赛门铁克发表对happy99病毒清除方法的研究

　　本月出现了不少非常有趣的新型"蠕虫"和病毒。VBS.BubbleBoy找到了Microsoft Out look的一个安全漏洞。如果不是微软公司及时提供补丁程序，这种病毒对社会的将造成更大的危害。有关W32.Fun Love病毒的报告并不多，但是其独特的感染Windows NT文件的技术使得其很难被清除。

　　本期中将着重介绍SARC提供的清除Happy99病毒的新型工具FIXHAPPY以及第二界亚洲防病毒研究 组织（AVAR）大会的有关情况。随着2000年的日益临近，下一期的SARC Update中将提供一些与站点内实 用病毒信息的链接，将带您进入赛门铁克病毒防治研究中心2000年问题站点中的病毒活动日历（Virus Activ ation Calendar）。这个站点中列出了11月、12月和1月间各种病毒的发作日期和病毒名称，使您得以在 圣诞节和新年期间免受各种新型病毒的侵袭。

　　在简报栏目中将继续刊登读者的意见和建议。您可以见到由我们各个地区的赛门铁克病毒防治研究中心提供的各种普 通病毒、特洛伊和蠕虫的有关信息。(见正文后)中国赛门铁克病毒防治研究中心特洛伊和蠕虫新闻(偶尔发作，PC机)V BS.BubbleBoy是一种Windows 98和Windows 2000环境下（也可以在安装了Window s Scripting Host的Windows 95环境下）的蠕虫病毒。这种蠕虫只能在英文和西班牙文的操作环 境下正常工作并且对任何语言版本的Windows NT均不起作用。

　　UPDATE.HTA被放置在开始菜单（Start）中的程序-启动栏（Program-StartUp）中 。因此，蠕虫在你第二次启动计算机时开始传染。UPDATE.HTA是一个脚本文件，利用MS Outlook以电子 邮件的方式向MS Outlook地址簿中的每一个人发送蠕虫病毒。

　　它必须利用Internet Explorer 5中的Microsoft Outlook（或Expres s）传播蠕虫。当电子邮件被打开后，这种蠕虫就利用Microsoft Outlook/IE5中的一个已知安全漏洞 感染名为UPDATE.HTA的脚本文件。它的与众不同之处在于不需要下载或运行附加文件就可以触发。

　　目前，微软公司业已提供了一个修正这个问题的补丁程序，地址是：

　　http://www.microsoft.com/securi ty/Bulletins/ms99-032.asp在Microsoft Outlook/IE5中添加了 这个补丁后，这种蠕虫将不再传播。如果需要进一步了解这个安全漏洞的详细情况，请访问：

　　http://www.microsoft.com/securi ty/Bulletins/ms99-032faq.asp此外，当IE5 Internet安全设置选择为" High"时也不会传播。

　　截至目前，Symantec公司只收到了很少有关这种病毒的报告。这种病毒显然来自阿根廷，并且由病毒编写者 直接发送给防病毒研究人员。

　　http://www.sarc.com/abcenter/venc/data/vbs.bubblybo y.html病毒新闻（偶尔发作PC机）

　　W32.FunLove.4099是一种在Windows 95和Windows NT系统环境下，感染扩展 名为EXE、SCR或OCX的应用程序的新型病毒。这种病毒的独特之处在于它运用一种新策略攻击Windows NT 的文件安全系统。这种病毒最初由赛门铁克独有的Scan & Deliver系统于1999年11月9日在美国一家公 司客户的系统中发现的。

　　这种病毒是直接追加型。它把自己的代码添加到最后一个文件扇区的结尾处，并且修改入口出的前8位代码以指向病 毒体。这种病毒在感染过程为其自身的创建了一个线索，当其在主机程序中执行时在后台控制（主线）。这样，用户将很难发 现从病毒发作到被发现延误了多少时间。这种病毒可以利用网络向其他系统传播。这种病毒把一个名为flcss.exe的 文件放置在Windows System目录下。

　　http://www.sarc.com/avcenter/venc/fun.love.htmlHapp y99蠕虫清除工具（普通PC机）

　　FIXHAPPY工具用于安全地清除Happy99.Worm文件(W32.Ska)并恢复Windows系 统中的WSOCK32.DLL。

　　FIXHAPPY的工作过程如下：

　　w从Windows System目录中（通常是C:\WINDOWS\SYSTEM）删除SKA.EXE和 SKA.DLL文件。

　　w Happy99.Worm在系统中安装时，插入了这两个文件。

　　w恢复WSOCK32.DLLw Happy99.Worm修改了WSOCK32.DLL以挂接邮件发送和新 闻组文章张贴工作它把如下修改从Windows注册表中删除HKEY_LOCAL_MACHINE/Software \Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXEw当蠕虫试图 修改WSOCK32.DLL时，它正在被使用（比如一个用户正在联网或与网络连接）。Happy99.Worm就把上 述文字添加到Windows注册表中你仍需要删除Happy99.Worm文件，通常是名为HAPPY99.EXE的 文件。（例如NAV系统将该文件检测为"Happy99.Worm"）

