(http://www.epochtimes.com)
【大纪元5月5日讯】国家计算机病毒应急处理中心4月29日接到北京用户的报告,发现一种通过电子邮件传播的新病毒,我们将其命名为“欢乐时光”(Happytime)病毒。
ChinaByte报导,“欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。如果用户使用Outlook,收到带毒邮件,当用户用鼠标指向带病毒的邮件时,不必打开信件,欢乐时光病毒将被激活,并生成如下文件:
c:help.htm
c:windowshelp.vbs
c:windowshelp.hta
c:windowsNTITLED.HTM
然后传染硬盘中的.HTM、.VBS、.HTA、.ASP、.HTML后缀的文件。并修改注册表中部分键值:
1、在HKEY_CURRENT_USERSOFTWARE下新建HELP项,然后新建COUNT键值用于记录病毒感染的次数;新建WALLPAPER键值用于记录修改后的墙纸文件;
2、修改HKEY_CURRENT_USERIDENTITIESXXXXXXXXSOFTWAREMICROSOFTOUTLOOKEXPRESS.0MAIL(其中XXXXXXXX为缺省用户ID值)下键值MESSAGE SEND HTML为1;COMPOSE USESTATIONERY为1;STATIONERY NAME为%WINDOWS%UNTITLED.HTM。
当用户安装了VB,该病毒将会自动给地址薄中的邮件地址发信,邮件标题为“HELP”。但是,该病毒不能正确取到邮件地址,没有发件人,因而不能发送。如果收件箱中的有未读邮件,则病毒会自动回复这些信件。如果未安装VB,则该病毒不会自动通过邮件传播。只有当染毒的用户在发送邮件时,该病毒会自动插入到邮件体中。当用户收到上述邮件后,如果使用OUTLOOK,当光标条移到带毒邮件时,OUTLOOK的预览功能将使病毒自动执行。
当染毒的计算机内的时间是日+月=13,该病毒将逐步删除硬盘中的EXE,DLL文件,最后,导致系统瘫痪。
国家计算机病毒应急处理中心已经将此病毒样本分发给我们应急网中的病毒报告人,目前江民公司、瑞星公司、金山公司、创源公司和熊猫公司都有了解决方案,用户可下载他们的升级程序,及时查杀该病毒。同时,国家计算机病毒应急处理中心提醒广大计算机用户,可以将WINDOWS SCRIPTING HOST卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下:
WINDOWS 98:控制面板-〉添加/删除程序-〉附件-〉WINDOWS SCRIPTING HOST,将WSH卸载,然后,再使用OUTLOOK接受邮件,
目前,应急中心已经接到数十个用户感染报告。并且,节后5月8日将是该病毒第一次发作的日子,国家计算机病毒应急处理中心提醒广大计算机用户,“欢乐时光”病毒不同于以往通过邮件附件传播的计算机病毒,具有极强的传播能力,必须严加防范。 (http://www.dajiyuan.com)
相关文章
