病毒传播平台:
WIN9X,WIN2K/NT
病毒特征:
欢乐时光属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,并生成如下文件:
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\NTITLED.HTM
然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值:
1、在HKEY_CURRENT_USERSOFTWARE下新建HELP项,然后新建COUNT键值用于记录病毒感染的次数;新建WALLPAPER键值用于记录修改后的墙纸文件;
2、修改HKEY_CURRENT_USER\IDENTITIES\XXXXXXXX\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS�.0MAIL(其中XXXXXXXX为缺省用户ID值)下键值MESSAGE SEND HTML为1;COMPOSE USESTATIONERY为1;STATIONERY NAME为%WINDOWS%UNTITLED.HTM。
当用户安装了VB,该病毒将会自动给地址薄中的邮件地址发信,邮件标题为“HELP”。但是,该病毒不能正确取到邮件地址,没有发件人,因而不能发送。如果收件箱中的有未读邮件,则病毒会自动回复这些信件。如果未安装VB,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时,该病毒会自动插入到邮件体中。当用户收到上述邮件后,如果使用OUTLOOK,当光标条移到带毒邮件时,OUTLOOK的预览功能将使病毒自动执行。
当染毒的计算机内的时间是日+月=13,该病毒将逐步删除硬盘中的EXE,DLL文件,最后,导致系统瘫痪。
病毒预防:
可以将WINDOWS SCRIPTING HOST卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下:
WINDOWS 98:控制面板-〉添加/删除程序-〉附件-〉WINDOWS SCRIPTING HOST,将WSH卸载,然后,再使用OUTLOOK接受邮件。
手工恢复
1、系统恢复:删除文件
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\NTITLED.HTM
及注册表中HAPPY TIME所添加的键.
2、文件恢复
由于被HAPPYTIME感染的文件只是在文件的尾部被加了一段VB SCRIPT所以很容易可以手工恢复,操作很简单就是删除那段VBS就可以了,在第一行声明VBS与程序正文之间有一段空格所以很容易被误认为程序已经被清除,请注意。
|
论坛用户
论坛用户
论坛: 病毒专区
标题: 哪个大虾救我,怎么杀欢乐时光病毒?
