词条 | I-Worm.Happytime病毒 |
释义 | 病毒详细信息简介“欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,并生成如下文件: c:\\help.htm c:\\windows\\help.vbs c:\\windows\\help.hta c:\\windows\\UNTITLED.HTM 然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值: 1、在HKEY_CURRENT_USERSOFTWARE下新建HELP项,然后新建COUNT键值用于记录病毒感染的次数;新建WALLPAPER键值用于记录下一个墙纸文件,病毒运行会删除这个墙纸文件。 2、修改HKEY_CURRENT_USER\\IDENTITIES\\XXXXXXXX\\SOFTWARE\\MICROSOFT\\OUTLOOK EXPRESS .0MAIL(其中XXXXXXXX为缺省用户ID值)下键值MESSAGE SEND HTML为1;COMPOSE USESTATIONERY为1;STATIONERY NAME为%WINDOWS%\\UNTITLED.HTM。 当用户安装了VB,该病毒将会自动给地址簿中的邮件地址发信,邮件标题为“HELP”。并且病毒还将截取文件中的mailto语句,分离出若干收件人地址,发送带毒附件。如果收件箱中有未读邮件,则病毒会自动回复这些信件。如果未安装VB,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时,该病毒会自动插入到邮件体中。当用户收到上述邮件后,如果使用OUTLOOK,当光标条移到带毒邮件时,OUTLOOK的预览功能将使病毒自动执行。 特征染毒文件内一定有字符串 I am sorry! Happytime 当染毒的计算机内的时间是日+月=13,该病毒将逐步删除硬盘中的EXE、DLL文件,最后,导致系统瘫痪。 预防可以将WINDOWS SCRIPTING HOST卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下: WINDOWS 98:控制面板-〉添加/删除程序-〉附件-〉WINDOWS SCRIPTING HOST,将WSH卸载,然后,再使用OUTLOOK接受邮件。 还可以在病毒感染目录下建立同名文件夹,文件夹里面用Dos命令md nokill..\\建立不可删除文件夹,防止病毒文件生成。 (删除该“不可删除”文件夹时,可用rd nokill..\\) 手工恢复1、系统恢复:删除文件 c:\\help.htm c:\\windows\\help.vbs c:\\windows\\help.hta c:\\windows\\UNTITLED.HTM 及注册表中HAPPY TIME所添加的键. 2、文件恢复 由于被HAPPYTIME感染的文件只是在文件的尾部被加了一段VBSCRIPT,所以很容易可以手工恢复,操作很简单,就是删除那段VBS就可以了,在第一行声明VBS与程序正文之间有一段空格所以很容易被误认为程序已经被清除,请注意。不过用搜索文件内部内容 I am sorry! Happytime可以保证没有漏网之鱼! |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。