万花谷病毒特征细解

来源：enet 作者：网易论坛出处：巧巧读书 2005-11-23 进入讨论组

病毒分类　网络

　　病毒名称　VBS.Haha 　

　　别　　名　万花奇毒　

　　病毒长度　0字节

　　危害程度　一般

　　传播途径　邮件及网络　

　　传播程度　少

　　感　　染　文件　

　　病毒发作

　　病毒依赖系统：WIN95/98/2000

　　发作时间：双击病毒网页时

　　病毒的运行方式(是否驻留):不驻留

　　病毒类型(黑客,蠕虫…):脚本病毒。

　　感染文件类型：HTA文件,VBS文件

　　发作现象：复杂。

　　发作:

　　1.在一进入WINDOWS系统时,打印以下信息：“你中了※万花奇毒※.请与万花谷谷主OICQ：4040465联系”

　　2.使C盘丢失,用户无法访问C盘.

　　3.使开如菜单中的”运行”,”注销”,”关闭系统”三项丢失,让用户无法进行相应的工作.

　　4.将系统的MS-DOS方式封掉,使用户无法进入DOS环境，防止用户在DOS下访问C盘.

　　5.将注册表进行保护,使用户无法操作注册表防止了有经验的用户手动恢复.

　　6.将浏览器的标题修改为带有” 欢迎来到万花谷!请与OICQ:4040465联系!”字符串的后缀,以后每当打开一个网页都会出现此信息.

　　7.使ALT+F4功能键失效,使用户无法通过热键进行正常关机.

　　8.此病毒是一个有预谋的脚本程序,它考虑到了普通用户和高级用户的一些使用习惯,将计算机全方位地封杀,给用户造成了很大的不便.

　　程序流程:

　　1.此病毒是一个恶意网页,当用户点击此网页时,则会自动执行内嵌在网页内部的一个脚本.

　　2.此脚本是用JAVA SCRIPT语言编写,并进行加密,使普通用户无法看到病毒源码.

　　3.此病毒的编制可以说颇费了一番心机.为了防止有编程经验的人ENCODE出它的源码,在病毒内部的开头是一大段教人写网页特效的教学脚本,在此脚本后面不太起眼的地方连接了有真正破坏目的病毒代码.

　　4.此病毒会释放出一个炸弹文件(并不是总是)，即是被一种恶意网页或脚本程序释放出来的一种子程序,此炸弹程序往往被母体放入WINDOWS启动目录,在下一次WINDOWS启动时自动加载.

　　5.此病毒首先将浏览器的默认网页指向” http://www.on888.home.chinaren.com

　　6.修改系统注册表的一些项完成病毒的发作.

　　7.此病毒还没有做传染的工作,所以没有点击以上网页的用户不会受到袭击。保留地址 http://www.qqread.com/virus/x827914020.html