欢乐时光病毒_病毒的危害_熊猫烧香

新欢乐时光病毒“VBS.KJ”的危害与清除

近日，变种病毒频频惹是生非，昨天，金山继上周率先发山公司提供了详细的病毒解析和处理办法。

病毒感染过程介绍

VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样，该病毒采用VBScript语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢。

然而，与欢乐时光相比，VBS.KJ病毒显然经过改进。

首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；

其次，该病毒不会主动发送电子邮件！而是修改系统中Microsoft Outlook Express、Microsoft Outlook 2000/XP的设置，采用html格式的信纸来撰写邮件，病毒感染全部信纸！当用户发送邮件时病毒会自动附在邮件中，隐蔽性更强！

最后，“新欢乐时光”病毒会感染html/htm、jsp、vbs、php、asp等格式的文件，不会删除系统文件。

病毒生成和修改的文件

１、在每个检查到的文件夹下生成desktop.ini和folder.htt文件（这两个文件控制了文件夹在资源管理器中的显示视力）。

２、在%Windows%\web和%Windows%System32中生成kjwall.gif。

３、在Windows 9X系统中，生成%Windows%\System\Kernel.dll文件；在Windows 2000/XP中生成%Windows%\System\Kernel32.dll文件。

４、感染htt文件，将病毒附加在其中；感染html/htm、jsp、vbs、php、asp，用病毒替换其内容。欢乐时光病毒

注册表的修改

１、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加Kernel32键值，使病毒随系统启动；

２、修改HKEY_CLASSES_ROOT\dllFile\，改变dll文件的打开方式；

３、修改HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Compose Use Stationery"为１，即采用信纸；修改HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Stationery Name"指向信纸文件；

４、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容，使 Outlook 2000采用信纸来撰写邮件；

５、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容，使 Outlook XP采用信纸撰写邮件；

病毒感染的标志

１、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在 Kernel32键值，并指向Kernel.dll或者Kernel32.dll文件；

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25562-1.html