万花谷病毒特征细解
日期:2006-12-26 荐:
病毒分类 网络
病毒名称 VBS.Haha
别 名 万花奇毒
病毒长度 0字节
危害程度 一般
传播途径 邮件及网络
传播程度 少
感 染 文件
病毒发作
病毒依赖系统:WIN95/98/2000
发作时间:双击病毒网页时
病毒的运行方式(是否驻留):不驻留
病毒类型(黑客,蠕虫…):脚本病毒。
感染文件类型:HTA文件,VBS文件
发作现象:复杂。
发作:
1.在一进入WINDOWS系统时,打印以下信息:“你中了※万花奇毒※.请与万花谷谷主OICQ:4040465联系”
2.使C盘丢失,用户无法访问C盘.
3.使开如菜单中的”运行”,”注销”,”关闭系统”三项丢失,让用户无法进行相应的工作.
4.将系统的MS-DOS方式封掉,使用户无法进入DOS环境,防止用户在DOS下访问C盘.
5.将注册表进行保护,使用户无法操作注册表防止了有经验的用户手动恢复.
6.将浏览器的标题修改为带有” 欢迎来到万花谷!请与OICQ:4040465联系!”字符串的后缀,以后每当打开一个网页都会出现此信息.
7.使ALT F4功能键失效,使用户无法通过热键进行正常关机.
8.此病毒是一个有预谋的脚本程序,它考虑到了普通用户和高级用户的一些使用习惯,将计算机全方位地封杀,给用户造成了很大的不便.
程序流程:
1.此病毒是一个恶意网页,当用户点击此网页时,则会自动执行内嵌在网页内部的一个脚本.
2.此脚本是用JAVA SCRIPT语言编写,并进行加密,使普通用户无法看到病毒源码.
3.此病毒的编制可以说颇费了一番心机.为了防止有编程经验的人ENCODE出它的源码,在病毒内部的开头是一大段教人写网页特效的教学脚本,在此脚本后面不太起眼的地方连接了有真正破坏目的病毒代码.
4.此病毒会释放出一个炸弹文件(并不是总是),即是被一种恶意网页或脚本程序释放出来的一种子程序,此炸弹程序往往被母体放入WINDOWS启动目录,在下一次WINDOWS启动时自动加载.
5.此病毒首先将浏览器的默认网页指向” http://www.on888.home.chinaren.com
6.修改系统注册表的一些项完成病毒的发作.
7.此病毒还没有做传染的工作,所以没有点击以上网页的用户不会受到袭击。
标签: