ITPub博客

首页 > IT基础架构 > 网络安全 > 浅析欢乐时光(HAPPY TIME)病毒 (转)

浅析欢乐时光(HAPPY TIME)病毒 (转)

原创 网络安全 作者:amyz 时间:2007-10-02 15:57:14 0 删除 编辑
浅析欢乐时光(HAPPY TIME)病毒 (转)[@more@]

浅析欢乐时光(HAPPY TIME)病毒


徐广圻 01-5-11 下午 02:19:25


本人是个上网新手,今年四月份左右才开始上网。新手嘛,可不像高手那样,懂得如何使自己的电脑免受网络病毒之害,只使了个瑞星杀毒软件,以为如此一来就万事大吉了。刚开始上网时,简直在五光十色的各网站及信息的海洋中迷了路,东走西瞧,看见感兴趣的网页就保存,遇见有趣的软件即下载,想必列位初次上网时也如此吧。 沉醉于互联网带来的乐趣之中没几天,我的爱机就出现了异常:每隔十几秒钟,鼠标指针旁就出现一个沙漏图标一闪,似乎电脑在执行什么程序,可我关闭了一切程序,只剩了个windows桌面也无济于事,在此期间,电脑速度大幅下降,运行任何软件都是老半天才出画面,且每隔十几秒钟就停顿一下,无奈只得重启,但一选择了重新启动,电脑就没了反应,就在我以为死机时,跳出来个错误信息框说是内存严重不足?!天哪,我的爱机可是有256M内存呢!按CTRL+ALT+DEL键,出现关闭程序对话框,我在其中发现了几百个不明任务,都标着WSCRIPT。。。字样。看来电脑患上了瑞星也查不出的新病毒了。 此后的几天是段痛苦的经历,我让爱机拖着重病的身子在网上下载了一些杀毒软件,还好有一个金山毒霸的试用版,打开它的启发式查毒选项可以查出一未知病毒,但只能警告而不能杀除。偶然有一次,我打开一个保存在硬盘中的网页文件时也收到了警告,而其它网页文件则不警告,机会来了!我立即将其后缀名由HTM改为TXT,用记事本打开,在标记后露出了此病毒的庐山真面目。 病毒是用vbscript语言编写的,其第一行写着 I am sorry, happy time.(意为对不起您了,欢乐时光。真是气死人不偿命!恶作剧的混蛋口说"Sorry"祝人"欢乐"?!) 本人不懂VBSCRIPT语言,但曾学过Visual Basic,再翻了一些VBSCRIPT的资料,一番临时抱佛脚后,开始解读病毒源程序。由于缺乏相应资料加之本人水平有限,不能读懂每一行代码,只能看出个大概,但我越分析越心惊,这是个仅浏览网站页面就会感染的高传染性,高破坏性的病毒! 先看一下此病毒的发病机制: 首次染毒时,会将WINDOWS web文件夹里的所有网页文件染上病毒,并找出这些文件中的任何EMail地址向它们发送病毒邮件,对方只要一打开即会染毒; 以后每隔十秒钟发作一次,但发作完后仍驻留在内存,十秒一次的发作,再大的内存也会给蚕食殆尽; 每次发作时,在普通的日子里,会找出一个后缀名为HTML、HTM、VBS、ASP的文件传染(别小看了每次一个文件,它可是十秒一次的发作哟!),并查出此文件中所有的email地址发送病毒邮件,在月份加天数为13的"特殊"日子里(1月12日、2月11日......12月1日),它每次发作会找出一个后缀名为EXE、DLL的文件(通常为重要的系统文件)来删除,使你的电脑彻底瘫痪; 该病毒在WINDOWS注册表内保存已发作的次数,每次发作时它检查已发作次数,如其是366的倍数,则向外乱发病毒邮件:如系统时间的秒数是偶数,则发送系统邮件,如是奇数,则到Outlook的默任目录里取得EMAIL地址发送病毒邮件。 顺便说一句,由于此病毒发作频繁且乱发EMAIL,到月底结帐时,你可能要多付一大笔冤枉钱。 现在我们来看看这可恶的病毒的结构,看它是如何使得我们在浏览网页时即染毒的。 前面提到过,该病毒是用VBSCRIPT语言写成的,翻了一些资料,才知道VBSCRIPT是一种能增强网页功能的脚本语言,它嵌入HTML文件中,你浏览网页时,它也与HTML文件一起调入内存,由浏览器解释并执行。所以在你看到网页时,它其中所含的VBSCRIPT代码(如果有的话)已被执行,这样就很容易被心怀叵测者用来编制破坏程序。VBSCRIPT的设计者们也考虑到了这点,因此VBSCRIPT被设计成VISUAL BASIC的简化版,舍弃了一些"危险的"语句命令,所以VBSCRIPT是"安全的",可用于网页的编制。确实光是VBSCRIPT的话确实无甚威胁,可是VBSCRIPT提供了创建并使用对象object)功能,而WINDOWS提供大量对象给各种语言使用,利用这些对象你几乎能干任何事!比如说本病毒的许多破坏工作就是由创建并使用WSCRIPT(WINDOWS SCRIPT即WINDOWS脚本语言)对象来完成的,所以可以这样说:VBSCRIPT是不安全的,是危险的!欢乐时光病毒就是个最有力的见证! 言归正传,我们还是来看看病毒的结构。

初始化部分

初始化(建立SCRIPTLET.TYPELIB对象等)

  ↓ 

当前是HTML状态?

