中毒症狀
當“歡樂時光”發作後:
•它會把自己僞裝成Help.hta,Help.vbs,Help.htm或Untitled.htm文件。
•它會在注冊表的HKEY_CURRENT_USERSoftwareHelpCount上改變鍵值,更新被感染文件的數量。
•當月份和日期加起來等于13時,源病毒會删除全部的.exe和.dll文件。
•每個帶有“歡樂時光”病毒的郵件都會是以下的格式:
Subject:Help
Message:(信體是空的)
Attachment:Untitled.htm(被感染的附件)
被Email感染的文件:
.htm,.vbs,.asp或.htt文件的名字都會儲存在系統注冊表的HKEY_CURRENT_USERSoftwareHelpFileName裡面。
•每當366個被感染者時,下面兩件事發生的機會相等:
一個是儲存在收信箱裡的所有信都會被回複以下面的形式:
Subject:Fw:
Message:(信體是空的)
Attachment:Untitled.htm(被感染的附件)
另一個情況是以下面的形式向默認的所有聯系人發送Email:
Subject:Help
Message:(信體是空的)
Attachment:Untitled.htm(被感染的附件)
•病毒源程序建立一個新的默認壁紙,顯示一個被感染的Help.htm頁面,使病毒可以在啟動時自動運行。為了更好的隐藏自己,它會盡可能的使用一個和被感染之前相同的壁紙。
•源病毒感染在Windowsweb文件夾底下的.htt文件。超文本模闆文件是用來設計和觀看文件夾的内容的。假如你設定以Web方式浏覽文件夾,那樣你每次浏覽的文件夾都會被感染。
•病毒會設置一個默認的信紙格式,每次你發信時,它都會連同信體一同發送到别人的電腦上,通過這樣的複制,不斷的蔓延。要注意的是,假如你的Email程序或者Email服務器不支持Html格式的信件,Email程序或者Email服務器會把信件轉換成附件,發送給你。假如你打開附件,也會感染“歡樂時光”病毒。
賽門鐵克安全響應中心已經開發了一個使被“VBS.Haptime.A@mm”或者“VBS.Haptime.B@mm”感染的計算機恢複的程序。到下面的網址可以得到這個程序:http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html
删除病毒方法
•需要删除.htt文件,和所有檢測到的“VBS.Haptime.A@mm”,删除注冊表裡病毒添加的鍵值,重新設置你的OutlookExpress。
•更新殺毒程序,确保你有最新的病毒定義。
•打開賽門鐵克防毒(NAV),、運行全系統掃描,确保掃描到所有文件。
•更改注冊表:點擊開始,點擊運行;輸入“regedit”,點OK,注冊表打開;找到下面,并删除鍵值:
HKEY_CURRENT_USERSoftwareHelpCount
HKEY_CURRENT_USERSoftwareHelpFileName
退出注冊表編輯器。
•重新設置微軟的OutlookExpress:打開OutlookExpress;點擊工具,點擊選項;點擊拼寫;在信紙選項,如果你在發信時沒有選擇信紙,就不選擇Mail;否則選擇你想用的信紙。
微軟已經對這個存在于“Scriptlet.TypLib”網絡多媒體化技術控制的安全漏洞設計了補丁程序。可以在下面的網址下載補丁:http://www.microsoft.com/technet/ie/
tools/scrpteye.asp
如果你安裝了這個補丁以後,這個“歡樂時光”病毒就不會再自動運行了。
補救措施
