快乐耳朵（Trojan.Happyear.a）病毒解决方案

知识库编号： RSV0512301

内容分类： 木马病毒

关键词： 快乐耳朵;Trojan.Happyear.a

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

快乐耳朵（Trojan.Happyear.a）病毒资料及解决方案。

2004年9月1日，瑞星全球反病毒监测网截获了一个专门偷窃某国内著名网上银行用户的木马病毒，并于当天上午进行了紧急升级。病毒作者建立了所谓的“电影偷拍网站”，用电子邮件、论坛发贴等方式引诱网民登陆此网站，网站会提醒用户说“要想观看本站电影，必须安装最新的微软媒体播放器编码器”。这个“编码器”就是病毒。

当用户电脑被病毒感染之后，再进行网络银行业务的时候，包括账号、密码、数字证书等银行资料就可能被窃取。利用窃取的资料，病毒作者可以进行银行转账等操作，从而给用户的资金安全造成风险。

瑞星反病毒专家提醒说，当用户通过网络银行进行重要的操作如转账、消费、购买股票时，应开启杀毒软件的实时监控功能，并打开个人防火墙，以防范病毒感染和黑客攻击。

病毒评估

1．病毒中文名：快乐耳朵

2．病毒英文名：Trojan.Happyear.a

3．病毒类型：木马病毒

4．病毒危险等级：★★★★

5．病毒传播途径：恶意网站散播

6．病毒依赖系统：Windows 9X/NT/2000/XP

病毒的破坏

1．在中毒电脑上收集电子邮件地址，向其疯狂发送诱惑性邮件，诱使更多用户上当。

2．试图偷取用户的网络银行资料，从而威胁用户的资金安全。

技术分析报告

1．该病毒使用Visual Basic语言编写。

2．运行后，病毒会把自己复制到系统目录下，病毒文件名为“RUND1132.EXE”。

3．病毒主要由一些恶意网站散播，冒充微软媒体播放器的编码器，欺骗用户下载。

4．在注册表启动项下添加键值："TaskBellExe" = "%SYSDIR%\\RUND1132.EXE"，以实现开机自启动。

5．频繁搜索IE标题栏和地址栏，如果发现用户正在登陆某网络银行，则记录账号、密码，如果用户进行恢复数字证书操作，则试图截取数字证书信息。

6．中毒电脑上搜索电子邮件地址，向这些地址发送病毒邮件，但不向以反病毒公司名称为后缀的地址发送，以逃避反病毒公司的追杀。

7．发送的诱惑性病毒邮件，题目是“快来看看我的偷拍作品”，内容为“我是某五星级酒店的经理,同时我也是一名专拍社会丑恶现象的偷拍爱好者……”。

解决方案

瑞星杀毒软件16.42.11及以上版本可以彻底查杀“快乐耳朵”病毒，瑞星用户请升级到最新版本即可拦截该病毒。