20CN网络安全小组第一代论坛
发表新主题  发表回复

个人资料 | 社区目录 用户登录 | | 论坛搜索 | 常见问题 | 论坛主页
  下一个最老的主题   下一个最新的主题
» 20CN网络安全小组第一代论坛   » 安 全 基 地   » 菜鸟乐园   » 今天是6月7日,关于“欢乐时光”病毒!

   
作者 标题: 今天是6月7日,关于“欢乐时光”病毒!
悟休
未注册


图标 1  发表于         编辑/删除帖子   引用原文回复  
我算是倒霉透顶,昨天给人用网页炸弹炸晕了,今天有中了这“欢乐时光”病毒,更气愤的是今天是6月7日,6+7=13,刚好中招。
事情是这样,高渐飞晚上要我帮他分析一段代码,说自己中了木马,硬盘的东西被删掉了,但是找不到7626连接的IP,于是发给我一个Help.vbs我当时没想,由于我的系统装了Windows Scripting Host(粗心的朋友可能都装了,在控制面版--添加删除程序---WINDOWS安装程序---附件里面)那么只要鼠标移动到这个文件上,便已经自动运行了这个脚本程序。
幸好我从来不用OUTLOOK不然我的好友就遭殃了,
病毒的解决方案主要有以下5种。


  ☆在Windows“开始”菜单下选择“运行”,运行Regedit,找到Hkey_Current_UserIdentities{AECF6CA3-9614-4AF4-AEF2-CT63FE9D97A4}SoftwareMicrosoftOutlook Express.0Mail,其中有3项:

  →Message Send Html="1"

  →Com Pose Use Stationery="1"

  →Stationery Name="C:\Windows\Untitled.htm"

  将其键值删除即可。

  然后用同样方法将Hkey_Current_UserControl PanelDesktop中Wallpaper="C:\WINDOWS\HELP.HTM"键值删除。

  ☆在Windows的“开始”菜单中运行“win.ini”,将其中的“Wallpaper=”等号后的键值删除。

  ☆运行最新版KV3000或KVD3000查杀硬盘,杀毒过程中如果出现“Help.vbs;help.hta;untitled.htm”等文件提示“删除”选择“Y”即可。

  ☆查完毒后,最好安装最新的杀毒软件来加强防范。

  ☆将WSH(Windows Scripting Host)功能去掉可以预防此类病毒的侵害。

  步骤是:

  →单击“开始”->“设置”->“控制面板”

  →双击“添加/删除程序”->“Windows安装程序”、“附件”

  →将“组件”中的“Windows scripting host”所占空间1.1MB的“选择划勾”去掉,然后选“确定”即可。
--------------------------------------------------------------------------------
其实我们可以看到此病毒其中的代码:

Key = CInt(Month(Date) + Day(Date))
If Key = 13 Then
Od.RemoveAll
Od.Add "exe", "0001"
Od.Add "dll", "0001"
End If
---------------------------------------------
这个 Key = 13 为病毒触发条件,也就是说当日和月的和为13时
Od.Add "exe", "0001"
Od.Add "dll", "0001"
为执行时破坏删除EXE DLL文件
哈哈,如果我们将其修改为
Key = N 这个N>43 那么这个条件便不存在,也就是说不可能出现比12月31日还大的日期数值,或者将
Od.Add "exe", "0001"
Od.Add "dll", "0001"
修改为
Od.Add "exeexexexe", "0001"
Od.Add "dlllllllll", "0001"
哈哈,那么病毒就找不到这样后缀的文件,
其修改注册表的代码如下
oeid = Rg("HKEY_CURRENT_USER\Identities\Default User ID")
oe = "HKEY_CURRENT_USER\Identities\" & oeid & "\Software\Microsoft\Outlook Express\5.0\Mail"
MSH = oe & "\Message Send HTML"
CUS = oe & "\Compose Use Stationery"
SN = oe & "\Stationery Name"
Rw MSH, 1
Rw CUS, 1
Rw SN, bf
--------------------------------------------------------------------------------
我们将其修改为
oeid = Rg("HKEY_CURRENT_USER\Identities\Default User ID")
oe = "HKEY_CURRENT_USER\Identities\" & oeid & "\Software\Microsoft\Outlook Express\5.0\Mail"
MSH = oe & "\Message Send HTML"
CUS = oe & "\Compose Use Stationery"
SN = oe & "\Stationery Name"
Rw MSH, 0
Rw CUS, 0
Rw SN, 0
------------------------------------------------------------------------
这样病毒程序就变成解毒程序了!哈哈哈哈!
当然,通过修改程序也可以使此病毒变种,例如以前“欢乐时光”的病毒邮件主题为HELP,但是现在已经被人修改成为其他,所以大家要加强防范,另外,触发时间也可以修改的,说到这里,请大家注意,我并不是要大家去将此病毒变种然后去害人,我只是希望大家能和我一起分析一下这个危害性很大的病毒。
这里提供病毒下载,大家可以仔细研究,
不过切记:先删掉Windows Scripting Host,否则只要鼠标移到那里或着打开这个网页就感染病毒了。
“欢乐时光”病毒

IP: 已记录

 
发表新主题  发表回复 关闭主题 突出主题 移动主题 删除主题 下一个最老的主题   下一个最新的主题
- 适于打印的主题视图
转到:
联系我们 | 20CN网络安全小组

Powered by Infopop Corporation
UBB.classic™ 6.5.0
NetDemon修改版 1.5.0, 20CN网络安全小组 版权所有。