computer 版 (精华区)

发信人: TeacherZhang (tz★热烈庆祝清华九十寿辰), 信区: network
标  题: 使用win98的注意了：一个病毒！ (转载)
发信站: 听涛站 (Mon Apr 30 16:17:48 2001), 转信

发信人: peterxiaoer (笑儿 ~  新生活，新挑战，新机会), 信区: THUExpress
标  题: 使用win98的注意了：一个病毒！ (转载)
发信站: BBS 水木清华站 (Sun Apr 29 23:38:54 2001)

【 以下文字转载自 DCST 讨论区 】
【 原文由 yeying 所发表 】
这封信发给所有与我通过电子邮件的人，请使用WIN98的人当心。
今天北大主页出现病毒，这种病毒与ILOVEYOU病毒相似，利用VBS（FSO,REG......），
可以通过电子邮件传播。
所以，即使你没有访问北大主页也可能中毒。

下面转载的文字里面介绍了这个病毒，大致说了解决方案，但是不是很好。
大家小心为是，不要打开附件里面带有Untitled.htm的邮件——即使是熟悉朋友发的。

发信人: puccini (无声的乐手), 信区: Triangle
标  题: 58病毒之一级警报（汇总）！！！！！！！！！！！！
发信站: 北大未名站 (2001年04月29日17:55:09 星期天), 站内信件

此病毒阴险之至，虽然可能看不到任何明显的迹象，但是已在暗中开始破坏了，忘大家
千万小心

现在我把我读到的信息分享给大家……

标  题: 最阴险的一点——背景图案是特洛依木马

如果你的IE没有禁止注册表填写，麻烦就开始了程序取出你的背景图案设置，将其带有
病毒的HTM页面 "Help.htm"的背景图案，最后再将病毒页面设置为桌面背景……

这样以来，每当你打开电脑，这个病毒就开始运行了，尽管你没有发觉什么变化

标  题: 背景图案的注册地点……

系统原本的背景图案注册在这个地方"HKEY_CURRENT_USER\Control
Panel\desktop\wallPaper"

如果他没有变为...Help.htm说明你的IE安全设置恰好没有允许他胡作非为。

如果已经变化……即使改正背景也并不可靠因为他在
HKEY_CURRENT_USER\Software\Help\Wallpaper有

个对比版本，一旦脚本发现两个背景不一样，他会重新将背景设置腐蚀。

这种改动发生在任何一个已被侵蚀的本地页面被打开时…… 所以解决办法是在注册表
中手动地将两个注册项改为相同的正确设置……

这样即使本地打开了被污染页面，也不至于使开机桌面成为攻击者。

标  题: 注册表更改方法

在Windows开始菜单里选运行

运行里写RegEdit则可出现目录式注册表编辑器

找到我所说的两个目录，同时修改他们至正确的背景文件即可记住，两个项必须一字不差

标  题: 现在说明一下他的攻击方法

每次脚本启动时（糟糕的情况是桌面即为病毒页面，这种情况可以根据上面的说法避免
，但是本机打开已被污染页面时，这个东东也会运行）
设定系统计时器，每10000个Tips（约等于10秒）将这个混蛋脚本（存在"Help.vbs"之
内）执行一遍 病毒开始不断递加注册表中的HKEY_CURRENT_USER\Software\Help\Count
项 每到可以整除366则发作一次 发作时他开始遍历整个系统的可写磁盘如果是5+8=13
日，则删除下一个exe/dll文件 如果不是（所以别以为就没事了，呵呵）这个日期，
则寻找下一个html/htm/vbs/asp文件，并将病毒代码 加入其后，所以你的机器上的带
病毒网页会越来越多
更阴险的是，他还负责通过email向外流毒 在遇到每一个网页时 只要看到其中的
mailto:字段，他都会把这个email地址提取，并且将一个叫Untitled.htm 的带毒
文件作为附件发送给那些地址。也就是说，时间长了之后，所有你硬盘网页中包含
的email链接都会受到你的“攻击”

此外，如果你是用的Outlook，你的地址本上的前十个好友名单也将受到你的“攻击”


标  题: 解决方法……！！！！！！！！！！！！！！！！！！
 最好谁编一个程序…?
 第一步：修改注册表中的背景页面，杀死vbsrcipt或要求手动重启。

第二步：遍历所有的html/htm/asp/vbs文件，查找文件中有没有字符串“Rem I am
sorry! happy time”，一旦有则可以将其后代码全部删除

第三步：删除注册表中的HKEY_CURRENT_USER\Software\Help\ 目录（记住！这一步必
须最后做）


--


--
※ 来源:．听涛站 cces.net．[FROM: 匿名天使的家]