回首頁

瀏覽網頁也會中毒!HAPPY TIME 快樂時光病毒作怪!

瀏覽網頁也會中毒! 現在的病毒無孔不入,絕大部份是透過E-mail感染,但是現在居然連單純
的瀏覽網頁也會發生中毒的事件!18日海洋大學教務處出版組的網頁遭到駭客攻擊,網頁不
僅被竄改,駭客還在網頁裡放了一隻HappyTime快樂時光病毒,網頁畫面出現「RemIamsorry
happytimeOnError……」等幾十行的病毒原始碼,不知情的網友或海大學生只要上網瀏覽這個網
頁,HappyTime病毒就利用IE瀏覽器會將網頁暫存到電腦的特性,堂而皇之進入電腦裡,由於
病毒進入電腦只是一瞬間的事,沒有安裝防毒軟體的網友如果瀏覽這個網頁,就等於中了
HappyTime病毒。
以往經由網際網路中毒,多半是在不安全的網站裡下載某個檔案,病毒夾帶在檔案裡一起被
下載到電腦裡,導致電腦被感染,可是這次卻是單純的瀏覽網頁就中毒,這是駭客惡意竄改
網頁的結果,只要網頁上被有心人士刻意放上VBScript、JavaScript、ActiveX類型的病毒,在瀏
覽網頁時病毒會隨著HTML網頁一起被暫存在電腦的記憶區,這時電腦就中毒了。

VBS.HappyTime 簡介

資料來源:北京金山毒霸網站

病毒名稱:VBS.HappyTime

病毒類型:VB SCRIPT病毒

病毒感染過程介紹 :

VBS.Happytime 是一個感染 VBS、html 和腳本文件的腳本類病毒。該病毒採用 VBScript 語言編
寫, 它既 可在電子郵件的形式通過互聯網進行傳播,也可以在本地通過文 件進行感染。
當用瀏覽器打開一個被感染的 html 文件時,病毒會設置網頁的時間中斷事件,每 10 秒運行
執行Help.vbs 一次,該文件存放在 C:\ 槽下第一個子目錄下。如果通過 hta 文件 啟動病毒,
病毒還會在 C:\ 槽下第一個子目錄下生成 Help.hta 文件並執行。 若執行感染病毒的 VBS文件,
如果日期和月份數位之 和是 13,則病毒會刪除從 C: 槽找 到的第一個 exe 或 dll 文件;如果
是其他時間,則從 C: 槽找到第一 個 html、vbs、 htm 或 asp 文件,從文件內容中找到mailto 語
句,分解出若干收件人郵件位址,發送帶有病 毒附件(附件名Untitled.htm)的郵件,然後置換
文件內容?病毒代碼。當病毒被執行的 次數? 366 的 整數倍 時,如果當前時間的秒數值正好
是偶數,則取得 Outlook Express 收 件箱(不包括子目錄)中所有信件 的發件人位址和主題,然
後以轉發原信件?主題,給這些位 址發送信件,附件Untitled.htm 這些文件 中帶有病毒代碼。
如果是通過腳本或其他方式運行病毒,則會在 C:\ 槽下第一個子目錄下創建病毒文件Help.vbs
在 %Windows% 目錄下創建病毒文件 Untitled.htm 文件。
修改註冊表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\ Mail
(其中 XXXXXXXX 缺省用戶 ID值)項下的三個鍵值。並查找 Windows\Web 目錄下所有 htm、htt、
vbs 和 asp 文件,從中找到 mailto 語句,分解出若干收件人郵件位址,發 送帶有病毒附件(附
件名 Untitled.htm)的郵件,然後置換文件內 容?病毒代碼。 病毒腳 本代碼的第一行 Rem I am
sorry! happy time

病毒生成、修改和刪除的文件

1.生成 C:\Help.htm,html 格式的病毒文件(嵌入 html 文件);

2.在 C:\ 槽第一個子目錄下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta;

3. 在 %Windows% 目錄下生成 html 格式的病毒文件 Help.htm 或者與原牆紙文件同名的
 html格式文件;

4.每感染一次修改 C: 槽上一個 vbs、html 或者 asp 文件,將其改?病毒代碼;

5.修改 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 文件;

6.每次月份加日期的數位之和 13 時運行病毒會刪除 C: 槽上一個 exe 或 dll 文件。


註冊表的修改

1. 在 HKEY_CURRENT_USER\Software 下新建 Help 項,然後新建 Count 鍵值用於記錄病 毒感染
 的次數;
 新建 FileName 鍵值用於指向下一次將要被刪除的文件;
 新建 wallPaper 鍵值用於記錄修改後的牆紙文件;

2. 修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\ Outlook Express\5.0\Mail
 (其中 XXXXXXXX ?缺省用戶ID值) 下鍵值 Message Send HTML 1;Compose Use Stationery
 1;Stationery Name ?%Windows%\ Untitled.htm。

病毒的危害

1.破壞 html、htm、htt、vbs 和 asp 文件的內容(被修改成病毒代碼);

2.大量散發病毒郵件,本地的聯繫人地址越多,收件箱中信件越多,散發郵件數量也越多

3.逐次刪除 C: 上可執行文件;

4.修改桌面牆紙的設置;

5.破壞 Windows 資源管理器中缺省的 Web 視圖;

手動病毒清除

1. 檢查 C:\Help.htm、C:\ 槽第一個子目錄下的 Help.vbs 和 Help.hta、%Windows% 目 錄下 Help.htm
 或者與 原牆紙文件 同名的 html 格式文件,若其中含有 Rem I am sorry! happy time 字串,則
 刪除該文件;

2. 檢查 C: 槽上所有 vbs、html 或者 asp 文件,若含有 Rem I am sorry! happy time 字串,則刪除
 該文件;

3. 檢查 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 文件,若含有 Rem I am sorry! happy
 Time 字串,則刪除該文件;

4. 刪除 HKEY_CURRENT_USER\Software 下 Help 項;

5. 刪除收件箱中所有帶有 Untitled.htm 附件的不明郵件。

防護措施建議:安裝防毒軟體並且更新病毒定義

賽門鐵克 .防毒軟體下載(試用版) .更新病毒定義
趨勢科技 .防毒軟體下載 .更新病毒碼 

HAPPY TIME相關資訊:

http://www.trend.com.tw/EncyclopediaV2/vinfo/virusencyclo/default5.asp?VName=VBS_HAPTIME.A 【趨勢科技 】

http://www.trend.com.tw/EncyclopediaV2/vinfo/virusencyclo/default5.asp?VName=VBS_HAPTIME.B 【趨勢科技 】

http://www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html 【SYMANTEC】

http://www.symantec.com/avcenter/venc/data/vbs.haptime.b@mm.html 【SYMANTEC 】

 

回首頁