瑞星等各大反病毒公司陸續收到了用戶的一種新病毒疫情反饋,同時,公安部和國家計算機病毒應急處理中心也紛紛發出了該新病毒的疫情預報。這種病毒在用戶那裡造成的最直接反映是發現系統資源不足,後來經過殺毒軟件公司的詳細分析,發現這還僅僅是病毒沒有大規模造成破壞的前期症狀,該病毒真正的第一次大規模發作日期應該在5月8日,也就是五一長假後的第一個工作日,它會删除用戶的部分系統文件,造成部分應用程序不能運行甚至操作系統不能啟動。
也許是巧合,該病毒在傳播郵件的正文中包含happytime的字樣,仿佛是病毒制造者那張邪惡的臉在向人們嘲笑,歡樂假期後的第一個工作日,你快樂否?于是,該病毒就順理成章地被大家一緻定名為歡樂時光病毒。
目前,針對歡樂時光病毒本身,各大反病毒公司都及時推出了升級版本,同時由于媒體的及時宣傳報道,公衆加大了防犯意識,可以說該病毒還沒有造成大面積的危害。根據瑞星公司網站技術人員的統計,5月8日這一天到瑞星網站升級的用戶比平時多了一倍多,達到了8萬人次。可見全社會的及時宣傳和整體防範意識的是防止惡性病毒大規模爆發的有效措施。
從技術上,歡樂時光病毒并不包含什麼新的東西,它具有蠕蟲特性,與去年五一期間大規模爆發的“愛蟲”病毒一樣,都是通過微軟的郵件客戶端程序Outlook,自動地向地址本中的地址發送帶毒郵件,這也是目前病毒傳播的最主要的途徑之一。據統一,目前80%以上的病毒都是通過郵件來傳播的。
與“愛蟲”不同的是,該病毒的病毒代碼不僅僅包含在郵件附件中,受害用戶不需要打開并執行病毒郵件附件,僅僅在預覽帶毒郵件時,嵌入在郵件體中的VBScript代碼已經開始執行,完成了病毒的傳播和感染過程。這也不是什麼新的東西,去年流行的“泡沫小子”等病毒,已經具備了相同的特征。
不過,據各種情況分析看,歡樂時光病毒應該是國内首次出現的這種類型的病毒。似乎标志中國的病毒制造者在趕超國際流行趨勢不甘人後的姿态。它結合了蠕蟲特性和在用戶不直接打開情況下直接運行特性,同時能夠感染本地的網頁以及腳本文件。病毒的蠕蟲特性已經是各大反病毒軟件重點加以防範的地方,經過長期重點宣傳,用戶本身對此的防範也有較強的意識和較多的經驗的,可怕的是它的這種自動執行特征,用戶在預覽郵件時已經中了病毒的招,被感染的網頁文件在用浏覽器察看時也會引起病毒的觸發執行,而對這種情況下可能遭受病毒攻擊的意識,大多數用戶還沒有建立起來。
據反映,已經有一些網站已經感染上了歡樂時光病毒,用戶在浏覽該網站被病毒感染的網頁時,不知不覺病毒已經傳播在他的機器裡了。想一想,要是一個訪問量很大的門戶網站被該病毒感染了,那麼很快就會傳播給成千上萬的訪問者,這種傳播速度,比起通過郵件的傳播,似乎有過之而無不及。
瑞星公司總經理、反病毒專家劉旭在談起該病毒的危害性時說,該病毒在通過郵件地址本向外發送時由于程序代碼有BUG,并不能正确執行,因此,國外某些反病毒公司将它定為低危病毒,但實際上,如果它的這部分得到了改進,很快就會轉化為“愛蟲”一樣的高危病毒,因此,我們要随時提防它的變種;而它的通過VBS自動執行的特征,已經可以被列入高危病毒的範疇。
實際上,歡樂時光危害的根源在于微軟的腳本宿主(MsWindowsScriptHost)。MicrosoftWindows腳本宿主(WSH)是這樣一個工具──它使得用戶可以在Windows操作系統上在本機運行VBScript和JScript。使用用戶所熟知的腳本語言,就可以書寫腳本來使普通任務自動化,并創建功能強大的宏和登錄腳本。
這種工具在給很多應用開發帶來便利的同時,确實存在比較嚴重的安全問題,反病毒專家早就警告了基于這種安全問題的病毒攻擊可能性。關于這種安全性問題,微軟也發布了一些補救措施,詳情請參閱微軟網頁,但這些措施對普通用戶來說,顯然還是太過複雜。反病毒軟件公司實際上應該責無旁貸地要承擔為用戶提供一種方便、簡單完善的解決方案的任務,同時,也需要向用戶廣泛宣傳這種威脅存在的可能性,以提高公衆的防範意識。瑞星針對未知腳本病毒差殺的世界領先技術正在研發之中,屆時這一全新的技術将給用戶帶來福音。
