病毒详细信息(简介 特征)

预防

手工恢复

病毒详细信息

简介

“欢乐时光”属于VBS/HTM蠕虫类病毒，通过邮件传播，但不是作为邮件的附件，而是作为邮件内容。如果用户使用Outlook，收到带毒邮件，当用户用鼠标指向带病毒的邮件时，不必打开信件，欢乐时光病毒将被激活，并生成如下文件：

c:\\help.htm

c:\\windows\\help.vbs

c:\\windows\\help.hta

c:\\windows\\UNTITLED.HTM

然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值：

1、在HKEY_CURRENT_USERSOFTWARE下新建HELP项，然后新建COUNT键值用于记录病毒感染的次数；新建WALLPAPER键值用于记录下一个墙纸文件，病毒运行会删除这个墙纸文件。

2、修改HKEY_CURRENT_USER\\IDENTITIES\\XXXXXXXX\\SOFTWARE\\MICROSOFT\\OUTLOOK

EXPRESS .0MAIL(其中XXXXXXXX为缺省用户ID值)下键值MESSAGE SEND HTML为1；COMPOSE

USESTATIONERY为1；STATIONERY NAME为%WINDOWS%\\UNTITLED.HTM。

当用户安装了VB，该病毒将会自动给地址簿中的邮件地址发信，邮件标题为“HELP”。并且病毒还将截取文件中的mailto语句，分离出若干收件人地址，发送带毒附件。如果收件箱中有未读邮件，则病毒会自动回复这些信件。如果未安装VB，则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时，该病毒会自动插入到邮件体中。当用户收到上述邮件后，如果使用OUTLOOK，当光标条移到带毒邮件时，OUTLOOK的预览功能将使病毒自动执行。

特征

染毒文件内一定有字符串 I am sorry! Happytime

当染毒的计算机内的时间是日+月=13，该病毒将逐步删除硬盘中的EXE、DLL文件，最后，导致系统瘫痪。

预防

可以将WINDOWS SCRIPTING HOST卸载，这样，可以阻止VBS脚本程序执行，从而，保证即使收到带毒邮件，也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下：

WINDOWS 98:控制面板-〉添加／删除程序-〉附件-〉WINDOWS SCRIPTING HOST,将WSH卸载，然后，再使用OUTLOOK接受邮件。

还可以在病毒感染目录下建立同名文件夹，文件夹里面用Dos命令md nokill..\\建立不可删除文件夹，防止病毒文件生成。

（删除该“不可删除”文件夹时，可用rd nokill..\\）

手工恢复

1、系统恢复：删除文件

c:\\help.htm

c:\\windows\\help.vbs

c:\\windows\\help.hta

c:\\windows\\UNTITLED.HTM

及注册表中HAPPY TIME所添加的键.

2、文件恢复

由于被HAPPYTIME感染的文件只是在文件的尾部被加了一段VBSCRIPT，所以很容易可以手工恢复，操作很简单，就是删除那段VBS就可以了，在第一行声明VBS与程序正文之间有一段空格所以很容易被误认为程序已经被清除，请注意。不过用搜索文件内部内容 I am sorry! Happytime可以保证没有漏网之鱼！