病毒名称:VBS.HappyTime
病毒类型:VB SCRIPT病毒
病毒简介:
病毒感染过程介绍
VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。
当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta 文件激活病毒,病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行。
若执行感染病毒的 VBS 文件,如果日期和月份数字之和是 13,则病毒会删除从 C: 盘找到的第一个 exe 或 dll 文件;如果是其他时间,则从 C: 盘找到第一个 html、vbs、htm 或 asp 文件,从文件内容中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时,如果当前时间的秒数值正好是偶数,则取得 Outlook Express 收件箱(不包括子目录)中所有信件的发件人地址和主题,然后以转发原信件为主题,给这些地址发送信件,附件为 Untitled.htm 病毒文件;如果秒数为奇数,则读取 Outlook 地址簿中所有联系人的 E-mail 地址,分别发送主题为 Help、附件为 Untitled.htm 病毒文档的邮件。此外,病毒还会修改桌面墙纸的设置,若无墙纸则会设置成 Help.htm,若有墙纸则修改为与原墙纸文件名相同,扩展名为 htm 的文件,而这些文件中带有病毒代码。
如果是通过脚本或其他方式运行病毒,则会在 C:\ 盘下第一个子目录下创建病毒文件 Help.vbs,在 %Windows% 目录下创建病毒文件 Untitled.htm 文件。修改注册表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)项下的三个键值。并查找 Windows\Web 目录下所有 htm、htt、vbs 和 asp 文件,从中找到 mailto 语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。 病毒脚本代码的第一行为 Rem I am sorry! happy time,可以此来判断一个文件是否已被感染。
病毒生成、修改和删除的文件
1、生成 C:\Help.htm,html 格式的病毒文件(嵌入 html 文件);
2、在 C:\ 盘第一个子目录下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta;
3、在 %Windows% 目录下生成 html 格式的病毒文件 Help.htm 或者与原墙纸文件同名的 html 格式文件(墙纸);
4、每感染一次修改 C: 盘上一个 vbs、html 或者 asp 文件,将其改为病毒代码;
5、修改 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件;
6、每次月份加日期的数字之和为 13 时运行病毒会删除 C: 盘上一个 exe 或 dll 文件。
注册表的修改
1、在 HKEY_CURRENT_USER\Software 下新建 Help 项,然后新建 Count 键值用于记录病毒感染的次数;新建 FileName 键值用于指向下一次将要被删除的文件;新建 wallPaper 键值用于记录修改后的墙纸文件;
2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1;Compose Use Stationery 为 1;Stationery Name 为 %Windows%\Untitled.htm。
病毒的危害
1、破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码);
2、大量散发病毒邮件,本地的联系人地址越多,收件箱中信件越多,散发邮件数量也越多;
3、逐次删除 C: 上可执行文件;
4、修改桌面墙纸的设置;
5、破坏 Windows 资源管理器中缺省的 Web 视图;
手工病毒清除
1、检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件 同名的 html 格式文件,若其中含有 Rem I am sorry! happy time 字符串,则删除该文件;
2、检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
3、检查 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有 Rem I am sorry! happy time 字符串,则删除该文件;
4、删除 HKEY_CURRENT_USER\Software 下 Help 项;
5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
