快乐时间病毒(旋转) [@more@]快乐时间]病毒
帅星月01-5-11下午02:19:25
我是网络的初学者,今年4月左右开始上网。 初学者不知道如何像yqddw那样保护自己的电脑免受网络病毒的侵害,只使用瑞星杀毒软件,觉得这样一切都很顺利。 刚开始上网的时候,迷失在五颜六色的网站和信息的海洋里。 到处看看,看到感兴趣的页面就保存,遇到有趣的软件就下载。 一定是第一次上网的时候也是这样吧。 喝醉了网络的乐趣没几天,我的爱机就出现了异常。 每隔十几秒,鼠标指针旁边就会闪烁一个沙漏图标,使计算机看起来像在运行什么程序。 但是,我关闭了所有的程序,留下windows桌面也没有什么用。 在此期间,计算机速度大幅下降,运行任何软件都要半天从屏幕上出来,无奈地重新启动! 好厉害,我的爱机有256米的内存! 按CTRL ALT DEL键将显示一个关闭程序的对话框,其中发现了数百个未知任务。 全部显示为WSCRIPT。 字体。 在瑞星也找不到的新病毒好像在电脑上。 接下来的几天是痛苦的经历。 我在爱机上拖着重病的身体在网上下载了杀毒软件。 有金山毒霸的试用版真是太好了。 打开那个启发式病毒检查选项可以检测未知病毒,但不能只警告它就杀死它。 有一次,打开存储在硬盘上的web文件时也收到了警告,但其他web文件没有警告。 机会来了。 我马上把扩展名从HTM改成TXT,在记事本上打开,做了标记之后,就弄清了这个病毒的真实身份。 病毒是用vbscript语言编写的,第一行写着I am sorry,happy time . 真是惹人生气得不偿失! 淘气的家伙说:“Sorry '喜人'欢喜'? )本人不懂VBSCRIPT语言,但学过Visual Basic,进而翻动了一些VBSCRIPT资料,在一段时间的假面后,开始破解病毒源程序。 由于该资料不足,加之本人水平有限,无法阅读所有代码,只能知道大致情况,但我越分析越吃惊。 这是一种只要浏览网站页面就会感染的传染性高、破坏性强的病毒。 首先,让我们来看看这种病毒的发病机制。 第一次感染病毒时,WINDOWS web文件夹中的所有web文件都会感染病毒,然后找到这些文件中的电子邮件地址并向它们发送病毒邮件。 对方一打开马上就会感染病毒。 以后每10秒发作一次,发作后也驻留在内存中,每10秒发作一次,再大的内存也会被蚕食; 每次发作时,在普通的日子里,都会找到扩展名为HTML、HTM、VBS、ASP的文件进行感染。 (不要每次都贬低一个文件。 10秒钟一次的发作哦。检测此文件中的所有email地址并发送病毒邮件,月加天数为13的“特殊”日(1月12日、2月11日……12月1日),每次发作时扩展名为EXE、DLL的文件) 此病毒在WINDOWS注册表中保存发作次数,每次发作都会检查发作次数,如果是366的倍数,就会向外发送病毒邮件。 如果系统时间的秒数为偶数,则发送系统邮件;如果为奇数,则获取电子邮件地址并发送病毒邮件到Outlook的隐式目录。 顺便说一下,由于这种病毒发作频繁,滥发邮件,所以在月末结算时,可能不得不支付大额的浪费金。 现在,让我们来看看这种可恶病毒的结构。 看看它是如何在我们浏览网页时被毒害的。 如上所述,该病毒是用VBSCRIPT语言编写的。 查看一些资料,VBSCRIPT是一种用于增强网页功能的脚本语言,嵌入在HTML文件中,在浏览网页时也与HTML文件一起加载到内存中,由浏览器解释和执行。
因此,在查看网页时,其中包含的VBSCRIPT代码已经运行,因此无法预测的人可以很容易地用于创建破坏程序。 VBSCRIPT的设计者也考虑到了这一点,因为VBSCRIPT被设计成VISUAL BASIC的简化版,放弃了“危险”语句的命令,所以VBSCRIPT是“安全的”,可以用于创建网页。 确实,虽然VBSCRIPT并不是唯一的威胁,但VBSCRIPT提供了创建和使用对象的“对象”功能,而WINDOWS提供了许多对象用于各种语言。 利用这些对象,几乎什么都可以做。 例如,VBSCRIPT是不安全和危险的,因为本病毒的许多破坏任务都是通过创建和使用wscript(WINDOWSscript,windows脚本语言)对象完成的。 快乐时光的病毒是最有力的证词! 言归正传,看看病毒的结构吧。 初始化部分
初始化(例如,创建SCRIPTLET.TYPELIB对象)
现在是HTML状态吗?