是 ↙ ↘ 否

━━━━━━ ━━━━━━━

↓  ↓

在WINDOWS目录下有HELP.VBS文件吗?  运行主发作程序 

  ↓   有 ↙ ↘ 无   ━━━  ━━━━━━━   ↓ (3)  ↓ (1) 设置为每10秒钟调用一次  将本文件中的病毒代码以HTML格式存为 HELP.VBS  WINDOWS目录下的HELP.HTA文件,并调用HELP.HTA。 结束  结束

主发作程序

 ↓

建立含有HTML,VBS,HTM,ASP的 后缀名表

当前是HELP.VBS运行状态?

(4) 是 ↙ ↘ 否 (2)

━━━━━━ ━━━━━━━

↓  ↓

  如月+天为13则将后缀名表改为  用本病毒代码在WINDOWS目录下创   只包含EXE,DLL;  建HELP.VBS文件,及UNTITLE.HTM   文件; 将注册表中的HKEY_CURRENT_USER SoftwareHelpCount病毒发作计数加1;  修改HKEY_CURRENT_USERidentities

  用户标识号Softwaremicrosoft

  look Express5.0Mail下的键值: SoftwareHelpFile_Name待感染文件名  Message Send HTML改为1 取出,并按后缀名表找出下一待感染文件,  Compose Use Stationery改为1 存于此处;  Stationery Name改为指向 untitle.htm 查出其中的EMAIL地址发送病毒邮件;  在WINDOWSWEB目录下查找HTML,VBS,

  HTM,ASP,HTT文件,在它们末尾如待 

  感染文件名是EXE,DLL文件则删除!

  末尾添加本病毒代码,并查出其中的

  EMAIL地址发送病毒邮件

用本病毒代码在WINDOWS目录下创建一个HTM文件并将其文件名写入HKEY_CURRENT_USERSoftwareHelpWallpaper及HKEY_CURRENT_USERControl PaneldesktopwallPaper 以上流程基本解释了其发病机制,现在我对流程上()内的数字作一下说明: 刚开始接触本病毒时,我们一定是处于浏览含病毒的网页状态,也即是流程上的HTML状态,且此时硬盘上尚未有HELP.VBS病毒文件,所以病毒执行(1)分支,建立HELP.HTA病毒文件,并调用它。然后在HELP.HTA病毒文件运行时,此时它已不处于HTML状态,所以运行主发作程序,在主发作程序中,由于此时不是HELP.VBS运行状态所以运行(2)分支并建立HELP.VBS病毒文件,以后再遇见本病毒时,由于已有了HELP.VBS病毒文件,就执行(3)分支,设定为每10秒钟执行一次HELP.VBS,而HELP.VBS会执行主发作程序的(4)分支,完成一系列破坏任务。 听说现在已有了能杀此病毒的软件,具体我也不清楚。如你像我一样已不幸染毒,在得到杀毒软件前,首先应注意在"特殊"日子里不要开机,以免爱机成为死机;另外从流程可看出,本病毒只感染后缀名为HTM,HTML,VBS,ASP(以及WINDOWSWEB下的HTT文件),所以你开机只至WINDOWS桌面出现都是安全的,把桌面的墙纸设为无,再次重新启动,注意不要使用我的电脑或是WINDOWS资源管理器,因为它们每次运行都要装入许多文件,极有可能激活病毒,你要处理文档最好进入DOS状态,在DOS下操作;注意不要看任何帮助信息,因为很多帮助文件都是HTML格式的。如你是编程好手,你可编个程序,检查硬盘中所有受感染后缀名为HTM,HTML,VBS,ASP的文件,并清除病毒,如你不会编程,又无杀毒软件,你只能用查找功能查出所有后缀名为HTM,HTML,VBS,ASP的文件,然后一一手工操作:重命名为TXT文件,打开检查,如文件尾有病毒则删除,保存后再改回原来的文件名,然后是下一个....... 但我们还要上网,还要浏览,即使我们有了能杀欢乐时光病毒的软件,谁能保证哪个家伙不会再写出诸如此类的病毒使我们受害?看来只有等微软出个能禁止VBSCRIPT,Javascript,ACTIVE X........的浏览器来了。就我个人而言,情愿不要任何特效,只要安全。 最后,奉上欢乐时光病毒的源程序,供有兴趣者参考,如哪位高人能参透此程序,也请发表解析结果,让我们对次类病毒有更深认识。 我对源程序作了必要的缩进处理,以方便阅读。 欢乐时光病毒的源程序:





来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752019/viewspace-974584/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    3984
  • 访问量
    7334901