个人产品
企业产品
安全信息
病毒专栏 | 漏洞专栏 | 木马专栏 | 防护专栏 | 安全业界 | 毒霸活动 | 热点专题 | 漫画安全 | 期刊订阅
[an error occurred while processing this directive]
告诉您的位置:首页 > 资讯中心 > 病毒新闻 > 正文
万花谷病毒完全介绍
2001年12月13日02:14:48 金山反病毒资讯网 
[an error occurred while processing this directive]
  病毒名称:万花病毒

  病毒类型:脚本病毒

  病毒简介:

  初识“万花谷

  当登陆某个网站后,机器莫名其妙地死机;重新启动后你会看到一个奇怪的提示:“欢迎你来万花谷,你中了“万花病毒”请与QQ:4040465联系”。进入 Windows 后,你会发现 C: 盘不能使用了,“开始”菜单上的“运行”、“注销”和“关机”项都不见了。打开 IE 浏览器你会发现窗口的标题也变成了“欢迎来到万花谷!请与OICQ:4040465联系!”。这时,你已经感染了一个俗称“万花谷”的 JS.On888 脚本病毒!

  进入“万花谷”

  该病毒是嵌在 HTML 网页中的一段 Java 脚本程序,它最初出现在 http://on888.home.chinaren.com 个人网站上,随后其他一些个人主页也模仿或被感染了该病毒代码。

  和普通脚本病毒有所不同的是,用“查看源文件”的方法来查看感染“万花谷”病毒的网页代码时,只能看到一大段的杂乱字符。为了具有隐蔽性,该病毒采用了 JavaScript 的 escape() 函数进行了字符处理,把某些符号、汉字等变成乱码以达到迷惑人的目的。程序运行时再调用 unescape() 解码到本地机器上运行。

  该病毒的感染主要是通过修改注册表来实现的。以下为其设置或修改的注册表项:

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun 为 01 (取消开始菜单上的“运行”项)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose" 为 01 (取消开始菜单上的“关闭”项)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff" 为 01 (取消开始菜单上的“注销”项)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives" 为 "00000004" (取消对 C: 盘的访问权限)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools" 为 "00000001" (使注册表工具不可用)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop" 为 "00000001" (取消桌面)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled" 为 "00000001" (原 DOS 程序不可用)

  设置 "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppNoRealMode" 为 "00000001" (不能进入 DOS 方式)

  设置 "HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!" (设置登录窗口的标题为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!”)

  设置 "HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!" (设置登录窗口的提示为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!”)

  设置 "HKLMSoftwareMicrosoftInternet ExplorerMainWindow Title" 为 "欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!" (设置 IE 窗口的标题为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!”)

  修改 "HKCUSoftwareMicrosoftInternet ExplorerMainStart Page" 为 http://www.on888.home.chinaren.com/" (设置 IE 的主页链接为 http://www.on888.home.chinaren.com )

  另外,该病毒还会在收藏夹中增加相应的链接。

  除了修改注册表和收藏夹外,“万花谷”病毒不会破坏系统,删除、感染或修改文件等。
    【】
【我要发表评论】【内容指正】【论坛】【推荐给好友】·【 】【打印】·【顶部】【关闭窗口
【相关文章】 【去论坛】
· 哈尔滨一网民下载IP炸弹网吧被轰瘫痪 2001-12-24 10:29
· 混客绝情病毒说明与解决方案 2001-12-13 09:07
· "混客绝情炸弹"真混蛋 化身变种伏击网民 2001-12-13 08:58
· 关于网页攻击的一些说明 2001-12-13 03:32
· IE浏览器标题栏被万花谷恶意修改后的修复办法 2001-12-13 03:30
· 万花谷病毒破解 2001-12-13 03:26
· 万花谷病毒特征细解 2001-12-13 03:13
· 万花谷病毒手工清除方法 2001-12-13 02:27
 ·金山毒霸单机版讨论区
·毒霸6测试专区
·金山网镖讨论区
·金山毒霸网络版讨论区
·毒霸在线业务专题讨论区
·安全软件讨论区
·病毒救援
【相关专题】
· 后病毒时代网站病毒专题 2001-12-13 02:32
[an error occurred while processing this directive]
[an error occurred while processing this directive]
·全民围剿 新春无毒 
·毒霸、网镖新功能体验版 
·毒霸网络版2.0 sp1发布 
·毒霸6新禧礼包惊喜登场
·毒霸网络版 人人有礼
·毒霸网络版“租用服务”
·金山毒霸网络版大事件
·第三次缉毒万里行专题
·JPEG图片病毒专题
·金山引爆“双响炮”计划
·金山毒霸6增强版介绍
·十面埋伏围剿木马发布会
·6.12北京用户产品座谈会
·金山"网游防火墙"产品
·反电子垃圾新功略专题
·“金山毒霸再获桂冠”
·金山“安全体验风暴”
·“冲击波”病毒之罪?
·全球黑客攻击专题
·金山毒霸V金山网镖V介绍
·金山V攻略详解专题
·金山毒霸&智冠捆绑销售
·金山软件爱心服务活动
·2003年病毒疫情调查专题
更多...
[an error occurred while processing this directive]
·病毒短信 ·在线杀毒
·病毒上报 ·专杀工具
·产品答疑 ·媒体合作
金山简介 | 业务合作 | 广告服务 | 招聘信息 | 客服中心 | 网页报错 | 添加毒霸到QQ上
© 2007 Kingsoft Corp. 增值电信业务经营许可证B2-20040288号