设为首页收藏本站
开启辅助访问 切换到窄版

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
宽带技术网»首页 ::::: 技 术 交 流 区 ::::: 『 电脑软硬件交流区 』 走进“万花谷”
返回列表 发新帖
查看: 4626|回复: 2

走进“万花谷”

[复制链接]
幸福的傻瓜
发表于 2002-6-27 11:44:26 | 显示全部楼层 |阅读模式
你进入了网址为“http://www.on888.xxx.xxx.com”之类的网站,也许是因为它有一个非常好听的名称:万花谷,然而当你离开这个网站时,会突然弹出无数个浏览器窗口,这时即使你关闭所有的浏览器窗口,WINDOWS仍然会出错,而且按任何按键都会失去反应,如果用“Ctrl+Alt+Del”结束任务,马上就会出现蓝屏死机的现象。重新启动计算机,会出现一个奇怪的提示:“欢迎你来万花谷,你中了‘万花病毒’请与QQ:4040465联系”,按下“确定”按钮,可以进入WINDOWS,但桌面上所有的图标都消失了,而且你会发现C盘不能使用了,“开始”菜单上的“运行”、“注销”和“关机”项也都不见了,注册表也被禁用了。打开IE浏览器你会发现窗口的标题变成了“欢迎来到万花谷!你中了‘万花病毒’请与OICQ:4040465联系!”,打开收藏夹,你会发现多了一个名为“万花谷”的快捷方式,网址是“http://96xx.xxx.com”,打开该网址后,如果你的浏览器版本在IE4.0以上,显示的是一个有4种光效滤镜效果的网页,随着鼠标的移动,会造成光线照在网页图片不同地方的效果。# Q* j/ H. u+ c; x8 h' `& N
  一、病毒特征7 a2 y0 U& F2 f6 j3 ]
  “万花谷”实际上是一个含有JavaScript脚本代码的网页文件,但因为其脚本代码具有恶意破坏能力,而且许多个人网站竞相模仿该网站,给上网用户造成了极大的影响,因此也被反病毒厂商作为一种病毒对待。
' x2 w$ z. R3 _+ p" k+ E  “万花谷”病毒和其它普通脚本病毒有所不同的是,它具有极强的隐蔽性,它巧妙地利用了encode把自己的脚本隐藏,使得人们用“查看源文件”的方法来查看含有“万花谷”病毒的网页文件源代码时,只能看到一大段的乱字符。它没有传播能力,但却能修改或添加注册表的键值,给用户带来诸多的麻烦。0 O! W# m; s$ Y6 I# B; I
  “万花谷”病毒是通过ActiveX对注册表进行修改的,为了达到破坏的目的,它要修改或添加注册表的以下键值。   设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer主键下的“NoRun”键值数据为“00000001”,以取消开始菜单上的“运行”项。
' d+ E6 r1 U( |( O5 Z  R: }+ D  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoClose”键值数据为“00000001”,以取消开始菜单上的“关闭”项。
0 G' Z. P  L/ L. c. s  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoLogOff”键值数据为“00000001”,以取消开始菜单上的“注销”项。
+ V. O+ s9 ~) Y6 Z) |7 h  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDrives”键值数据为“00000004”,以取消对 C 盘的访问权限。6 e# u" P1 A1 N2 z0 F1 U* x4 i
 设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\主键下的“DisableRegistryTools”键值数据为“00000001”,以禁止使用注册表工具regedit.exe。
* I6 j  N7 v% D! @  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDesktop”键值数据为“00000001”,以取消桌面所有图标。
' E+ ^" U0 N( O. _' i  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp主键下的“Disabled”键值数据为“00000001”,以禁用开始菜单/程序中的“MS-DOS方式”项。2 ^' {6 M% Z1 ]2 X' |6 U- A9 l
  设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\主键下的“NoRealMode”键值数据为“00000001”,以禁用开始菜单/关闭系统中的“重新启动计算机并切换到MS-DOS方式”。
) D' \" O! u0 Z: _3 ]  设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeCaption”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置开机时的恐怖提示。 9 U& Z; s/ c6 E5 p+ M7 m$ Q  r$ ]
  设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeText”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置登录窗口的恐怖提示。- N# ~3 ~1 S6 R9 ~# T
  设置HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
# N' [& w, o6 sExplorer\Main\主键下的“Window Title”为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置 IE 浏览器窗口的标题提示。5 r7 J8 u3 [2 Y. l/ ]
  修改HKEY_CURRENT_USER\Software\Microsoft\Internet
4 y6 j) a  N- X! E2 q- eExplorer\Main\主键下的“Start Page”为“http://www.on888.home.chinaren.com/”,以设置 IE浏览器启动时自动进入“万花谷”网站。: B) K& u2 c3 R$ z3 N
  二、解决方法
9 |, |1 o' `2 }  知道了“万花谷”病毒的破坏原理,我们就可以找到针对的解决方法,首先是要恢复被“万花谷”病毒修改的注册表,下面是笔者的三种方法,朋友可以根据实际情况选择使用。
* [+ W3 ]" v4 u  方法一:
. P8 O' F" _  ]8 h2 F' J. E  在你发现中了病毒后,立刻重新启动,并在开机时按F8启动,出现开机菜单时,选第五项进入 DOS 模式下,然后运行Scanreg/restore命令,选择恢复感染“万花谷”病毒前一天正常的注册表即可。但如果你过了五天以后再用本方法就不行了,因为WINDOWS默认只能备份五天的注册表记录,五天后恢复的仍然是被修改后的注册表,所以使用这种方法的要求是及时。# {- e( n# }) L

