那些年風靡全球的VBS病毒

一、歡樂時光病毒

「歡樂時光」：是一個VB源程序病毒，專門感染.htm、.html、.vbs、.asp和.htt文件。

它作為電子郵件的附件，並利用Outlook Express的性能缺陷把自己傳播出去，一個被人們所知的Microsoft Outlook Express的安全漏洞，可以在你沒有運行任何附件時就運行自己。

還利用Outlook Express的信紙功能，使自己複製在信紙的Html模板上，以便傳播。

這和「Wscript.KakWorm」病毒很相似，當你發信出去時，「歡樂時光」的源病毒隱藏在HTML文件上。

只要你在Outlook Express上預覽了隱藏有病毒的HTML文件，甚至你都不用打開它，它就能感染你的電腦。

中毒症狀

當「歡樂時光」發作後：

·它會把自己偽裝成Help.hta, Help.vbs, Help.htm或Untitled.htm文件。

·它會在註冊表的HKEY_CURRENT_USER\Software\Help\Count上改變鍵值，更新被感染文件的數量。

月份和日期之和等於13

·當月份和日期加起來等於13時，源病毒會刪除全部的.exe和.dll文件。

·每個帶有「歡樂時光」病毒的郵件都會是以下的格式：

Subject: HelpMessage: (信體是空的)

Attachment: Untitled.htm (被感染的附件)

被Email感染的文件：

.htm, .vbs,.asp或.htt文件的名字都會儲存在系統註冊表的HKEY_CURRENT_USER\Software\Help\FileName裡面。

每當366個被感染者時

·每當366個被感染者時，下面兩件事發生的機會相等：

一個是儲存在收信箱裡的所有信都會被回復以下面的形式：

Subject: Fw: <最初的發信人地址>

Message: (信體是空的)

Attachment: Untitled.htm (被感染的附件)

另一個情況是以下面的形式向默認的所有聯繫人發送Email:

Subject: Help

Message: (信體是空的)

Attachment: Untitled.htm (被感染的附件)

二、宏病毒——網絡蠕蟲病毒

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。

一旦打開這樣的文檔，其中的宏就會被執行，於是宏病毒就會被激活，轉移到計算機上，並駐留在Normal模板上。

從此以後，所有自動保存的文檔都會「感染」上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。

宏病毒的主要破壞

WORD宏病毒的破壞在兩方面：

1．對WORD運行的破壞是：不能正常列印；封閉或改變文件存儲路徑；將文件改名；亂複製文件；封閉有關菜單；文件無法正常編輯。

如Taiwan No.l Macro病毒每月13日發作，所有編寫工作無法進行。

2．對系統的破壞是：Word Basic語言能夠調用系統命令，造成破壞。

宏病毒隱蔽性強，傳播迅速，危害嚴重，難以防治

與感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隱蔽性強，傳播迅速，危害嚴重，難以防治等特點。

1．宏病毒隱蔽性強

由於人們忽視了在傳遞一個文檔時也會有傳播病毒的機會。

2．宏病毒傳播迅速

因為辦公數據的交流要比拷貝.EXE文件更加經常和頻繁，如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話，那麼這一招對Word病毒將束手無策。

3．危害嚴重

因為Microsoft Word幾乎已經成為全世界辦公文檔的事實工業標準，其影響是全球範圍的，在中國也絕不例外。

Word文件的交換是目前辦公數據交流和傳送的最通常的方式之一，其涉及面比盜版軟體的傳播要大得多，傳播速度則更加有過之而無不及。

據報導，70%-80%的中國計算機用戶已經不再單純使用MSDOS作為唯一的操作環境，看VCD和使用Word成為用戶使用Windows應用程式的榜首。

無數的DOC文件從上級機關金字塔般地傳播到基層， 基層又上報到上級機關，從各個單位的辦公室到工作者的家庭，到出版部門的計算機系統。

於是，便存在這樣一種可能，當成千上萬的x86計算機系統在傳播和複製這些數據以及文檔文件的同時，也在忠實地傳播和複製這些病毒。

由於該病毒能跨越多種平台，並且針對數據文檔進行破壞，因此具有極大的危害性，該病毒在公司通過內聯網相互進行文檔傳送時，迅速蔓延，往往很快就能使公司的機器全部染上病毒。

