你进入了网址为“http://www.on888.xxx.xxx.com”之类的网站,也许是因为它有一个非常好听的名称:万花谷,然而当你离开这个网站时,会突然弹出无数个浏览器窗口,这时即使你关闭所有的浏览器窗口,WINDOWS仍然会出错,而且按任何按键都会失去反应,如果用“Ctrl+Alt+Del”结束任务,马上就会出现蓝屏死机的现象。重新启动计算机,会出现一个奇怪的提示:“欢迎你来万花谷,你中了‘万花病毒’请与QQ:4040465联系”,按下“确定”按钮,可以进入WINDOWS,但桌面上所有的图标都消失了,而且你会发现C盘不能使用了,“开始”菜单上的“运行”、“注销”和“关机”项也都不见了,注册表也被禁用了。打开IE浏览器你会发现窗口的标题变成了“欢迎来到万花谷!你中了‘万花病毒’请与OICQ:4040465联系!”,打开收藏夹,你会发现多了一个名为“万花谷”的快捷方式,网址是“http://96xx.xxx.com”,打开该网址后,如果你的浏览器版本在IE4.0以上,显示的是一个有4种光效滤镜效果的网页,随着鼠标的移动,会造成光线照在网页图片不同地方的效果。
" m, v; R! {) ~" ?1 @/ a 一、病毒特征
: I; ~" H1 R5 R# W* a “万花谷”实际上是一个含有JavaScript脚本代码的网页文件,但因为其脚本代码具有恶意破坏能力,而且许多个人网站竞相模仿该网站,给上网用户造成了极大的影响,因此也被反病毒厂商作为一种病毒对待。
/ n, p" H H& r/ W" i1 ^ “万花谷”病毒和其它普通脚本病毒有所不同的是,它具有极强的隐蔽性,它巧妙地利用了encode把自己的脚本隐藏,使得人们用“查看源文件”的方法来查看含有“万花谷”病毒的网页文件源代码时,只能看到一大段的乱字符。它没有传播能力,但却能修改或添加注册表的键值,给用户带来诸多的麻烦。
% [" g% z. S* D! H4 B0 l “万花谷”病毒是通过ActiveX对注册表进行修改的,为了达到破坏的目的,它要修改或添加注册表的以下键值。 设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer主键下的“NoRun”键值数据为“00000001”,以取消开始菜单上的“运行”项。3 Y) j. y3 ]) D. Y) F" C* Y* s [0 b
设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoClose”键值数据为“00000001”,以取消开始菜单上的“关闭”项。$ G8 d+ w* L2 e0 S' ]7 ]
设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoLogOff”键值数据为“00000001”,以取消开始菜单上的“注销”项。6 H) J1 T9 L- S7 l' a H
设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDrives”键值数据为“00000004”,以取消对 C 盘的访问权限。
$ e+ a- {( B! P 设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\主键下的“DisableRegistryTools”键值数据为“00000001”,以禁止使用注册表工具regedit.exe。9 t, |1 ^1 _0 n2 s4 n
设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\主键下的“NoDesktop”键值数据为“00000001”,以取消桌面所有图标。
$ @ n! D! ]" }& S5 [+ f0 `8 J. f5 Z: p, g 设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp主键下的“Disabled”键值数据为“00000001”,以禁用开始菜单/程序中的“MS-DOS方式”项。
5 e0 t( G7 b( F. u 设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\主键下的“NoRealMode”键值数据为“00000001”,以禁用开始菜单/关闭系统中的“重新启动计算机并切换到MS-DOS方式”。9 y ~3 q% H* E4 |+ E/ t. Y
设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeCaption”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置开机时的恐怖提示。
) x% z1 A, B6 D0 K8 b; O. P 设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\主键下的“LegalNoticeText”键值数据为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置登录窗口的恐怖提示。+ i4 A2 R( b# I) V* t) A3 O
设置HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