. k& ^4 [! r$ D# |4 H! a方法二:用记事本编辑生成一个名为restore.reg的注册表文件后存盘,以后只需双击该文件就可将正确的注册表数据恢复过去。该文件内容如下: 8 [1 k- [" ^3 S' ]  U+ d$ {
REGEDIT4
4 S  d% t* ?; P! h* D' u( y[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
+ n& b) v3 Q$ w"NoRun"=-
9 D7 j( C; k( p2 e3 y6 u" G"NoClose"=- , i4 A) h* I6 {" P" \2 S% `( M
"NoLogOff"=-
( @7 r( G8 w- v$ `! K6 V2 I: V"NoDrives"=-
8 V  E$ p  i- }% A1 j& i. P"NoDesktop"=-7 W0 O3 _8 D3 @! w
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] ) j) t3 B/ z0 Y$ t
"DisableRegistryTools"=dword:00000000
7 [9 M5 a+ z+ F) x[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
' F( o7 f) F  `! [2 o"Disabled"=-) y# o3 l, l0 h9 V2 a) h* Q" P
"NoRealMode"=-) j* s/ n8 ^4 E: q7 O( ?* H
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
! h" Z# Y/ p- _) N. Z2 M% Y& K9 o"LegalNoticeCaption"=""
! _6 _0 ?# ~8 H9 P8 G" i"LegalNoticeText"="" 3 u$ U% i$ S/ T6 d/ _
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
: L) [  N' z) a) c7 C"Window Title"="IE浏览器" " E1 h9 H" N5 r; `" U7 Q$ O) R
"Start Page"=""+ ]5 i# u/ @/ M8 K
  方法三:1 N1 K) U( C/ T- b
  金山毒霸已经针对“万花谷”病毒发布了一个专门的查杀工具,需要的朋友可到这儿下载,下载后直接运行regprotect.exe,软件便会常驻内存对系统注册表进行保护,防止以后再次受到类似病毒对注册表的破坏,运行时加上参数“/c”可以对已经被“万花谷”病毒破坏的注册表进行修复,加上参数“/u”则可以卸载常驻内存的注册表保护程序。
3 b, k8 f, Z) k' {( d  在恢复了系统注册表后,我们还要删除“万花谷”病毒在开始菜单启动组中添加的自启动项目“Ha.hta”,对于“万花谷”病毒在IE收藏夹中添加的网址,可以打开C:\WINDOWS\Favorites目录,删除“万花谷.URL”文件即可。& @* I9 h2 p1 O0 `$ H
  其实对付“万花谷”病毒我们只要采取可行的防范措施,就能将它们拒之门外,因为这些病毒都是通过在网页中使用恶意脚本程序来运行的,我们只要禁止执行这些脚本就可以达到防范未然的目的。
9 r4 r* }( a- ^- d+ J9 c" M  在控制面板中单击“Internet”,打开“Internet属性”对话框,单击“安全”页面,然后按“自定义级别”按钮进入“安全设置”对话框,将“脚本”选项中的“Java小程序脚本”和“活动脚本”都设为“禁用”,这样,以后再上网浏览时就不用担心脚本类病毒了。不过正常网页中所有通过脚本实现的网页特殊效果也全部被禁用了。# Y. r9 U3 O! Y1 E1 k
回复

举报

mrsteven
发表于 2004-4-24 22:19:07 | 显示全部楼层

走进“万花谷”

推荐大家用虚拟还原,该软件可在任何时间建立任意多的备份点,系统崩溃或中病毒/木马后只要选择中毒前的任意一个备份点进行还原便可以恢复系统,时间只是几分钟,不过安装虚拟还原后记得关闭操作系统的还原项,不然就浪费硬盘空间了.
5 T) g3 \% a! R5 a虚拟还原(RestoreIT!) 3.0 多语言个人零售版下载网址:
, [, Q  k" \& c3 w- ihttp://www.shenyi99.com/download/SoftView.asp?SoftID=815
  g2 O, c. ], r
回复

举报

mrsteven
发表于 2004-4-24 22:50:03 | 显示全部楼层

走进“万花谷”

虚拟还原(RestoreIT!) 3.0 多语言个人零售版下载网址:8 M, G/ C$ W8 q/ W
http://www.shenyi99.com/download/SoftView.asp?SoftID=8150 C* g$ F( [+ F( Q# F
解压密码:shenyi99.com5 K1 {4 M( s  M/ H' M
回复

举报

返回列表 发新帖
*滑块验证:
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|小黑屋|宽带技术网 |网站地图 粤公网安备44152102000001号

GMT+8, 2025-5-2 22:20 , Processed in 0.024143 second(s), 4 queries , Redis On.

Powered by Discuz! X3.5 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表