4．難以防治

由於宏病毒利用了Word的文檔機制進行傳播，所以它和以往的病毒防治方法不同。

一般情況下，人們大多注意可執行文件（.COM、.EXE）的病毒感染情況，而Word宏病毒寄生於Word的文檔中，而且人們一般都要對文檔文件進行備份，因此病毒可以隱藏很長一段時間。

三、女鬼病毒

2000年12月網絡上盛傳一個名叫女鬼的病毒，該病毒繼在台灣和香港地區發作之後已經悄悄登陸國內，目前從上海創源技術部接獲的報告表明，該病毒已在全國各地出現，有地區發作的次數明顯增多。

據報導，該病毒在台灣發作時曾經使人因為驚嚇過度，在送往醫院救治後死亡，另有兩人也因為受到驚嚇，出現嚴重的神志不清和精神恍惚現象，經康復醫療後恢復正常。

上海地區也有用戶報告了該病毒的發作。

"女鬼"病毒亦稱為"恐怖女鬼"病毒，其國際標準命名為Joke-Ghost，在台灣因為其圖標為麥當勞標誌，所以還有一個"麥當勞"的別名。

其實就嚴格意義上來說，"女鬼"並不是一個病毒，只是一個惡作劇程序，屬於Hoax(虛假消息)或者Joke Program(玩笑程序)的範疇，而且其不具有病毒"自我複製、自我傳播和對計算機軟硬體產生破壞"的特性。

但是從其危害程度和對社會產生的影響上來看，各防病毒軟體公司還是將其作為病毒來阻止其進一步傳播以防止產生不良的社會影響。

縱觀此女鬼病毒，其比一些其它惡作劇程序有更大破壞作用的原因，其中非常重要的一個就是程序編寫者非常了解人類的心理習慣。

女鬼病毒開始時講述的那個蹩腳的恐怖故事只是起一個鋪墊作用，用戶看完之後不管信與不信，短時間內都不會忘記。

而程序作者設定該女鬼圖像在鬼故事講完5分鐘後發作就是充分利用了心理暗示的作用。

在接近忘記但存留有些許記憶而且精神鬆懈沒有防備的情況下，突然出現女鬼圖像並伴隨一段恐怖的嘶叫聲，確實能夠起到驚嚇的作用。

有越來越多的現象表明，網絡上流傳的一些新病毒的編寫者開始利用人類心理特點來製造破壞的趨勢。

比如前期流行的"愛蟲"病毒，作者將其起名為"情書"，多少有點利用人類心理特點的色彩。

試想一個用戶雖然聽多了反病毒專家的警告不要打開來歷不明的電子郵件，但是面對一封別人發給你的"情書"，大多數的人還是會受強烈的好奇心驅使打開該郵件。

而且這類惡作劇程序的傳播與病毒傳播方式相比還有其特色，即計算機用戶加入到了傳播環節中。

由於這類程序通常不具備病毒的自我複製和傳播功能，因此這類程序的流傳都是人為造成的後果，它不象病毒會在用戶毫不知情的情況下，自動向其它用戶傳播，它常常是某些用戶故意傳送給其它用戶的。

一些用戶經常會在某種心態的驅使下，向其他人"推薦"或者乾脆直接發送給其它用戶。

這是這類程序與真正的病毒相比在傳播途徑上的不同點。

但是我們也不應當忽視:雖然這類玩笑程序對計算機不產生破壞，但是某些心懷叵測的人還是會將其作為一種新病毒的延續。

假使女鬼病毒加上自我複製自我傳播的功能段，完全可以達到更大的破壞作用和傳染面。

一些新技術的應用也會在病毒的傳播方面起到推波助瀾的作用，比如女鬼病毒如果是用VBS或者JAVA程序編寫的，如果女鬼病毒會感染作業系統，會修改系統配置和文檔，增強了隱蔽性和實際的破壞性，其破壞結果不可想像。

你的電腦中過毒嗎？都中過那些毒呢？