走进“万花谷”『电脑软硬件交流区』

幸福的傻瓜 发表于 2002-6-27 11:44:26

走进“万花谷”

你进入了网址为“http://www.on888.xxx.xxx.com”之类的网站，也许是因为它有一个非常好听的名称：万花谷，然而当你离开这个网站时，会突然弹出无数个浏览器窗口，这时即使你关闭所有的浏览器窗口，WINDOWS仍然会出错，而且按任何按键都会失去反应，如果用“Ctrl+Alt+Del”结束任务，马上就会出现蓝屏死机的现象。重新启动计算机，会出现一个奇怪的提示：“欢迎你来万花谷，你中了‘万花病毒’请与QQ：4040465联系”，按下“确定”按钮，可以进入WINDOWS，但桌面上所有的图标都消失了，而且你会发现C盘不能使用了，“开始”菜单上的“运行”、“注销”和“关机”项也都不见了，注册表也被禁用了。打开IE浏览器你会发现窗口的标题变成了“欢迎来到万花谷!你中了‘万花病毒’请与OICQ:4040465联系!”，打开收藏夹，你会发现多了一个名为“万花谷”的快捷方式，网址是“http://96xx.xxx.com”，打开该网址后，如果你的浏览器版本在IE4.0以上，显示的是一个有4种光效滤镜效果的网页，随着鼠标的移动，会造成光线照在网页图片不同地方的效果。
　　一、病毒特征
　　“万花谷”实际上是一个含有JavaScript脚本代码的网页文件，但因为其脚本代码具有恶意破坏能力，而且许多个人网站竞相模仿该网站，给上网用户造成了极大的影响，因此也被反病毒厂商作为一种病毒对待。
　　“万花谷”病毒和其它普通脚本病毒有所不同的是，它具有极强的隐蔽性，它巧妙地利用了encode把自己的脚本隐藏，使得人们用“查看源文件”的方法来查看含有“万花谷”病毒的网页文件源代码时，只能看到一大段的乱字符。它没有传播能力，但却能修改或添加注册表的键值，给用户带来诸多的麻烦。
　　“万花谷”病毒是通过ActiveX对注册表进行修改的，为了达到破坏的目的，它要修改或添加注册表的以下键值。　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer主键下的“NoRun”键值数据为“00000001”，以取消开始菜单上的“运行”项。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoClose”键值数据为“00000001”，以取消开始菜单上的“关闭”项。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoLogOff”键值数据为“00000001”，以取消开始菜单上的“注销”项。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDrives”键值数据为“00000004”，以取消对 C 盘的访问权限。
　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\主键下的“DisableRegistryTools”键值数据为“00000001”，以禁止使用注册表工具regedit.exe。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDesktop”键值数据为“00000001”，以取消桌面所有图标。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp主键下的“Disabled”键值数据为“00000001”，以禁用开始菜单/程序中的“MS－DOS方式”项。
　　设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\主键下的“NoRealMode”键值数据为“00000001”，以禁用开始菜单/关闭系统中的“重新启动计算机并切换到MS－DOS方式”。
　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeCaption”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置开机时的恐怖提示。
　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeText”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置登录窗口的恐怖提示。
　　设置HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\主键下的“Window Title”为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”，以设置 IE 浏览器窗口的标题提示。
　　修改HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\主键下的“Start Page”为“http://www.on888.home.chinaren.com/”，以设置 IE浏览器启动时自动进入“万花谷”网站。
　　二、解决方法
　　知道了“万花谷”病毒的破坏原理，我们就可以找到针对的解决方法，首先是要恢复被“万花谷”病毒修改的注册表，下面是笔者的三种方法，朋友可以根据实际情况选择使用。
　　方法一：
　　在你发现中了病毒后，立刻重新启动，并在开机时按F8启动，出现开机菜单时，选第五项进入 DOS 模式下，然后运行Scanreg/restore命令，选择恢复感染“万花谷”病毒前一天正常的注册表即可。但如果你过了五天以后再用本方法就不行了，因为WINDOWS默认只能备份五天的注册表记录，五天后恢复的仍然是被修改后的注册表，所以使用这种方法的要求是及时。

方法二：用记事本编辑生成一个名为restore.reg的注册表文件后存盘，以后只需双击该文件就可将正确的注册表数据恢复过去。该文件内容如下：
REGEDIT4

"NoRun"=-
"NoClose"=-
"NoLogOff"=-
"NoDrives"=-
"NoDesktop"=-

"DisableRegistryTools"=dword:00000000

"Disabled"=-
"NoRealMode"=-

"LegalNoticeCaption"=""
"LegalNoticeText"=""

"Window Title"="IE浏览器"
"Start Page"=""
　　方法三：
　　金山毒霸已经针对“万花谷”病毒发布了一个专门的查杀工具，需要的朋友可到这儿下载，下载后直接运行regprotect.exe，软件便会常驻内存对系统注册表进行保护，防止以后再次受到类似病毒对注册表的破坏，运行时加上参数“/c”可以对已经被“万花谷”病毒破坏的注册表进行修复，加上参数“/u”则可以卸载常驻内存的注册表保护程序。
　　在恢复了系统注册表后，我们还要删除“万花谷”病毒在开始菜单启动组中添加的自启动项目“Ha.hta”，对于“万花谷”病毒在IE收藏夹中添加的网址，可以打开C:\WINDOWS\Favorites目录，删除“万花谷.URL”文件即可。
　　其实对付“万花谷”病毒我们只要采取可行的防范措施，就能将它们拒之门外，因为这些病毒都是通过在网页中使用恶意脚本程序来运行的，我们只要禁止执行这些脚本就可以达到防范未然的目的。
　　在控制面板中单击“Internet”，打开“Internet属性”对话框，单击“安全”页面，然后按“自定义级别”按钮进入“安全设置”对话框，将“脚本”选项中的“Java小程序脚本”和“活动脚本”都设为“禁用”，这样，以后再上网浏览时就不用担心脚本类病毒了。不过正常网页中所有通过脚本实现的网页特殊效果也全部被禁用了。

mrsteven 发表于 2004-4-24 22:19:07