病毒詳細信息
“歡樂時光”屬於VBS/HTM蠕蟲類病毒,通過郵件傳播,但不是作為郵件的附屬檔案,而是作為郵件內容。如果用戶使用Outlook,收到帶毒郵件,當用戶用滑鼠指向帶病毒的郵件時,不必打開信件,歡樂時光病毒將被激活,並生成如下檔案:
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\NTITLED.HTM
然後傳染硬碟中的.HTM、.VBS、.HTA、.ASP、.HTML後綴的檔案。
修改註冊表中部分鍵值:
1、在HKEY_CURRENT_USERSOFTWARE下新建HELP項,然後新建COUNT鍵值用於記錄病毒感染的次數;新建WALLPAPER鍵值用於記錄修改後的牆紙檔案;
2、修改HKEY_CURRENT_USER\IDENTITIES\XXXXXXXX\SOFTWARE\MICROSOFT\OUTLOOK
EXPRESS .0MAIL(其中XXXXXXXX為預設用戶ID值)下鍵值MESSAGE SEND HTML為1;COMPOSE
USESTATIONERY為1;STATIONERY NAME為%WINDOWS%UNTITLED.HTM。
當用戶安裝了VB,該病毒將會自動給地址薄中的郵件地址發信,郵件標題為“HELP”。但是,該病毒不能正確取到郵件地址,沒有發件人,因而不能傳送。如果收件箱中的有未讀郵件,則病毒會自動回復這些信件。如果未安裝VB,則該病毒不會自動通過郵件傳播。只有當染毒的用戶在傳送郵件時,該病毒會自動插入到郵件體中。當用戶收到上述郵件後,如果使用OUTLOOK,當游標條移到帶毒郵件時,OUTLOOK的預覽功能將使病毒自動執行。
當染毒的計算機內的時間是日+月=13,該病毒將逐步刪除硬碟中的EXE,DLL檔案,最後,導致系統癱瘓。
四、預防
可以將WINDOWS SCRIPTING
HOST卸載,這樣,可以阻止VBS腳本程式執行,從而,保證即使收到帶毒郵件,也可以防止“歡樂時光”病毒傳染、破壞。卸載方法如下:
WINDOWS 98:控制臺-〉添加/刪除程式-〉附屬檔案-〉WINDOWS SCRIPTING
HOST,將WSH卸載,然後,再使用OUTLOOK接受郵件。
五、手工恢復
1、系統恢復:刪除檔案
c:\help.htm
c:\windows\help.vbs
c:\windows\help.hta
c:\windows\NTITLED.HTM
及註冊表中HAPPY TIME所添加的鍵.
2、檔案恢復
由於被HAPPYTIME感染的檔案只是在檔案的尾部被加了一段VB
SCRIPT所以很容易可以手工恢復,操作很簡單就是刪除那段VBS就可以了,在第一行聲明VBS與程式正文之間有一段空格所以很容易被誤認為程式已經被清除,請注意。