为了使病毒掌握系统控制权,通常采用修 改注册表的方式,下面的语句就是通过修改 注册表,使得系统每次启动后自动执行脚 本 recreate HKEY LOCAL MACHINE\Microsoft WIndows currentversion\Run \MSKemel32" dirsystem&\MSKemel32 vbs recreate HKEY LOCAL MACHINEIMicrosoft WindowslCurrentVersion\Run Services Win irwin WIn 32DLL vbs MSKemel32vbs和Win32 DLL Vbs是病 毒脚本的副本
为了使病毒掌握系统控制权,通常采用修 改注册表的方式,下面的语句就是通过修改 注册表,使得系统每次启动后自动执行脚 本 regcreate "HKEY_LOCAL_MACHINE\Microsoft \Windows\CurrentVersion\Run \MSKemel32", dirsystem&”\MSKemel32.vbs regcreate "HKEY_LOCAL_MACHINE\Microsoft \Windows\CurrentVersion\RunServices\ Win32DLL",dirwin&"\Win32DLL.vbs MSKemel32.vbs 和 Win32DLL.vbs 是 病 毒脚本的副本
7.73欢乐时光( happy time, help script) 病毒感染文件类型: asp htm html vbs。 病毒依赖的操作系统: Win9 x/Winnt/win2000。 病毒表现形式为: (1)执行一次注册表项 HKEY CURRENT USERISoftware HelplCount就加 (2)默认的邮件处理器会弹出,并不停的 给邮件地址中某些信箱发邮件,邮件的 主题是Help,附件是 Untitled.htm;
7.7.3欢乐时光(happy time,help.script) 病毒感染文件类型:asp htm html vbs。 病毒依赖的操作系统: Win9x/Winnt/Win2000。 病毒表现形式为: (1)执行一次注册表项 HKEY_CURRENT_USER\Software\ Help\Count就加一 (2)默认的邮件处理器会弹出,并不停的 给邮件地址中某些信箱发邮件,邮件的 主题是Help,附件是\Untitled.htm;
(3)HKEY CURRENT USERIControl anelldesktoplwallpaper指向病毒的本身; (4)在注册表中写入 HKEY CURRENT USERISoftwarehelp 共有三项: filename, count wallpaper (5)写文件系统目录 help. vbs,系统目录 Untitled.htm (6)在系统目录下创建 Help. hta; (7)Htm文件被打开后表现为 loading help
(3)HKEY_CURRENT_USER\Control anel\desktop\wallpaper指向病毒的本身; (4)在注册表中写入 HKEY_CURRENT_USER\Software\help, 共有三项:filename,count, wallpaper; (5)写文件系统目录help.vbs,系统目录 Untitled.htm; (6)在系统目录下创建Help.hta; (7)Html文件被打开后表现为loading help……
病毒发作与破坏方式为: 如果病毒被执行时,日期的月份和日期的相 加和是13,注册表项 HKEY CURRENT USERISoftware helplfilename中的文件类 型是EXE或是DLL则此文件被删除 Happtime病毒的发作日期是月+日=13时发 作,第一次发作是2001年5月8日 Happytime的典型症状和现象:超级解霸总 是不断的运行;会弹出一个一个的记事本, 上面写着 I am sorry…、(或help),而且是不停 的弹出,总是不断的运行;按ctr+ alt+del可 以看到有很多的 Scrip在运行,系统资源非 常的低;硬盘上的所有exe和l文件被删除
病毒发作与破坏方式为: 如果病毒被执行时,日期的月份和日期的相 加和是13,注册表项HKEY_CURRENT_ USER\Software\help\filename中的文件类 型是 EXE 或是 DLL 则此文件被删除。 Happtime病毒的发作日期是月+日=13时发 作,第一次发作是2001 年 5 月 8日。 Happytime的典型症状和现象:超级解霸总 是不断的运行;会弹出一个一个的记事本, 上面写着I am sorry...( 或help),而且是不停 的弹出,总是不断的运行;按ctrl+alt+del 可 以看到有很多的wscript在运行,系统资源非 常的低;硬盘上的所有exe 和dll文件被删除
7.8“红色代码”病毒( Code red, Code redl) 红色代码”病毒别名为:W32/ Bady. worm。 在一些版本的Ⅲs上发现的索引服务漏洞已经 被一个名为“红色代码”(“ code red”)的 蠕虫利用并传播,在被感染的页面上赫然出 现“ Hacked by Chinese”。 索引服务漏洞存在于!40和ls50中,Is 运行在wnnt、win2000及 win xp beta版。 该漏洞允许远程入侵者在染毒机器中运行任 意的代码
7.8 “红色代码”病毒 (Code red,Code redII ) “红色代码”病毒别名为:W32/Bady.worm 。 在一些版本的IIS上发现的索引服务漏洞已经 被一个名为“红色代码”(“code red”)的 蠕虫利用并传播,在被感染的页面上赫然出 现“Hacked by Chinese” 。 索引服务漏洞存在于IIS 4.0 和 IIS 5.0中,IIS 运行在winnt 、win2000 及win xp beta 版。 该漏洞允许远程入侵者在染毒机器中运行任 意的代码