由於被"歡樂時光"([email protected])病毒感染的使用者越來越多,現在賽門鐵克把它從以前的3級危害升級到了4級(5級危害最高)
"歡樂時光"([email protected])是一個VB源程式病毒,專門感染.htm、.html、.vbs、.asp和.htt檔案。它作為電子郵件的附件,並利用
Outlook Express的效能缺陷把自己傳播出去,利用一個被人們所知的Microsoft Outlook Express的安全漏洞,可以在你沒有執行任何附件時就執行自己。還利用Outlook Express的信紙功能,使自己複製在信紙的Html模板上,以便傳播。這和"Wscript.KakWorm"病毒很相似,當你發信出去時,"歡樂時光"的源病毒隱藏在HTML檔案上。只要你在Outlook Express上預覽了隱藏有病毒的HTML檔案,甚至你都不用開啟它,它就能感染你的電腦。
當"歡樂時光"發作後:
·它會把自己偽裝成Help.hta, Help.vbs, Help.htm或Untitled.htm檔案。
·它會在登錄檔的HKEY_CURRENT_USER\Software\Help\Count上改變鍵值,更新被感染檔案的數量。
·當月份和日期加起來等於13時,源病毒會刪除全部的.exe和.dll檔案。
·每個帶有"歡樂時光"病毒的郵件都會是以下的格式:
Subject: Help
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
被Email感染的檔案:
.htm, .vbs,.asp或.htt檔案的名字都會儲存在系統登錄檔的HKEY_CURRENT_USER\Software\Help\FileName裡面。
·每當366個被感染者時,下面兩件事發生的機會相等:
一個是儲存在收信箱裡的所有信都會被回覆以下面的形式:
Subject: Fw: <最初的發信人地址>
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
另一個情況是以下面的形式向預設的所有聯絡人傳送Email:
Subject: Help
Message: (信體是空的)
Attachment: Untitled.htm (被感染的附件)
·病毒源程式建立一個新的預設桌布,顯示一個被感染的Help.htm頁面,使病毒可以在啟動時自動執行。為了更好的隱藏自己,它會盡可能的使用一個和被感染之前相同的桌布。
·源病毒感染在Windows\web資料夾底下的.htt檔案。超文字模板檔案是用來設計和觀看資料夾的內容的。假如你設定以Web方式瀏覽資料夾,那樣你每次瀏覽的資料夾都會被感染。
·病毒會設定一個預設的信紙格式,每次你發信時,它都會連同信體一同傳送到別人的電腦上,通過這樣的複製,不斷的蔓延。要注意的是,假如你的Email程式或者Email伺服器不支援Html格式的信件,Email程式或者Email伺服器會把信件轉換成附件,傳送給你。假如你開啟附件,也會感染"歡樂時光"病毒。
賽門鐵克安全響應中心已經開發了一個使被"[email protected]"或者"[email protected]"感染的計算機恢復的程式。到下面的網址可以得到這個程式:
刪除病毒方法:
·需要刪除.htt檔案,和所有檢測到的"[email protected]",刪除登錄檔裡病毒新增的鍵值,重新設定你的Outlook Express。
·更新防毒程式,確保你有最新的病毒定義。
·開啟賽門鐵克防毒(NAV),、執行全系統掃描,確保掃描到所有檔案。
·更改登錄檔:點選開始,點選執行;輸入"regedit",點OK,登錄檔開啟;找到下面,並刪除鍵值:
HKEY_CURRENT_USER\Software\Help\Count
HKEY_CURRENT_USER\Software\Help\FileName
退出登錄檔編輯器。
·重新設定微軟的Outlook Express:開啟Outlook Express;點選工具,點選選項;點選拼寫;在信紙選項,如果你在發信時沒有選擇信紙,就不選擇Mail;否則選擇你想用的信紙。
微軟已經對這個存在於"Scriptlet.TypLib"網路多媒體化技術控制的安全漏洞設計了補丁程式。可以在下面的網址下載補丁:
tools/scrpteye.asp
如果你安裝了這個補丁以後,這個"歡樂時光"病毒就不會再自動運行了。