Board logo

标题: 转贴:新欢乐时光病毒“VBS.KJ”的危害与清除 [打印本页]
作者: MYS     时间: 2002-11-1 00:00    标题: 转贴:新欢乐时光病毒“VBS.KJ”的危害与清除

新欢乐时光病毒“VBS.KJ”的危害与清除
  作者:金山反病毒资讯网

    病毒感染过程介绍

    VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。

    然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、MicrosoftOutlook 2000/XP 的设置,采用html格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp等格式的文件,不会删除系统文件。

    病毒生成和修改的文件

    1、在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示视力)。

    2、在%Windows%\web和%Windows%System32中生成kjwall.gif。

    3、在Windows 9X系统中,生成%Windows%\System\Kernel.dll文件;在Windows 2000/XP中生成%Windows%\System\Kernel32.dll 文件。

    4、感染htt文件,将病毒附加在其中;感染html/htm、jsp、vbs、php、asp,用病毒替换其内容。

    注册表的修改

    1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加 Kernel32 键值,使病毒随系统启动;

    2、修改HKEY_CLASSES_ROOT\dllFile\,改变dll文件的打开方式;

    3、修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\" & OEVersion&"\Mail\Compose Use Stationery"为1,即采用信纸;修改 HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\OutlookExpress\"&OEVersion&"\Mail\Stationery Name"指向信纸文件;

    4、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容,使Outlook 2000采用信纸来撰写邮件;

    5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP采用信纸撰写邮件;

    病毒感染的标志

    1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值,并指向Kernel.dll或者Kernel32.dll文件;

    2、系统中大量存在desktop.ini和folder.htt;

    3、在system目录下存在kjwall.gif文件;

    手工清除(难度较大,建议采用杀毒软件杀毒)

    1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;

   参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
   参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
   参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
    参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;

      2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如WinCommander等)

    参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
    删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
    查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;

----------------------以下是我自己写的---------------------
     新欢乐时光病毒比较难搞,通过网页、软盘、局域网、邮件等均可传播。
   按我的经验,预防它最好的工具是瑞星。金山毒霸2002升级后都不能发现它,不过它的专杀工具杀毒比瑞星要快。
作者: iiijtgeee     时间: 2003-1-17 00:00
是有
我们这的新欢乐时空病毒杀也杀不掉
整个网络都被新欢乐时空病毒占有
连内存都被占有了
很大的内存占了
很是烦人
作者: mys     时间: 2003-1-18 00:00
用瑞声可以完全杀灭并预防它,不过金山毒霸不行。江民KV倒未试过。
作者: Wengier     时间: 2003-1-18 00:00
其实检查起来很容易呀,用DIR FOLDER.HTT /A /S命令查看是否存在FOLDER.HTT文件就可以了。