|滚动|专题|国内|国际|台港澳|上海|文娱|IT|精选|体育|财经|社会|参考|科教卫|图片|

                     >>新闻中心>>IT新闻>>正文

“欢乐时光”危害升级
2001年9月9日 14:15

东方网9月9日消息:赛门铁克安全响应中心国外机构进一步发现:由于被“欢乐时光”(VBS.Haptime.A@mm)蠕虫病毒感染的用户越来越多,赛门铁克把它从以前的3级危害升级到4级(5级危害最高)。“欢乐时光”(VBS.Haptime.A@mm)是一个VB源程序蠕虫。它专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件,并利用Outlook Express的性能缺陷把自己传播出去。它利用一个被人们所知的Microsoft Outlook Express的安全漏洞,可以在你没有运行任何附件时就运行自己。它利用Outlook Express的信纸功能,使自己复制在信纸的Html模板上,以便传播。这和“Wscript.KakWorm”病毒很相似,当你发信出去时,“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件,甚至你都不用打开它,它就能感染你的电脑。

当“欢乐时光”发作后:

1.它会把自己伪装成Help.hta,Help.vbs,Help.htm或Untitled.htm文件。

2.它会在注册表的HKEY_CURRENT_USER\Software\Help\Count上改变键值,更新被感染文件的数量。

3.当月份和日期加起来等于13时,源病毒会删除全部的.exe和.dll文件。

4.每个带有“欢乐时光”病毒的邮件都会是以下的格式:

Subject:Help

Message:(信体是空的)

Attachment:Untitled.htm (被感染的附件)

5.下一步,被Email感染的文件:.htm,.vbs,.asp或.htt文件的名字都会储存在系统注册表的HKEY_CURRENT_USER\Software\Help\FileName里面。

6.每当366个被感染者时,下面两件事发生的机会相等:

一个是储存在收信箱里的所有信都会被回复以下面的形式:

Subject:Fw:<最初的发信人地址>

Message:(信体是空的)

Attachment:Untitled.htm (被感染的附件)

另一个情况是以下面的形式向默认的所有联系人发送Email:

Subject:Help

Message:(信体是空的)

Attachment:Untitled.htm (被感染的附件)

7.病毒源程序建立一个新的默认壁纸,显示一个被感染的Help.htm页面,使病毒可以在启动时自动运行。为了更好的隐藏自己,它会尽可能的使用一个和被感染之前相同的壁纸。

8.源病毒感染在Windows\web 文件夹底下的.htt文件。超文本模板文件是用来设计和观看文件夹的内容的。假如你设定以Web方式浏览文件夹,那样你每次浏览的文件夹都会被感染。

9.蠕虫会设置一个默认的信纸格式,每次你发信时,它都会连同信体一同发送到别人的电脑上,通过这样的复制,不断的蔓延。

要注意的是,假如你的Email程序或者Email服务器不支持Html格式的信件,Email程序或者Email服务器会把信件转换成附件,发送给你。假如你打开附件,也会感染“欢乐时光”蠕虫病毒。

赛门铁克安全响应中心已经开发了一个使被“VBS.Haptime.A@mm”或者“VBS.Haptime.B@mm”感染的计算机恢复的程序。到下面的网址可以得到这个程序:http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

删除病毒方法:

手动删除这个蠕虫,需要删除.htt文件,和所有检测到的“VBS.Haptime.A@mm”,删除注册表里蠕虫添加的键值,重新设置你的Outlook Express。

铲除这个蠕虫的方法:

1.更新杀毒程序,确保你有最新的病毒定义。

2.打开赛门铁克防毒(NAV),、运行全系统扫描,确保扫描到所有文件。

3.删除任何被感染的文件。

删除.htt文件:

1.用Windows浏览器浏览C:\Windows\Web

注意你的Windows安装的路径是否不同,确保正确的路径。

2.点开始里面的查找,然后搜索文件和文件夹。

3.确保搜索路径设置是C:\Windows\Web。

4.在搜索名称里添:“*.htt”。

5.点击查找。

6.删除找到的文件。

更改注册表:

1.点击开始,点击运行;

2.输入“regedit”,点OK,注册表打开。

3.找到下面,并删除键值:

HKEY_CURRENT_USER\Software\Help\Count

HKEY_CURRENT_USER\Software\Help\FileName

4.退出注册表编辑器。

重新设置微软的Outlook Express:

1.打开Outlook Express;

2.点击工具,点击选项;

3.点击拼写;

4.在信纸选项,如果你在发信时没有选择信纸,就不选择Mail;否则选择你想用的信纸。

微软已经对这个存在于"Scriptlet.TypLib"网络多媒体化技术控制的安全漏洞设计了补丁程序。可以在下面的网址下载补丁:http://www.microsoft.com/technet/ie/tools/scrpteye.asp 如果你安装了这个补丁以后,这个“欢乐时光”蠕虫就不会在自动运行了。

 选稿:延华 来源:人民网 







      江泽民主席访问朝鲜
      朱总理访欧亚四国
      亚洲区十强赛开战
      2001年APEC会议
      东京市中心发生爆炸
      广西矿井透水事故
      深入揭批“法轮功”
      世博会知识竞赛
      伊拉克击落美侦察机
      中国人质命丧菲律宾
      巴以冲突再次升级
      张健横渡英吉利海峡
      美女如云 让你眼花
      王峻涛离开my8848
      北京申奥成功了
      绿岛为上海“降温”
      西藏和平解放50周年
      俄机失事 国人遇难

      解放日报
      文汇报
      新民晚报
      新闻报
      青年报
      劳动报
      SHANGHAIDAILY
      上海人民广播电台
      上海东方广播电台
      上海电视台
      上海东方电视台
      上海教育电视台
      上海有线电视台
      中国网
      人民日报
      新华网
      中国日报
      中青在线
      中央电视台
      中国上海
      千龙新闻网
      中青网
      中央人民广播电台
      中国国际广播电台
      网上浦东
      上海科技网
      古镇南翔