谨防“万花谷”恶意病毒“陷井”

　　国家反病毒应急处理中心联防单位北京江民公司的反病毒应急小组最近监测到国内有心怀不轨的人到处在互连网上散发一个美丽诱人的网址"万花谷"，这实际是一个恶意"陷阱"，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即就瘫痪了，这是有人利用Java最新技术进行破坏的又一个恶意网址。北京江民公司提醒广大上网用户注意严加防范，遇到有On888.xxx之类的网址请不要点击，并开启KVW3000的病毒实时监视防火墙进行防杀。

附该病毒的技术特征和修复方法：

　　JS/On888是一个新的含有有害代码的ActiveX网页文件，它通过在一个网络地址来对计算机用户造成破坏,其破坏特性如下：

　　(1)用户不能正常使用WINDOWS的DOS功能程序；

　　(2)用户不能正常退出WINDOWS，

　　(3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。

　　(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。

　　具体的表现形式是：

　　a网络地址是：www.on888.xxx.xxx.com；

　　b在IE的"收藏夹"中自动加上"万花谷"的快捷方式,网络地址是："http://96xx.xxx.com";

　　进入该网页的话，如果你的浏览器的版本在IE4.0以上，那么该网页显示的是一个有光效滤镜的网页，随着鼠标的移动，会造成光线照在网页图片不同地方的效果，光效一共有4种。

　　将IE的首页通过系统注册表项

　　HKEY_LOCAL_CURRENT_USER＼＼Software＼＼Microsoft＼＼Internet Explorer＼＼Main＼＼Start Page",

　　设置成为"on888.xxx.xxx.com/";

　　为了达到该网页文件的破坏性，该ActiveX对系统的注册表做了如下的修改：

　　首先在开始菜单上禁止了"运行"项目，使用户不能通过通常的注册表编辑器来修改该有害网页对系统注册表的修改：

　　以下的注册表项表现在没有"运行"菜单：

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼Explorer＼＼NoRun"；

　　以下的注册表项表现在没有"关闭系统"项目：

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼Explorer＼＼NoClose"；

　　以下的注册表项表现在没有"注销"项目；

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼Explorer＼＼NoLogOff"；

　　以下的注册表项表现在没有所有的逻辑驱动器：

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼Explorer＼＼NoDrives"；

　　以下的注册表项表现在禁止注册表的编辑工具REGEDIT：

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼System＼＼DisableRegistryTools

　　以下的注册表项表现在没有桌面：

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼Explorer＼＼NoDesktop"；

　　以下的注册表项表现在禁止运行所有的DOS应用程序；

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼WinOldApp＼＼Disabled"；

　　以下的注册表项表现在系统不能启动到"实模式(传统的DOS模式)"下；

　　"HKCU＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼WinOldApp＼＼NoRealMode"；

　　以下的注册表项表现在WINDOWS系统登录时显示一个登录窗口(在MICROSOFT网络用户登录之前)：

　　"HKLM＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Winlogon＼＼LegalNoticeCaption",(窗口的标题是)"欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!");

　　"HKLM＼＼Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Winlogon＼＼LegalNoticeText",(窗口中的文字是)"欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!");

　　以下的注册表项表现在所有IE的窗口都会加上以下的WINDOWS标题窗口：

　　"HKLM＼＼Software＼＼Microsoft＼＼Internet Explorer＼＼Main＼＼Window Title", "欢迎来到万花谷!请与OICQ:4040465联系!");

　　"HKCU＼＼Software＼＼Microsoft＼＼Internet Explorer＼＼Main＼＼Window Title", "欢迎来到万花谷!请与OICQ:4040465联系!");

　　最后的表现是在用户的计算机的IE浏览器上打开无数的窗口，使得IE根本无法使用。同时用户正常的一些功能：桌面、开始中的运行、DOS方式、REGEDIT等都无法使用。

　　请所有的KV3000的用户抓紧升级到KVW3000最新的防杀病毒库，来预防该类恶意网页的侵害。用户可以使用KVD3000和KV3000.exe来清除计算机上的所有有害的网页文件.

　　受害用户的修复方法：系统的注册表的恢复，建议用户使用F8启动到MSDOS方式下，使用SCANREG/RESTORE命令来恢复原来正常的注册表。