　　下载：FIXHAPPY.EXEftp://ftp.symantec.com/public/englis h us canada/antivirus_definitions/norton_antivirus/fixh appy.exe第二界亚洲防病毒研究组织（AVAR）大会报道第二界亚洲防病毒研究组织（AVAR）大会10月28 ～29日在韩国汉城召开。与会者大约有50人，发言者来自各个不同国家和地区。

　　Seiji Murakami（亚洲防病毒研究组织主席，日本）以及Charles Ahn（亚洲防病毒研究 组织副主席，韩国）致开幕词和欢迎词。Murakami先生发表了自己对于亚洲防病毒研究组织在促进亚太地区信息交流 防止计算机病毒传播和破坏方面今后发展的观点。他希望在每个国家都建立地区分支机构，籍此提供当地动态和信息。Ahn 博士强调了实时交流信息对于防范计算机病毒日益严重的破坏的重要意义。

　　Chul Soo Lee（韩国信息安全局总裁，韩国）警告说，编写计算机病毒的目的开始由恶作剧（或自我展 示）形式向信息犯罪发展的趋势。他说，需要通过必要的技术和法律标准来对这种趋势进行制约，韩国政府正在进行这方面的 工作而且希望与AVAR进行合作并及予帮助。

　　Cho Kyu-Hong先生(Trend micro公司，韩国)代表Richard Ku（Trend micro公司，美国）发言，详细介绍了为3个版本的Microsoft Exchange(5.5、5.5 SP3 和2000)开发防病毒软件的有关问题。

　　Masaaki Kimura（日本国际贸易和工业部）介绍了日本的安全策略和反病毒行动，包括出台的指导方 针、相关法律以及不断增加的有关病毒破坏的报告。他表示，日本政府在于计算机病毒进行斗争中将不遗余力并将对亚洲防病 毒研究组织提供帮助。

　　Allan Dyer（香港）论述了计算机知识方面的代沟所带来的问题，导致儿童卷入不正当的计算机活动，包 括编写病毒。他认为学校的课程中应当包括IT道德规范、防护与安全方面的课程――这非常重要。

　　Seok Chul Kwon(HAURI,韩国)综述了反病毒技术的发展以及未来的趋势。

　　Hantae Kim(Symantec公司，韩国)分析了计算机病毒发展趋势并介绍了数字免疫系统。

　　第二天，Motoaki Yamamura(Symantec公司，美国)通过实例说明蠕虫的传播速度不断加 快，并且指出，如果蠕虫病毒以每周或每分钟一个新品种的速度发展，相应的防范策略必须进行改变。

　　Chae Ho Lim（韩国信息安全局）介绍了韩国的安全事故对策和反病毒活动。他例举了韩国现有的相应组 织机构（如CERTCC-KR和CONCERT），它们之间的关心以及与国外相应组织的联系。CIH病毒对韩国的破坏 特别严重，大约发作了16万到24万次。Chae先生对事故的发展做了介绍并谈了从中得到了教训。

　　Motoi Endo（日本）就反病毒策略、指导人们遵守这些策略的困难以及对于提供帮助发表了自己的观点。

　　Allan Dyer介绍了自己在信息和Internet安全课程中介绍和教授有关病毒和蠕虫方面知识的经验 。他建议他所准备的课程材料在进行必要的改进后可以成为反病毒专家"共识"的基础。

　　在闭幕式上，Charles Ahn作为一位由医生转业成的反病毒专家，并且由于编写了韩国第一个反病毒软件 而在韩国家喻户晓的人士，为我们介绍了韩国计算机病毒的发展历史。

　　AVAR 2000大会将在日本举行。如果您想获得有关AVAR的更多信息，请访问：http://www. aavar.org/###下面是SARC各个地区办事处收到的上个月的主要病毒、蠕虫和特洛伊名单：

　　亚太地区：

　　Happy99.WormO97M.Tristate.CW97M.Melissa欧洲：

　　Happy99.WormW97M.Ethan.ABackOrifice.Trojan日本XM.Laro uxHappy99.WormPrettyPark.Worm美国W97M.MelissaXM.LarouxHap py99.WormSymantec收到了有关新病毒的报告SandmanFree M & M'sHallowee n VirusSouth Park NewsDespite VirusFree Pizza Virus