2001年8月病毒观察

virusview.net

近来，被国内病毒公司炒作的头把交椅当署所谓的万花谷奇毒，用户因为浏览了一个位于
chinaren上的个人主页，之后机器每次开机弹出所谓“欢迎来到万花谷!你中了※万花奇毒※.请与
OICQ:4040465联系!”信息，同时注册表编辑器、MSDOS方式等被禁用，任务管理器中的，“关机”“
锁定计算机”“注销”等也被禁止。搞得用户哭笑不得。
事实上，这即不是个病毒，也不是一个后门工具，而只是一个恶意的没有传播能力的Active X脚
本，或者说是一个Active X木马，这个恶意脚本巧妙的利用了 encode把自己的脚本隐藏，使用户即使
察看源码也难以察觉。他使用户诸多操作失灵，其实并不是开了什么后门，只是借鉴了WINDOWS平台安
全策略的思想，通过修改或添加注册表的健值，达到了给用户带来麻烦的目的。其开机弹出的对话框
，并不是什么程序，只是在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
插入了名为Winlogon\LegalNoticeText的项。里面写入所谓“欢迎”信息。
知道了原理，大家可以把以下三行存为一个.reg文件，双击导入注册表，注册表编辑器就可以用
了，之后可以手工修改其他被修改的健值。2000下应该把第一行修改为“Windows Registry Editor
Version 5.00 ”

Regedit4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="00000000"

然后，再运行regedit,修改其他键值即可。
我们在病毒观察站上也提供了完整恢复注册表的脚本，连接为：
http://www.virusview.net/download/sptools/sptools/whg/kill_whg(98).reg
如果是2000系统，请使用这个脚本：
http://www.virusview.net/download/sptools/sptools/whg/kill_whg(2k).reg
这个或许只能称为恶作剧的恶意脚本再次提醒人们浏览行为同样蕴含着风险。

另一个令人没有想到的是，一个引导型病毒会局部回潮，这就是WYX.B病毒，老的反病毒工作者和
用户应该对这个病毒有印象，
因为他在WILDLIST的清单之中，而且他截获INT 8中断有些与众不同。
引导型病毒由于要把自身建立在系统底层，老的引导型病毒在WIN32平台下可靠性非常差，几乎没
有传播感染能力。一般来说，用户感染了类似WYX.B这样的引导型病毒是由于用户不正确的用机习惯造
成的，有些用户喜欢把系统启动的顺序设定为A优先，这样如果软驱中插入的盘有
WYX病毒的话，无论该软盘是否可以引导，启动过程都会导致C盘被感染。
一般来说，如果一个干净的系统设置为C优先，一般的引导型病毒是无法感染硬盘的（除了文件/
引导区混合型病毒）。
还有一点，就是很多用户都认为清除引导型病毒一定要用干净引导盘启动，这个也不见的，因为
，很多引导型病毒在WINDOWS系统启动完成后，已经失去了活性，如果病毒感染的是MRB，一般来说，
我们在DOS窗口下执行，FDISK/MBR就可以清除，如果感染的是boot,用mcafee杀毒软件中clean工具加
/boot也可以清除。我们在病毒观察站上还提供了冠群金辰公司编的一个清除WYX病毒的小工具下载。
用户的正确使用习惯，对病毒和恶意程序必要的了解等，其实对用户系统的安全起很大的作用，
看来这一点又多了两个明证。

本栏目由www.virusview.net病毒观察站和计算机应用文摘杂志合办