欢乐时光(VB源程式病毒)

“欢乐时光”,（VBS.Haptime.A@mm）是一个VB源程式病毒，专门感染.htm、.html、.vbs、.asp和.htt档案。它作为电子邮件的附属档案，并利用Outlook Express的性能缺陷把自己传播出去，利用一个被人们所知的Microsoft Outlook Express的安全漏洞，可以在你没有运行任何附属档案时就运行自己。

基本 介绍

中文名：欢乐时光外文名：VBS.Haptime.A@mm概述：VB源程式病毒感染对象：感染htm、html、vbs、asp档案

简介

还利用Outlook Express的信纸功能，使自己複製在信纸的Html模板上，以便传播。这和“Wscript.KakWorm”病毒很相似，当你发信出去时，“欢乐时光”的源病毒隐藏在HTML档案上。只要你在Outlook Express上预览了隐藏有病毒的HTML档案，甚至你都不用打开它，它就能感染你的电脑。

症状

当“欢乐时光”发作后：

?它会把自己伪装成Help.hta,Help.vbs,Help.htm或Untitled.htm档案。

?它会在注册表的HKEY_CURRENT_USER\Software\Help\Count上改变键值，更新被感染档案的数量。

?当月份和日期加起来等于13时，源病毒会删除全部的.exe和.dll档案。

?每个带有“欢乐时光”病毒的邮件都会是以下的格式：

Subject:Help

Message:(信体是空的)

Attachment:Untitled.htm(被感染的附属档案)

被Email感染的档案：

.htm,.vbs,.asp或.htt档案的名字都会储存在系统注册表的HKEY_CURRENT_USER\Software\Help\FileName里面。

?每当366个被感染者时，下面两件事发生的机会相等：

一个是储存在收信箱里的所有信都会被回复以下面的形式：

Subject:Fw:

Message:(信体是空的)

Attachment:Untitled.htm(被感染的附属档案)

另一个情况是以下面的形式向默认的所有联繫人传送Email:

Subject:Help

Message:(信体是空的)

Attachment:Untitled.htm(被感染的附属档案)

?病毒源程式建立一个新的默认壁纸，显示一个被感染的Help.htm页面，使病毒可以在启动时自动运行。为了更好的隐藏自己，它会儘可能的使用一个和被感染之前相同的壁纸。

?源病毒感染在Windows\web资料夹底下的.htt档案。超文本模板档案是用来设计和观看资料夹的内容的。假如你设定以Web 方式浏览资料夹，那样你每次浏览的资料夹都会被感染。

?病毒会设定一个默认的信纸格式，每次你发信时，它都会连同信体一同传送到别人的电脑上，通过这样的複製，不断的蔓延。要注意的是，假如你的Email程式或者Email伺服器不支持Html格式的信件，Email程式或者Email伺服器会把信件转换成附属档案，传送给你。假如你打开附属档案，也会感染“欢乐时光”病毒。

删除 方法

需要删除.htt档案，删除注册表里病毒添加的键值，重新设定你的OutlookExpress。

?更新防毒程式，确保你有最新的病毒定义。

?打开赛门铁克防毒（NAV），、运行全系统扫描，确保扫描到所有档案。

?更改注册表：点击开始，点击运行；输入“regedit”，点OK，注册表打开；找到下面，并删除键值：

HKEY_CURRENT_USER\Software\Help\Count

HKEY_CURRENT_USER\Software\Help\FileName

退出注册表编辑器。

?重新设定微软的OutlookExpress：打开OutlookExpress；点击工具，点击选项；点击拼写；在信纸选项，如果你在发信时没有选择信纸，就不选择Mail;否则选择你想用的信纸。

瑞星等各大反病毒公司陆续收到了用户的一种新病毒疫情反馈，同时，公安部和国家计算机病毒应急处理中心也纷纷发出了该新病毒的疫情预报。这种病毒在用户那里造成的最直接反映是发现系统资源不足，后来经过防毒软体公司的详细分析，发现这还仅仅是病毒没有大规模造成破坏的前期症状，该病毒真正的第一次大规模发作日期应该在5月8日，也就是五一长假后的第一个工作日，它会删除用户的部分系统档案，造成部分应用程式不能运行甚至作业系统不能启动。也许是巧合，该病毒在传播邮件的正文中包含HappyTime的字样，仿佛是病毒製造者那张邪恶的脸在向人们嘲笑，欢乐假期后的第一个工作日，你快乐否？于是，该病毒就顺理成章地被大家一致定名为欢乐时光病毒。

