當用瀏覽器打開一個被感染的 html 檔案時,病毒會設定網頁的時間中斷事件,每 10 秒運行執行 Help.vbs 一次,該檔案存放在 C:\ 盤下第一個子目錄下。如果通過 hta 檔案激活病毒,病毒還會在 C:\ 盤下第一個子目錄下生成 Help.hta 檔案並執行。
若執行感染病毒的 VBS 檔案,如果日期和月份數字之和是 13,則病毒會刪除從 C: 盤找到的第一個 exe 或 dll 檔案;如果是其他時間,則從 C: 盤找到第一個 html、vbs、htm 或 asp 檔案,從檔案內容中找到 Mailto 語句,分解出若干收件人郵件地址,傳送帶有病毒附屬檔案(附屬檔案名 Untitled.htm)的郵件,然後置換檔案內容為病毒代碼。當病毒被執行的次數為 366 的整數倍時,如果當前時間的秒數值正好是偶數,則取得 Outlook Express 收件箱(不包括子目錄)中所有信件的發件人地址和主題,然後以轉發原信件為主題,給這些地址傳送信件,附屬檔案為 Untitled.htm 病毒檔案;如果秒數為奇數,則讀取 Outlook 地址簿中所有聯繫人的 E-mail 地址,分別傳送主題為 Help、附屬檔案為 Untitled.htm 病毒文檔的郵件。此外,病毒還會修改桌面牆紙的設定,若無牆紙則會設定成 Help.htm,若有牆紙則修改為與原牆紙檔案名稱相同,擴展名為 htm 的檔案,而這些檔案中帶有病毒代碼。
如果是通過腳本或其他方式運行病毒,則會在 C:\ 盤下第一個子目錄下創建病毒檔案 Help.vbs,在 %Windows% 目錄下創建病毒檔案 Untitled.htm 檔案。修改註冊表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 為預設用戶ID值)項下的三個鍵值。並查找 Windows\Web 目錄下所有 htm、htt、vbs 和 asp 檔案,從中找到 mailto 語句,分解出若干收件人郵件地址,傳送帶有病毒附屬檔案(附屬檔案名 Untitled.htm)的郵件,然後置換檔案內容為病毒代碼。 病毒腳本代碼的第一行為 Rem I am sorry! happy time,可以此來判斷一個檔案是否已被感染。
病毒生成、修改和刪除的檔案
1、生成 C:\Help.htm,html 格式的病毒檔案(嵌入 html 檔案);2、在 C:\ 盤第一個子目錄下生成 VBS 格式的病毒檔案 Help.vbs 和 hta 格式的 Help.hta;
3、在 %Windows% 目錄下生成 html 格式的病毒檔案 Help.htm 或者與原牆紙檔案同名的 html 格式檔案(牆紙);
4、每感染一次修改 C: 盤上一個 vbs、html 或者 asp 檔案,將其改為病毒代碼;
5、修改 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 檔案;
6、每次月份加日期的數字之和為 13 時運行病毒會刪除 C: 盤上一個 exe 或 dll 檔案。
註冊表的修改
1、在 HKEY_CURRENT_USER\Software 下新建 Help 項,然後新建 Count 鍵值用於記錄病毒感染的次數;新建 FileName 鍵值用於指向下一次將要被刪除的檔案;新建 wallPaper 鍵值用於記錄修改後的牆紙檔案;2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 為預設用戶ID值) 下鍵值 Message Send HTML 為 1;Compose Use Stationery 為 1;Stationery Name 為 %Windows%\Untitled.htm。
病毒的危害
1、破壞 html、htm、htt、vbs 和 asp 檔案的內容(被修改成病毒代碼);2、大量散發病毒郵件,本地的聯繫人地址越多,收件箱中信件越多,散發郵件數量也越多;
3、逐次刪除 C: 上可執行檔案;
4、修改桌面牆紙的設定;
5、破壞 Windows 資源管理器中預設的 Web 視圖;
手工病毒清除
1、檢查 C:\Help.htm、C:\ 盤第一個子目錄下的 Help.vbs 和 Help.hta、%Windows% 目錄下 Help.htm 或者與原牆紙檔案 同名的 html 格式檔案,若其中含有 Rem I am sorry! happy time 字元串,則刪除該檔案;2、檢查 C: 盤上所有 vbs、html 或者 asp 檔案,若含有 Rem I am sorry! happy time 字元串,則刪除該檔案;
3、檢查 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 檔案,若含有 Rem I am sorry! happy time 字元串,則刪除該檔案;
4、刪除 HKEY_CURRENT_USER\Software 下 Help 項;
5、刪除收件箱中所有帶有 Untitled.htm 附屬檔案的不明郵件。