快乐时光病毒

宠物病愈后与你分享的快乐时光 #生活乐趣# #日常生活乐趣# #宠物陪伴的乐趣# #家庭宠物趣事#

简介

播报

编辑

快乐时光病毒VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。

若执行感染病毒的 VBS 文件，如果日期和月份数字之和是 13，则病毒会删除从 C: 盘找到的第一个 exe 或 dll 文件 [1]；如果是其他时间，则从 C: 盘找到第一个 html、vbs、htm 或 asp 文件，从文件内容中找到 mailto 语句，分解出若干收件人邮件地址，发送带有病毒附件(附件名 Untitled.htm)的邮件，然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时，如果当前时间的秒数值正好是偶数，则取得 Outlook Express 收件箱(不包括子目录)中所有信件的发件人地址和主题，然后以转发原信件为主题，给这些地址发送信件，附件为 Untitled.htm 病毒文件；如果秒数为奇数，则读取 Outlook 地址簿中所有联系人的 E-mail 地址，分别发送主题为 Help、附件为 Untitled.htm 病毒文档的邮件。此外，病毒还会修改桌面墙纸的设置，若无墙纸则会设置成 Help.htm，若有墙纸则修改为与原墙纸文件名相同，扩展名为 htm 的文件，而这些文件中带有病毒代码。

如果是通过脚本或其他方式运行病毒， 则会在 C:\ 盘下第一个子目录下创建病毒文件 Help.vbs，在 % Windows% 目录下创建病毒文件 Untitled.htm 文件。 修改注册表HKEY_CURRENT_USER\Identities\XXXXXXXX\ Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)项下的三个键值。 病毒脚本代码的第一行为 Rem I am sorry! happy time，可以此来判断一个文 件是否已被感染。

危害

播报

编辑

主体危害

1、破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码)；

2、大量散发病毒邮件，本地的联系人地址越多，收件箱中信件越多，散发邮件数量也越多；

3、逐次删除 C: 上可执行文件；

4、修改桌面墙纸的设置；

5、破坏 Windows 资源管理器中缺省的 Web 视图；

关于文件

1、生成 C:\Help.htm，html 格式的病毒文件(嵌入 html 文件)；

2、在 C:\ 盘第一个子目录下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta；

3、在 %Windows% 目录下生成 html 格式的病毒文件 Help.htm 或者与原墙纸文件同名的 html 格式文件(墙纸)；

4、每感染一次修改 C: 盘上一个 vbs、html 或者 asp 文件，将其改为病毒代码；

5、修改 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件；

6、每次月份加日期的数字之和为 13 时运行病毒会删除 C: 盘上一个 exe 或 dll 文件。

关于注册表

1、在 HKEY_CURRENT_USER\Software 下新建 Help 项，然后新建 Count 键值用于记录病毒感染的次数；新建 FileName 键值用于指向下一次将要被删除的文件；新建 wallPaper 键值用于记录修改后的墙纸文件；

2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1；Compose Use Stationery 为 1；Stationery Name 为 %Windows%\Untitled.htm。

手工清除

播报

编辑

方法一

1、检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件 同名的 html 格式文件，若其中含有 Rem I am sorry! happy time 字符串，则删除该文件；

2、检查 C: 盘上所有 vbs、html 或者 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；

3、检查 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；

4、删除 HKEY_CURRENT_USER\Software 下 Help 项；

5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

方法二

在Windows"开始"菜单下选择"运行"，运行Regedit，找到Hkey_Current_User\Identities\{AECF6CA3-9614-4AF4-AEF2-CT63FE9D97A4}\Software\Microsoft\Outlook Express\5.0\Mail,其中有三项:

(1)Message Send Html="1"

(2)Com Pose Use Stationery="1"

(3)Stationery Name="C:\\Windows\\Untitled.htm"

将其键值删除即可。

然后用同样方法将Hkey_Current_User\Control Panel\Desktop中Wallpaper="C:\\WINDOWS\\HELP.HTM"键值删除。

预防

播报

编辑

查完毒后，安装杀毒软件来加强防范。

将WSH(Windows Scripting Host)功能去掉可以预防此类病毒的侵害。

步骤是：

(1).单击"开始"-＞"设置"-＞"控制面板"

(2).双击"添加/删除程序"-＞"Windows安装程序"--"附件"

(3).将"组件"中的"Windows scripting host"所占空间1.1MB的“选择划勾”去掉,然后选"确定"即可。

网址：快乐时光病毒 https://klqsh.com/news/view/138092

相关内容

欢乐时光病毒
諾羅病毒消毒方法全攻略
荐书《排毒吧！大脑》：越来越难感到幸福快乐？你的大脑需要排毒了！
《杨光的快乐生活4》
预防新冠病毒感染 居家消毒做对了才有效
病毒退退退→“保姆级”居家消毒攻略来啦
新型冠状病毒感染怎么家庭消毒
防控新型冠状病毒肺炎疫情常见消毒方式及消毒药械使用指引（第一版）
宝宝病毒感染怎么办
杨光的快乐生活4

随便看看