● 警惕网页传播病毒 “万花谷”中的“陷阱” - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: fast (平淡), 信区: Virus
标  题: 警惕网页传播病毒 “万花谷”中的“陷阱”
发信站: 荔园晨风BBS站 (Fri Jun 29 23:05:22 2001), 转信

警惕网页传播病毒 “万花谷”中的“陷阱”
(2001/06/29)
人民日报
    国家反病毒应急处理中心联防单位北京江民公司的反病毒应急小组最近监测到国内
有心怀不轨的人到处在互连网上散发一个美丽诱人的网址“万花谷”，这实际是一个恶
意“陷阱”，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即就瘫痪了，这是有
人利用Java 最新技术进行破坏的又一个恶意网址。北京江民公司提醒广大上网用户注意
严加防范，遇到有On888.xxx之类的网址请不要点击，并开启KVW3000的病毒实时监视防
火墙进行防杀。
    附该病毒的技术特征和修复方法：
    JS/On888是一个新的含有有害代码的ActiveX网页文件，它通过在一个网络地址来对
计算机用户造成破坏,其破坏特性如下：
    （1）用户不能正常使用WINDOWS的DOS功能程序；
    （2）用户不能正常退出WINDOWS，
    （3）开始菜单上的"关闭系统"、"运行"等栏目被屏蔽，防止用户重新以DOS方式启
动，关闭DOS命令、关闭REGEDIT命令等。
    （4）将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。
    具体的表现形式是：
    a网络地址是：www.on888.xxx.xxx.com；
    b在IE的"收藏夹"中自动加上"万花谷"的快捷方式, 网络地址是："http://96xx.xx
x.com"；进入该网页的话，如果你的浏览器的版本在IE4.0以上，那么该网页显示的是一
个有光效滤镜的网页，随着鼠标的移动，会造成光线照在网页图片不同地方的效果，光
效一共有4种。
    将IE的首页通过系统注册表项
    HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\S
tart Page", 设置成为"on888.xxx.xxx.com/"；
    为了达到该网页文件的破坏性，该ActiveX 对系统的注册表做了如下的修改：
    首先在开始菜单上禁止了"运行"项目，使用户不能通过通常的注册表编辑器来修改
该有害网页对系统注册表的修改：
    以下的注册表项表现在没有"运行"菜单：
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoRun"；
    以下的注册表项表现在没有"关闭系统"项目：
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoClose"；
    以下的注册表项表现在没有"注销"项目；
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoL
ogOff"；
    以下的注册表项表现在没有所有的逻辑驱动器：
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoDrives"；
    以下的注册表项表现在禁止注册表的编辑工具REGEDIT：
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\D
isableRegistryTools
    以下的注册表项表现在没有桌面：
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoDesktop"；
    以下的注册表项表现在禁止运行所有的DOS应用程序；
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp
\\Disabled"；
    以下的注册表项表现在系统不能启动到"实模式（传统的DOS模式）"下；
    "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp
\\NoRealMode"；
    以下的注册表项表现在WINDOWS系统登录时显示一个登录窗口（在MICROSOFT 网络用
户登录之前）：
    "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoti
ceCaption",（窗口的标题是） "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040
465联系!");
    "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoti
ceText", （窗口中的文字是）"欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:40404
65联系!");
    以下的注册表项表现在所有IE的窗口都会加上以下的WINDOWS标题窗口：
    "HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "欢迎
来到万花谷!请与OICQ:4040465联系!");
    "HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "欢迎
来到万花谷!请与OICQ:4040465联系!");
    最后的表现是在用户的计算机的IE浏览器上打开无数的窗口，使得IE根本无法使用
。同时用户正常的一些功能：桌面、开始中的运行、DOS方式、REGEDIT等都无法使用。
请所有的KV3000的用户抓紧升级到KVW3000最新的防杀病毒库，来预防该类恶意网页的侵
害。用户可以使用    KVD3000和KV3000.exe来清除计算机上的所有有害的网页文件。
    受害用户的修复方法：系统的注册表的恢复，建议用户使用F8启动到MSDOS方式下，
使用SCANREG/RESTORE命令来恢复原来正常的注册表。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.118]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店