欢乐时光病毒发表评论(0)编辑词条

由于被“欢乐时光”（VBS.Haptime.A@mm）病毒感染的用户越来越多，现在赛门铁克把它从以前的3级危害升级到了4级（5级危害最高）。“欢乐时光”（VBS.Haptime.A@mm）是一个VB源程序病毒，专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件，并利用OutlookExpress的性能缺陷把自己传播出去，利用一个被人们所知的MicrosoftOutlookExpress的安全漏洞，可以在你没有运行任何附件时就运行自己。还利用OutlookExpress的信纸功能，使自己复制在信纸的Html模板上，以便传播。这和“Wscript.KakWorm”病毒很相似，当你发信出去时，“欢乐时光”的源病毒隐藏在HTML文件上。只要你在OutlookExpress上预览了隐藏有病毒的HTML文件，甚至你都不用打开它，它就能感染你的电脑。

欢乐时光病毒

欢乐时光病毒界面

当“欢乐时光”发作后：

•它会把自己伪装成Help.hta,Help.vbs,Help.htm或Untitled.htm文件。

•它会在注册表的HKEY_CURRENT_USER\Software\Help\Count上改变键值，更新被感染文件的数量。

•当月份和日期加起来等于13时，源病毒会删除全部的.exe和.dll文件。

•每个带有“欢乐时光”病毒的邮件都会是以下的格式：

Subject:Help
Message:(信体是空的)
Attachment:Untitled.htm(被感染的附件)
被Email感染的文件：
.htm,.vbs,.asp或.htt文件的名字都会储存在系统注册表的HKEY_CURRENT_USER\Software\Help\FileName里面。
•每当366个被感染者时，下面两件事发生的机会相等：
一个是储存在收信箱里的所有信都会被回复以下面的形式：
Subject:Fw:
Message:(信体是空的)
Attachment:Untitled.htm(被感染的附件)
另一个情况是以下面的形式向默认的所有联系人发送Email:
Subject:Help
Message:(信体是空的)
Attachment:Untitled.htm(被感染的附件)

•病毒源程序建立一个新的默认壁纸，显示一个被感染的Help.htm页面，使病毒可以在启动时自动运行。为了更好的隐藏自己，它会尽可能的使用一个和被感染之前相同的壁纸。

•源病毒感染在Windows\web文件夹底下的.htt文件。超文本模板文件是用来设计和观看文件夹的内容的。假如你设定以Web方式浏览文件夹，那样你每次浏览的文件夹都会被感染。

•病毒会设置一个默认的信纸格式，每次你发信时，它都会连同信体一同发送到别人的电脑上，通过这样的复制，不断的蔓延。要注意的是，假如你的Email程序或者Email服务器不支持Html格式的信件，Email程序或者Email服务器会把信件转换成附件，发送给你。假如你打开附件，也会感染“欢乐时光”病毒。

赛门铁克安全响应中心已经开发了一个使被“VBS.Haptime.A@mm”或者“VBS.Haptime.B@mm”感染的计算机恢复的程序。到下面的网址可以得到这个程序：http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

•需要删除.htt文件，和所有检测到的“VBS.Haptime.A@mm”，删除注册表里病毒添加的键值，重新设置你的OutlookExpress。

•更新杀毒程序，确保你有最新的病毒定义。

•打开赛门铁克防毒（NAV），、运行全系统扫描，确保扫描到所有文件。

•更改注册表：点击开始，点击运行；输入“regedit”，点OK，注册表打开；找到下面，并删除键值：
HKEY_CURRENT_USER\Software\Help\Count
HKEY_CURRENT_USER\Software\Help\FileName
退出注册表编辑器。

•重新设置微软的OutlookExpress：打开OutlookExpress；点击工具，点击选项；点击拼写；在信纸选项，如果你在发信时没有选择信纸，就不选择Mail;否则选择你想用的信纸。
微软已经对这个存在于“Scriptlet.TypLib”网络多媒体化技术控制的安全漏洞设计了补丁程序。可以在下面的网址下载补丁：http://www.microsoft.com/technet/ie/
tools/scrpteye.asp
如果你安装了这个补丁以后，这个“欢乐时光”病毒就不会再自动运行了。