是的不
((() ) ) ) ) ((() ) ) ) ) ) 0
WINDOWS目录下是否有HELP.VBS文件? 执行主发作程序
(有(设定为无(每10秒呼叫一次),结束将本书中的病毒代码以HTML格式保存为HELP.VBS WINDOWS的主发作程序
↓
建立含有HTML,VBS,HTM,ASP的 后缀名表
当前是HELP.VBS运行状态?
(4) 是 ↙ ↘ 否 (2)
━━━━━━ ━━━━━━━
↓ ↓
如月+天为13则将后缀名表改为 用本病毒代码在WINDOWS目录下创 只包含EXE,DLL; 建HELP.VBS文件,及UNTITLE.HTM 文件; 将注册表中的HKEY_CURRENT_USER SoftwareHelpCount病毒发作计数加1; 修改HKEY_CURRENT_USER identities用户标识号Softwaremicrosoft
look Express5.0Mail下的键值: SoftwareHelpFile_Name待感染文件名 Message Send HTML改为1 取出,并按后缀名表找出下一待感染文件, Compose Use Stationery改为1 存于此处; Stationery Name改为指向 untitle.htm 查出其中的EMAIL地址发送病毒邮件; 在WINDOWSWEB目录下查找HTML,VBS,HTM,ASP,HTT文件,在它们末尾如待
感染文件名是EXE,DLL文件则删除!末尾添加本病毒代码,并查出其中的
EMAIL地址发送病毒邮件
用本病毒代码在WINDOWS目录下创建一个HTM文件并将其文件名写入HKEY_CURRENT_USERSoftwareHelpWallpaper及HKEY_CURRENT_USERControl PaneldesktopwallPaper 以上流程基本解释了其发病机制,现在我对流程上()内的数字作一下说明: 刚开始接触本病毒时,我们一定是处于浏览含病毒的网页状态,也即是流程上的HTML状态,且此时硬盘上尚未有HELP.VBS病毒文件,所以病毒执行(1)分支,建立HELP.HTA病毒文件,并调用它。然后在HELP.HTA病毒文件运行时,此时它已不处于HTML状态,所以运行主发作程序,在主发作程序中,由于此时不是HELP.VBS运行状态所以运行(2)分支并建立HELP.VBS病毒文件,以后再遇见本病毒时,由于已有了HELP.VBS病毒文件,就执行(3)分支,设定为每10秒钟执行一次HELP.VBS,而HELP.VBS会执行主发作程序的(4)分支,完成一系列破坏任务。 听说现在已有了能杀此病毒的软件,具体我也不清楚。如你像我一样已不幸染毒,在得到杀毒软件前,首先应注意在"特殊"日子里不要开机,以免爱机成为死机;另外从流程可看出,本病毒只感染后缀名为HTM,HTML,VBS,ASP(以及WINDOWSWEB下的HTT文件),所以你开机只至WINDOWS桌面出现都是安全的,把桌面的墙纸设为无,再次重新启动,注意不要使用我的电脑或是WINDOWS 资源管理器,因为它们每次运行都要装入许多文件,极有可能激活病毒,你要处理文档最好进入DOS状态,在DOS下操作;注意不要看任何帮助信息,因为很多帮助文件都是HTML格式的。如你是 编程好手,你可编个程序,检查硬盘中所有受感染后缀名为HTM,HTML,VBS,ASP的文件,并清除病毒,如你不会编程,又无杀毒软件,你只能用查找功能查出所有后缀名为HTM,HTML,VBS,ASP的文件,然后一一手工操作:重命名为TXT文件,打开检查,如文件尾有病毒则删除,保存后再改回原来的文件名,然后是下一个....... 但我们还要上网,还要浏览,即使我们有了能杀欢乐时光病毒的软件,谁能保证哪个家伙不会再写出诸如此类的病毒使我们受害?看来只有等 微软出个能禁止VBSCRIPT, Javascript,ACTIVE X........的浏览器来了。就我个人而言,情愿不要任何特效,只要安全。 最后,奉上欢乐时光病毒的源程序,供有兴趣者参考,如哪位高人能参透此程序,也请发表解析结果,让我们对次类病毒有更深认识。 我对源程序作了必要的缩进处理,以方便阅读。 欢乐时光病毒的源程序: