请输入您要查询的百科知识:

 

词条 I-Worm.Happytime病毒
释义

病毒详细信息

简介

“欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,并生成如下文件:

c:\\help.htm

c:\\windows\\help.vbs

c:\\windows\\help.hta

c:\\windows\\UNTITLED.HTM

然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值:

1、在HKEY_CURRENT_USERSOFTWARE下新建HELP项,然后新建COUNT键值用于记录病毒感染的次数;新建WALLPAPER键值用于记录下一个墙纸文件,病毒运行会删除这个墙纸文件。

2、修改HKEY_CURRENT_USER\\IDENTITIES\\XXXXXXXX\\SOFTWARE\\MICROSOFT\\OUTLOOK

EXPRESS .0MAIL(其中XXXXXXXX为缺省用户ID值)下键值MESSAGE SEND HTML为1;COMPOSE

USESTATIONERY为1;STATIONERY NAME为%WINDOWS%\\UNTITLED.HTM。

当用户安装了VB,该病毒将会自动给地址簿中的邮件地址发信,邮件标题为“HELP”。并且病毒还将截取文件中的mailto语句,分离出若干收件人地址,发送带毒附件。如果收件箱中有未读邮件,则病毒会自动回复这些信件。如果未安装VB,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时,该病毒会自动插入到邮件体中。当用户收到上述邮件后,如果使用OUTLOOK,当光标条移到带毒邮件时,OUTLOOK的预览功能将使病毒自动执行。

特征

染毒文件内一定有字符串 I am sorry! Happytime

当染毒的计算机内的时间是日+月=13,该病毒将逐步删除硬盘中的EXE、DLL文件,最后,导致系统瘫痪。

预防

可以将WINDOWS SCRIPTING HOST卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下:

WINDOWS 98:控制面板-〉添加/删除程序-〉附件-〉WINDOWS SCRIPTING HOST,将WSH卸载,然后,再使用OUTLOOK接受邮件。

还可以在病毒感染目录下建立同名文件夹,文件夹里面用Dos命令md nokill..\\建立不可删除文件夹,防止病毒文件生成。

(删除该“不可删除”文件夹时,可用rd nokill..\\)

手工恢复

1、系统恢复:删除文件

c:\\help.htm

c:\\windows\\help.vbs

c:\\windows\\help.hta

c:\\windows\\UNTITLED.HTM

及注册表中HAPPY TIME所添加的键.

2、文件恢复

由于被HAPPYTIME感染的文件只是在文件的尾部被加了一段VBSCRIPT,所以很容易可以手工恢复,操作很简单,就是删除那段VBS就可以了,在第一行声明VBS与程序正文之间有一段空格所以很容易被误认为程序已经被清除,请注意。不过用搜索文件内部内容 I am sorry! Happytime可以保证没有漏网之鱼!

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/14 10:11:53