開放分類: 電腦、病毒、計算機病毒、計算機安全
由於被“歡樂時光”(VBS.Haptime.A@mm)病毒感染的用戶越來越多,現在賽門鐵克把它從以前的3級危害升級到了4級(5級危害最高)
“歡樂時光”(VBS.Haptime.A@mm)是壹個VB源程序病毒,專門感染.htm、.html、.vbs、.asp和.htt文件。它作為電子郵件的附件,並利用
Outlook Express的性能缺陷把自己傳播出去,利用壹個被人們所知的Microsoft Outlook Express的安全漏洞,可以在妳沒有運行任何附件時就運行自己。還利用Outlook Express的信紙功能,使自己復制在信紙的Html模板上,以便傳播。這和“Wscript.KakWorm”病毒很相似,當妳發信出去時,“歡樂時光”的源病毒隱藏在HTML文件上。只要妳在Outlook Express上預覽了隱藏有病毒的HTML文件,甚至妳都不用打開它,它就能感染妳的電腦。
當“歡樂時光”發作後:
·它會把自己偽裝成Help.hta, Help.vbs, Help.htm或Untitled.htm文件。
·它會在註冊表的HKEY_CURRENT_USER\Software\Help\Count上改變鍵值,更新被感染文件的數量。
·當月份和日期加起來等於13時,源病毒會刪除全部的.exe和.dll文件。
·每個帶有“歡樂時光”病毒的郵件都會是以下的格式:
Subject: Help
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
被Email感染的文件:
.htm, .vbs,.asp或.htt文件的名字都會儲存在系統註冊表的HKEY_CURRENT_USER\Software\Help\FileName裏面。
·每當366個被感染者時,下面兩件事發生的機會相等:
壹個是儲存在收信箱裏的所有信都會被回復以下面的形式:
Subject: Fw: <最初的發信人地址>
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
另壹個情況是以下面的形式向默認的所有聯系人發送Email:
Subject: Help
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
·病毒源程序建立壹個新的默認壁紙,顯示壹個被感染的Help.htm頁面,使病毒可以在啟動時自動運行。為了更好的隱藏自己,它會盡可能的使用壹個和被感染之前相同的壁紙。
·源病毒感染在Windows\web文件夾底下的.htt文件。超文本模板文件是用來設計和觀看文件夾的內容的。假如妳設定以Web方式瀏覽文件夾,那樣妳每次瀏覽的文件夾都會被感染。
·病毒會設置壹個默認的信紙格式,每次妳發信時,它都會連同信體壹同發送到別人的電腦上,通過這樣的復制,不斷的蔓延。要註意的是,假如妳的Email程序或者Email服務器不支持Html格式的信件,Email程序或者Email服務器會把信件轉換成附件,發送給妳。假如妳打開附件,也會感染“歡樂時光”病毒。
賽門鐵克安全響應中心已經開發了壹個使被“VBS.Haptime.A@mm”或者“VBS.Haptime.B@mm”感染的計算機恢復的程序。到下面的網址可以得到這個程序:
/avcenter/venc/data/vbs.haptime.fix.html
刪除病毒方法:
·需要刪除.htt文件,和所有檢測到的“VBS.Haptime.A@mm”,刪除註冊表裏病毒添加的鍵值,重新設置妳的Outlook Express。
·更新殺毒程序,確保妳有最新的病毒定義。
·打開賽門鐵克防毒(NAV),、運行全系統掃描,確保掃描到所有文件。
·更改註冊表:點擊開始,點擊運行;輸入“regedit”,點OK,註冊表打開;找到下面,並刪除鍵值:
HKEY_CURRENT_USER\Software\Help\Count
HKEY_CURRENT_USER\Software\Help\FileName
退出註冊表編輯器。
·重新設置微軟的Outlook Express:打開Outlook Express;點擊工具,點擊選項;點擊拼寫;在信紙選項,如果妳在發信時沒有選擇信紙,就不選擇Mail;否則選擇妳想用的信紙。
微軟已經對這個存在於“Scriptlet.TypLib”網絡多媒體化技術控制的安全漏洞設計了補丁程序。可以在下面的網址下載補丁:
/technet/ie/ tools/scrpteye.asp
如果妳安裝了這個補丁以後,這個“歡樂時光”病毒就不會再自動運行了。