荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: seawolf (眞·海狼seawolf), 信区: Virus
标 题: 万花病毒
发信站: 荔园晨风BBS站 (Wed Jul 4 12:01:44 2001), 转信
病毒名称:万花病毒
病毒类型:脚本病毒
病毒简介:
初识“万花谷”
当登陆某个网站后,机器莫名其妙地死机;重新启动后你会看到一个奇怪的提示:
“欢迎你来万花谷,你中了“万花病毒”请与QQ:4040465联系”。进入
Windows 后,你会发现 C: 盘不能使用了,“开始”菜单上的“运行”、“注销”
和“关机”项都不见了。打开 IE 浏览器你会发现窗口的标题也变成了“欢迎来到
万花谷!请与OICQ:4040465联系!”。这时,你已经感染了一个俗称“万花谷”的
JS.On888 脚本病毒!
进入“万花谷”
该病毒是嵌在 HTML 网页中的一段 Java 脚本程序,它最初出现在 http:
//on888.home.chinaren.com 个人网站上,随后其他一些个人主页也模仿或被感染
了该病毒代码。
和普通脚本病毒有所不同的是,用“查看源文件”的方法来查看感染“万花谷”病
毒的网页代码时,只能看到一大段的杂乱字符。为了具有隐蔽性,该病毒采用了
JavaScript 的 escape() 函数进行了字符处理,把某些符号、汉字等变成乱码以
达到迷惑人的目的。程序运行时再调用 unescape() 解码到本地机器上运行。
该病毒的感染主要是通过修改注册表来实现的。以下为其设置或修改的注册表项:
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoRun 为 01 (取消开始菜单上的“运行”项)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoClose" 为 01 (取消开始菜单上的“关闭”项)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoLogOff" 为 01 (取消开始菜单上的“注销”项)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoDrives" 为 "00000004" (取消对 C: 盘的访问权限)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\D
isableRegistryTools" 为 "00000001" (使注册表工具不可用)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\
\NoDesktop" 为 "00000001" (取消桌面)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp
\\Disabled" 为 "00000001" (原 DOS 程序不可用)
设置
"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp
\\NoRealMode" 为 "00000001" (不能进入 DOS 方式)
设置
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoti
ceCaption" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系
!" (设置登录窗口的标题为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:
4040465联系!”)
设置
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoti
ceText" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!" (设
置登录窗口的提示为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联
系!”)
设置 "HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window
Title" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!" (设
置 IE 窗口的标题为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联
系!”)
修改 "HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page" 为
http://www.on888.home.chinaren.com/" (设置 IE 的主页链接为 http://www.
on888.home.chinaren.com )
另外,该病毒还会在收藏夹中增加相应的链接。
除了修改注册表和收藏夹外,“万花谷”病毒不会破坏系统,删除、感染或修改文
件等。
走出“万花谷”
感染“万花谷”病毒后,只要还原回原来的注册表或者删除注册表中相应项即可恢
复系统。
方法一(利用 Windows 提供的恢复注册表功能):
开机按 F8;选第五项进入 DOS 模式;ScanReg (回车);Next (回车);View
Backup (回车);选第四项 Restore;重启电脑。
方法二(采用 VBS 或 JS 脚本来删除或修改注册表项):
进入系统后打开记事本,输入以下内容:
Dim R
Set R = CreateObject("WScript.Shell")
Rem Write Regedit
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun"
, 0, "REG_BINARY"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClos
e", 0, "REG_BINARY"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogO
ff", 0, "REG_BINARY"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriv
es", "00000000", "REG_DWORD"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableR
egistryTools", "00000000", "REG_DWORD"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesk
top","00000000","REG_DWORD"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disab
led", "00000000", "REG_DWORD"
R.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRea
lMode", "00000000", "REG_DWORD"
R.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCapt
ion", "", "REG_SZ"
R.RegWrite
"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText
", "", "REG_SZ"
R.RegWrite "HKLM\Software\Microsoft\Internet Explorer\Main\Window
Title", "", "REG_SZ"
R.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",
"", "REG_SZ"
以文件名“RegClean.vbs”存盘,后运行该文件。重新启动计算机。
远离“万花谷”
在网页中使用脚本可以大量丰富内容,实现各种特殊效果。然而,如同双刃剑一样
,恶意脚本也随之而来。如何拒绝这些脚本呢?
一、取消网页脚本
禁用脚本是拒绝恶意程序的最彻底的方法。在“Internet 选项”设置对话框的“
安全”页面上,点按“自定义级别”按钮进入“安全设置”对话框,分别选中“禁
用 Java 小程序脚本”和“禁用活动脚本”。这样,在上网浏览时再也不用担心脚
本类病毒。但是,作为代价,所有通过脚本实现的特殊效果也全部被禁用了。
二、安装金山毒霸
金山毒霸独具双引擎查杀病毒,安全准确,防火墙可以有效地监控各类病毒或恶意
程序。金山毒霸II增加 Office 挂接查杀宏病毒和嵌入 IE 扫描 ActivateX 控件
功能可以有效拦截各类脚本病毒。金山毒霸的用户请每周执行升级更新病毒库。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店