)VBS.KJ
病毒别名:VBS.Redlof【AVP/NAV】,VBS/Redlof【McAfee】,VBS_REDLOF【Trend】
处理时间:2002-05-15
威胁级别:★★★
中文名称:新欢乐时光
病毒类型:VBS病毒
影响系统:Win9x / WinNT
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用 VBScript 语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
1.病毒生成和修改的文件:
A.在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
B.在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
C.在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。
感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。
2.修改注册表:
A.在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下增加 Kernel32 键值,使病毒随系统启动。
B.修改 HKEY_CLASSES_ROOT\dllFile,改变 dll 文件的打开方式。
C.修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Compose Use Stationery" 为 1,即采用信纸。
D.修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Stationery Name" 指向信纸文件。
E.修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使 Outlook 2000 采用信纸来撰写邮件。
F.修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容,使 Outlook XP 采用信纸撰写邮件。
3.病毒感染的标志:
A.在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件。
B.系统中大量存在 desktop.ini 和 folder.htt。
C.在 system 目录下存在 kjwall.gif 文件。
该病毒手工清除难度较大,建议采用杀毒软件杀毒。
