浅析欢乐时光（HAPPY TIME）病毒

浅析欢乐时光（HAPPY TIME）病毒 徐广圻

01-5-11 下午 02:19:25

本人是个上网新手，今年四月份左右才开始上网。新手嘛，可不像高手那样，懂得如何使自己的电脑免受网络病毒之害，只使了个瑞星杀毒软件，以为如此一来就万事大吉了。刚开始上网时，简直在五光十色的各网站及信息的海洋中迷了路，东走西瞧，看见感兴趣的网页就保存，遇见有趣的软件即下载，想必列位初次上网时也如此吧。

沉醉于互联网带来的乐趣之中没几天，我的爱机就出现了异常：每隔十几秒钟，鼠标指针旁就出现一个沙漏图标一闪，似乎电脑在执行什么程序，可我关闭了一切程序，只剩了个WINDOWS桌面也无济于事，在此期间，电脑速度大幅下降，运行任何软件都是老半天才出画面，且每隔十几秒钟就停顿一下，无奈只得重启，但一选择了重新启动，电脑就没了反应，就在我以为死机时，跳出来个错误信息框说是内存严重不足？！天哪，我的爱机可是有256M内存呢！按CTRL+ALT+DEL键，出现关闭程序对话框，我在其中发现了几百个不明任务，都标着WSCRIPT。。。字样。看来电脑患上了瑞星也查不出的新病毒了。

此后的几天是段痛苦的经历，我让爱机拖着重病的身子在网上下载了一些杀毒软件，还好有一个金山毒霸的试用版，打开它的启发式查毒选项可以查出一未知病毒，但只能警告而不能杀除。偶然有一次，我打开一个保存在硬盘中的网页文件时也收到了警告，而其它网页文件则不警告，机会来了！我立即将其后缀名由HTM改为TXT，用记事本打开，在标记后露出了此病毒的庐山真面目。

病毒是用VBSCRIPT语言编写的，其第一行写着 I am sorry, happy time.(意为对不起您了，欢乐时光。真是气死人不偿命！恶作剧的混蛋口说"Sorry"祝人"欢乐"？！) 本人不懂VBSCRIPT语言，但曾学过VISUAL BASIC，再翻了一些VBSCRIPT的资料，一番临时抱佛脚后，开始解读病毒源程序。由于缺乏相应资料加之本人水平有限，不能读懂每一行代码，只能看出个大概，但我越分析越心惊，这是个仅浏览网站页面就会感染的高传染性，高破坏性的病毒！

先看一下此病毒的发病机制：

首次染毒时，会将WINDOWS / WEB文件夹里的所有网页文件染上病毒，并找出这些文件中的任何EMAIL地址向它们发送病毒邮件，对方只要一打开即会染毒；

以后每隔十秒钟发作一次，但发作完后仍驻留在内存，十秒一次的发作，再大的内存也会给蚕食殆尽；

每次发作时，在普通的日子里，会找出一个后缀名为HTML、HTM、VBS、ASP的文件传染（别小看了每次一个文件，它可是十秒一次的发作哟！），并查出此文件中所有的EMAIL地址发送病毒邮件，在月份加天数为13的"特殊"日子里（1月12日、2月11日......12月1日），它每次发作会找出一个后缀名为EXE、DLL的文件（通常为重要的系统文件）来删除，使你的电脑彻底瘫痪；

该病毒在WINDOWS注册表内保存已发作的次数，每次发作时它检查已发作次数，如其是366的倍数，则向外乱发病毒邮件：如系统时间的秒数是偶数，则发送系统邮件，如是奇数，则到OUTLOOK的默任目录里取得EMAIL地址发送病毒邮件。

顺便说一句，由于此病毒发作频繁且乱发EMAIL，到月底结帐时，你可能要多付一大笔冤枉钱。

现在我们来看看这可恶的病毒的结构，看它是如何使得我们在浏览网页时即染毒的。

前面提到过，该病毒是用VBSCRIPT语言写成的，翻了一些资料，才知道VBSCRIPT是一种能增强网页功能的脚本语言，它嵌入HTML文件中，你浏览网页时，它也与HTML文件一起调入内存，由浏览器解释并执行。所以在你看到网页时，它其中所含的VBSCRIPT代码（如果有的话）已被执行，这样就很容易被心怀叵测者用来编制破坏程序。VBSCRIPT的设计者们也考虑到了这点，因此VBSCRIPT被设计成VISUAL BASIC的简化版，舍弃了一些"危险的"语句命令，所以VBSCRIPT是"安全的"，可用于网页的编制。确实光是VBSCRIPT的话确实无甚威胁，可是VBSCRIPT提供了创建并使用对象（OBJECT）功能，而WINDOWS提供大量对象给各种语言使用，利用这些对象你几乎能干任何事！比如说本病毒的许多破坏工作就是由创建并使用WSCRIPT（WINDOWS SCRIPT即WINDOWS脚本语言）对象来完成的，所以可以这样说：VBSCRIPT是不安全的，是危险的！欢乐时光病毒就是个最有力的见证！

言归正传，我们还是来看看病毒的结构。

初始化部分

初始化（建立SCRIPTLET.TYPELIB对象等）

↓

当前是HTML状态？

是 ↙ ↘ 否

━━━━━━ ━━━━━━━ </