基本介紹
病毒詳細信息,簡介,特徵,預防,手工恢復,
病毒詳細信息
簡介
“歡樂時光”屬於VBS/HTM蠕蟲類病毒,通過郵件傳播,但不是作為郵件的附屬檔案,而是作為郵件內容。如果用戶使用Outlook,收到帶毒郵件,當用戶用滑鼠指向帶病毒的郵件時,不必打開信件,歡樂時光病毒將被激活,並生成如下檔案:
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\UNTITLED.HTM
1、在HKEY_CURRENT_USERSOFTWARE下新建HELP項,然後新建COUNT鍵值用於記錄病毒感染的次數;新建WALLPAPER鍵值用於記錄下一個牆紙檔案,病毒運行會刪除這個牆紙檔案。
2、修改HKEY_CURRENT_USER\IDENTITIES\XXXXXXXX\SOFTWARE\MICROSOFT\OUTLOOK
EXPRESS .0MAIL(其中XXXXXXXX為預設用戶ID值)下鍵值MESSAGE SEND HTML為1;COMPOSE
USESTATIONERY為1;STATIONERY NAME為%WINDOWS%\UNTITLED.HTM。
當用戶安裝了VB,該病毒將會自動給地址簿中的郵件地址發信,郵件標題為“HELP”。並且病毒還將截取檔案中的mailto語句,分離出若干收件人地址,傳送帶毒附屬檔案。如果收件箱中有未讀郵件,則病毒會自動回復這些信件。如果未安裝VB,則該病毒不會自動通過郵件傳播。只有當染毒的用戶在傳送郵件時,該病毒會自動插入到郵件體中。當用戶收到上述郵件後,如果使用OUTLOOK,當游標條移到帶毒郵件時,OUTLOOK的預覽功能將使病毒自動執行。
特徵
染毒檔案內一定有字元串 I am sorry! Happytime
當染毒的計算機內的時間是日+月=13,該病毒將逐步刪除硬碟中的EXE、DLL檔案,最後,導致系統癱瘓。
預防
WINDOWS 98:控制臺-〉添加/刪除程式-〉附屬檔案-〉WINDOWS SCRIPTING HOST,將WSH卸載,然後,再使用OUTLOOK接受郵件。
還可以在病毒感染目錄下建立同名資料夾,資料夾裡面用Dos命令md nokill..\建立不可刪除資料夾,防止病毒檔案生成。
(刪除該“不可刪除”資料夾時,可用rd nokill..\)
手工恢復
1、系統恢復:刪除檔案
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\UNTITLED.HTM
及註冊表中HAPPY TIME所添加的鍵.
2、檔案恢復
由於被HAPPYTIME感染的檔案只是在檔案的尾部被加了一段VBSCRIPT,所以很容易可以手工恢復,操作很簡單,就是刪除那段VBS就可以了,在第一行聲明VBS與程式正文之間有一段空格所以很容易被誤認為程式已經被清除,請注意。不過用搜尋檔案內部內容 I am sorry! Happytime可以保證沒有漏網之魚!
