express;點擊工具,點擊選項;點擊拼寫;在信紙選項,如果你在發信時沒有選擇信紙,就不選擇mail;否則選擇你想用的信紙。
微軟已經對這個存在於“scriptlet.typlib”網絡多媒體化技術控製的安全漏洞設計了補丁程序。可以在下面的網址下載補丁:
http://www.microsoft.com/technet/ie/ tools/scrpteye.asp
如果你安裝了這個補丁以後,這個“歡樂時光”病毒就不會再自動運行了。 |
|
|