万花谷病毒特征细解

病毒分类　网络 　　病毒名称　VBS.Haha 　 　　别　　名　万花奇毒 　 　　病毒长度　0字节 　　危害程度　一般 　　传播途径　邮件及网络 　 　　传播程度　少 　　感　　染　文件 　 　　病毒发作 　　病毒依赖系统：WIN95/98/2000 　　发作时间：双击病毒网页时 　　病毒的运行方式(是否驻留):不驻留 　　病毒类型(黑客,蠕虫…):脚本病毒。 　　感染文件类型：HTA文件,VBS文件 　　发作现象：复杂。 　　发作: 　　1.在一进入WINDOWS系统时,打印以下信息：“你中了※万花奇毒※.请与万花谷谷主OICQ：4040465联系” 　　2.使C盘丢失,用户无法访问C盘. 　　3.使开如菜单中的”运行”,”注销”,”关闭系统”三项丢失,让用户无法进行相应的工作. 　　4.将系统的MS-DOS方式封掉,使用户无法进入DOS环境，防止用户在DOS下访问C盘. 　　5.将注册表进行保护,使用户无法操作注册表防止了有经验的用户手动恢复. 　　6.将浏览器的标题修改为带有” 欢迎来到万花谷!请与OICQ:4040465联系!”字符串的后缀,以后每当打开一个网页都会出现此信息. 　　7.使ALT F4功能键失效,使用户无法通过热键进行正常关机. 　　8.此病毒是一个有预谋的脚本程序,它考虑到了普通用户和高级用户的一些使用习惯,将计算机全方位地封杀,给用户造成了很大的不便. 　　程序流程: 　　1.此病毒是一个恶意网页,当用户点击此网页时,则会自动执行内嵌在网页内部的一个脚本. 　　2.此脚本是用JAVA SCRIPT语言编写,并进行加密,使普通用户无法看到病毒源码. 　　3.此病毒的编制可以说颇费了一番心机.为了防止有编程经验的人ENCODE出它的源码,在病毒内部的开头是一大段教人写网页特效的教学脚本,在此脚本后面不太起眼的地方连接了有真正破坏目的病毒代码. 　　4.此病毒会释放出一个炸弹文件(并不是总是)，即是被一种恶意网页或脚本程序释放出来的一种子程序,此炸弹程序往往被母体放入WINDOWS启动目录,在下一次WINDOWS启动时自动加载. 　　5.此病毒首先将浏览器的默认网页指向” http://www.on888.home.chinaren.com 　　6.修改系统注册表的一些项完成病毒的发作. 　　7.此病毒还没有做传染的工作,所以没有点击以上网页的用户不会受到袭击。