目前，针对欢乐时光病毒本身，各大反病毒公司都及时推出了升级版本，同时由于媒体的及时宣传报导，公众加大了防犯意识，可以说该病毒还没有造成大面积的危害。根据瑞星公司网站技术人员的统计，5月8日这一天到瑞星网站升级的用户比平时多了一倍多，达到了8万人次。可见全社会的及时宣传和整体防範意识的是防止恶性病毒大规模爆发的有效措施。

从技术上，欢乐时光病毒并不包含什幺新的东西，它具有蠕虫特性，与去年五一期间大规模爆发的“爱虫”病毒一样，都是通过微软的邮件客户端程式Outlook，自动地向地址本中的地址传送带毒邮件，这也是目前病毒传播的最主要的途径之一。据统一，目前80%以上的病毒都是通过邮件来传播的。与“爱虫”不同的是，该病毒的病毒代码不仅仅包含在邮件附属档案中，受害用户不需要打开并执行病毒邮件附属档案，仅仅在预览带毒邮件时，嵌入在邮件体中的VBScript代码已经开始执行，完成了病毒的传播和感染过程。这也不是什幺新的东西，去年流行的“泡沫小子”等病毒，已经具备了相同的特徵。

不过，据各种情况分析看，欢乐时光病毒应该是国内首次出现的这种类型的病毒。似乎标誌中国的病毒製造者在赶超国际流行趋势不甘人后的姿态。它结合了蠕虫特性和在用户不直接打开情况下直接运行特性，同时能够感染本地的网页以及脚本档案。病毒的蠕虫特性已经是各大反病毒软体重点加以防範的地方，经过长期重点宣传，用户本身对此的防範也有较强的意识和较多的经验的，可怕的是它的这种自动执行特徵，用户在预览邮件时已经中了病毒的招，被感染的网页档案在用浏览器察看时也会引起病毒的触发执行，而对这种情况下可能遭受病毒攻击的意识，大多数用户还没有建立起来。据反映，已经有一些网站已经感染上了欢乐时光病毒，用户在浏览该网站被病毒感染的网页时，不知不觉病毒已经传播在他的机器里了。想一想，要是一个访问量很大的入口网站被该病毒感染了，那幺很快就会传播给成千上万的访问者，这种传播速度，比起通过邮件的传播，似乎有过之而无不及。

瑞星公司总经理、反病毒专家刘旭在谈起该病毒的危害性时说，该病毒在通过邮件地址本向外传送时由于程式代码有BUG，并不能正确执行，因此，国外某些反病毒公司将它定为低危病毒，但实际上，如果它的这部分得到了改进，很快就会转化为“爱虫”一样的高危病毒，因此，我们要随时提防它的变种；而它的通过VBS自动执行的特徵，已经可以被列入高危病毒的範畴。

实际上，欢乐时光危害的根源在于微软的脚本宿主（MsWindowsScriptHost）。MicrosoftWindows脚本宿主(WSH)是这样一个工具──它使得用户可以在Windows作业系统上在本机运行VBScript和JScript。使用用户所熟知的脚本语言，就可以书写脚本来使普通任务自动化，并创建功能强大的宏和登录脚本。这种工具在给很多套用开发带来便利的同时，确实存在比较严重的安全问题，反病毒专家早就警告了基于这种安全问题的病毒攻击可能性。关于这种安全性问题，微软也发布了一些补救措施，详情请参阅微软网页，但这些措施对普通用户来说，显然还是太过複杂。反病毒软体公司实际上应该责无旁贷地要承担为用户提供一种方便、简单完善的解决方案的任务，同时，也需要向用户广泛宣传这种威胁存在的可能性，以提高公众的防範意识。瑞星针对未知脚本病毒差杀的世界领先技术正在研发之中，届时这一全新的技术将给用户带来福音。