   
瑞星等各大反病毒公司陆续收到了用户的一种新病毒疫情反馈，同时，公安部和国家计算机病毒应急处理中心也纷纷发出了该新病毒的疫情预报。这种病毒在用户那里造成的最直接反映是发现系统资源不足，后来经过杀毒软件公司的详细分析，发现这还仅仅是病毒没有大规模造成破坏的前期症状，该病毒真正的第一次大规模发作日期应该在5月8日，也就是五一长假后的第一个工作日，它会删除用户的部分系统文件，造成部分应用程序不能运行甚至操作系统不能启动。也许是巧合，该病毒在传播邮件的正文中包含HappyTime的字样，仿佛是病毒制造者那张邪恶的脸在向人们嘲笑，欢乐假期后的第一个工作日，你快乐否？于是，该病毒就顺理成章地被大家一致定名为欢乐时光病毒。

目前，针对欢乐时光病毒本身，各大反病毒公司都及时推出了升级版本，同时由于媒体的及时宣传报道，公众加大了防犯意识，可以说该病毒还没有造成大面积的危害。根据瑞星公司网站技术人员的统计，5月8日这一天到瑞星网站升级的用户比平时多了一倍多，达到了8万人次。可见全社会的及时宣传和整体防范意识的是防止恶性病毒大规模爆发的有效措施。

从技术上，欢乐时光病毒并不包含什么新的东西，它具有蠕虫特性，与去年五一期间大规模爆发的“爱虫”病毒一样，都是通过微软的邮件客户端程序Outlook，自动地向地址本中的地址发送带毒邮件，这也是目前病毒传播的最主要的途径之一。据统一，目前80%以上的病毒都是通过邮件来传播的。与“爱虫”不同的是，该病毒的病毒代码不仅仅包含在邮件附件中，受害用户不需要打开并执行病毒邮件附件，仅仅在预览带毒邮件时，嵌入在邮件体中的VBScript代码已经开始执行，完成了病毒的传播和感染过程。这也不是什么新的东西，去年流行的“泡沫小子”等病毒，已经具备了相同的特征。

不过，据各种情况分析看，欢乐时光病毒应该是国内首次出现的这种类型的病毒。似乎标志中国的病毒制造者在赶超国际流行趋势不甘人后的姿态。它结合了蠕虫特性和在用户不直接打开情况下直接运行特性，同时能够感染本地的网页以及脚本文件。病毒的蠕虫特性已经是各大反病毒软件重点加以防范的地方，经过长期重点宣传，用户本身对此的防范也有较强的意识和较多的经验的，可怕的是它的这种自动执行特征，用户在预览邮件时已经中了病毒的招，被感染的网页文件在用浏览器察看时也会引起病毒的触发执行，而对这种情况下可能遭受病毒攻击的意识，大多数用户还没有建立起来。据反映，已经有一些网站已经感染上了欢乐时光病毒，用户在浏览该网站被病毒感染的网页时，不知不觉病毒已经传播在他的机器里了。想一想，要是一个访问量很大的门户网站被该病毒感染了，那么很快就会传播给成千上万的访问者，这种传播速度，比起通过邮件的传播，似乎有过之而无不及。

瑞星公司总经理、反病毒专家刘旭在谈起该病毒的危害性时说，该病毒在通过邮件地址本向外发送时由于程序代码有BUG，并不能正确执行，因此，国外某些反病毒公司将它定为低危病毒，但实际上，如果它的这部分得到了改进，很快就会转化为“爱虫”一样的高危病毒，因此，我们要随时提防它的变种；而它的通过VBS自动执行的特征，已经可以被列入高危病毒的范畴。

实际上，欢乐时光危害的根源在于微软的脚本宿主（MsWindowsScriptHost）。MicrosoftWindows脚本宿主(WSH)是这样一个工具──它使得用户可以在Windows操作系统上在本机运行VBScript和JScript。使用用户所熟知的脚本语言，就可以书写脚本来使普通任务自动化，并创建功能强大的宏和登录脚本。这种工具在给很多应用开发带来便利的同时，确实存在比较严重的安全问题，反病毒专家早就警告了基于这种安全问题的病毒攻击可能性。关于这种安全性问题，微软也发布了一些补救措施，详情请参阅微软网页，但这些措施对普通用户来说，显然还是太过复杂。反病毒软件公司实际上应该责无旁贷地要承担为用户提供一种方便、简单完善的解决方案的任务，同时，也需要向用户广泛宣传这种威胁存在的可能性，以提高公众的防范意识。瑞星针对未知脚本病毒差杀的世界领先技术正在研发之中，届时这一全新的技术将给用户带来福音。