% L. Y1 X6 R/ s+ W$ S* F/ A, J+ rExplorer\Main\主键下的“Window Title”为“欢迎来到万花谷!你中了‘万花奇毒’请与QQ:4040465联系!”,以设置 IE 浏览器窗口的标题提示。$ H# T# J) U; c: q8 d* a' P. y6 I
修改HKEY_CURRENT_USER\Software\Microsoft\Internet
; i0 m# U4 s$ IExplorer\Main\主键下的“Start Page”为“http://www.on888.home.chinaren.com/”,以设置 IE浏览器启动时自动进入“万花谷”网站。% I( `& @1 s: m# ~( c& x4 q
二、解决方法6 r3 o5 M/ p% @3 r
知道了“万花谷”病毒的破坏原理,我们就可以找到针对的解决方法,首先是要恢复被“万花谷”病毒修改的注册表,下面是笔者的三种方法,朋友可以根据实际情况选择使用。5 N K8 d' M$ Z4 R# _ |: N3 p
方法一:* U# V" \8 W `) F0 M
在你发现中了病毒后,立刻重新启动,并在开机时按F8启动,出现开机菜单时,选第五项进入 DOS 模式下,然后运行Scanreg/restore命令,选择恢复感染“万花谷”病毒前一天正常的注册表即可。但如果你过了五天以后再用本方法就不行了,因为WINDOWS默认只能备份五天的注册表记录,五天后恢复的仍然是被修改后的注册表,所以使用这种方法的要求是及时。3 D+ w9 y' P2 ~& I0 V6 K8 t/ [- D
0 q$ S9 P) ~! C' t1 i0 F
方法二:用记事本编辑生成一个名为restore.reg的注册表文件后存盘,以后只需双击该文件就可将正确的注册表数据恢复过去。该文件内容如下: 0 I- o6 ~" d' }3 ^7 Y& J" J
REGEDIT4
7 V' {2 _4 W, e' x" ^# t[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
# n' e$ Z7 l* B7 h"NoRun"=-
6 o7 u! R2 w- ]& x% H7 t"NoClose"=-
/ z4 h: r" J3 s( N% n f"NoLogOff"=-
& o3 [" z* i C# v3 }. O: U7 @"NoDrives"=- + L" P: d9 k: r8 T3 ^) f) D
"NoDesktop"=-6 x- s/ t$ O/ Y" w
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] % c/ C5 j3 i$ \4 S0 \* ?
"DisableRegistryTools"=dword:00000000 5 @3 k; [2 K; D; N
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp] ( \" m$ W( H! Q" o. F( j
"Disabled"=-
5 a( O5 ~0 ~* z7 C"NoRealMode"=-
% i$ j7 p6 S- q) X1 F$ q. z% v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
1 e1 Q* O0 h/ {"LegalNoticeCaption"=""
* L$ V. s2 o3 T. P9 m% ]9 \"LegalNoticeText"="" 2 Z' N5 A% x. \5 z( s- S
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
' _6 p5 ?. c# b5 T"Window Title"="IE浏览器" 3 S- j) {7 t, ^
"Start Page"=""
% V' l0 g6 e2 E: B; X; ` 方法三:; O$ W% N' w4 w7 x
金山毒霸已经针对“万花谷”病毒发布了一个专门的查杀工具,需要的朋友可到这儿下载,下载后直接运行regprotect.exe,软件便会常驻内存对系统注册表进行保护,防止以后再次受到类似病毒对注册表的破坏,运行时加上参数“/c”可以对已经被“万花谷”病毒破坏的注册表进行修复,加上参数“/u”则可以卸载常驻内存的注册表保护程序。+ [! t6 ]) E8 N$ ~2 k7 e$ H4 P
在恢复了系统注册表后,我们还要删除“万花谷”病毒在开始菜单启动组中添加的自启动项目“Ha.hta”,对于“万花谷”病毒在IE收藏夹中添加的网址,可以打开C:\WINDOWS\Favorites目录,删除“万花谷.URL”文件即可。
! u7 w' B. \. f) K 其实对付“万花谷”病毒我们只要采取可行的防范措施,就能将它们拒之门外,因为这些病毒都是通过在网页中使用恶意脚本程序来运行的,我们只要禁止执行这些脚本就可以达到防范未然的目的。# U- }1 W5 c; R/ F0 _
在控制面板中单击“Internet”,打开“Internet属性”对话框,单击“安全”页面,然后按“自定义级别”按钮进入“安全设置”对话框,将“脚本”选项中的“Java小程序脚本”和“活动脚本”都设为“禁用”,这样,以后再上网浏览时就不用担心脚本类病毒了。不过正常网页中所有通过脚本实现的网页特殊效果也全部被禁用了。2 I; i4 U- s3 j! \- t
|
/1 
|Archiver|小黑屋|宽带技术网
|网站地图 
粤公网安备44152102000001号 
发表于 2002-6-27 11:44:26