【 以下文字转载自 Virus 讨论区 】
发信人: dafei (毕业前的黑暗), 信区: Virus
标题: 新欢乐时光病毒“VBS.KJ”的危害与清除(iduba)
发信站: BBS 水木清华站 (Sat May 18 22:39:23 2002)
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“
VBS.HappyTime”一样,该病毒采用 VBScript 语言编写,在互联网上通过电子邮件进行
传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Win
dows 系统的“资源管理器”进行寄生与感染。欢乐时光病毒
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次
变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而
是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采
用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中
,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删
除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控
制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。欢乐时光病毒
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windo
ws 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用
病毒替换其内容。
注册表的修改
1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
下增加 Kernel32 键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\O
utlook Express\" & OEVersion& "\Mail\Compose Use Stationery" 为 1,即采用信
纸; 修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Out
look Express\" &OEVersion & "\Mail\Stationery Name" 指向信纸文件;
4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\
Mail 相关内容,使 Outlook 2000 采用信纸来撰写邮件;
5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options
本文来自电脑杂谈,转载请注明本文网址:
http://www.pc-fly.com/a/jisuanjixue/article-35025-1.html
是日本的克星
我TMD也是醉了
如果我们有10艘这样的阿利伯克宙斯盾
如果战争胜利