简介

详细介绍

病毒行为

简介

病毒别名：VBS.Redlof[AVP/NAV]，VBS/Redlof[McAfee]，VBS_REDLOF[Trend]

处理时间：2002-05-15

威胁级别：★★★

中文名称：新欢乐时光

病毒类型：VBS病毒

影响系统：Win9x / WinNT

详细介绍

:

VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样，该病毒采用 VBScript 语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用 Windows 系统的“资源管理器”进行寄生与感染。

然而，与欢乐时光相比，VBS.KJ 病毒显然经过改进。首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动发送电子邮件！而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置，采用 html 格式的信纸来撰写邮件，病毒感染全部信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染 html/htm、jsp、vbs、php、asp 等格式的文件，不会删除系统文件。

病毒行为

1.病毒生成和修改的文件：

A.在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。

B.在 %Windows%\\web 和 %Windows%System32 中生成 kjwall.gif。

C.在 Windows 9X 系统中，生成 %Windows%\\System\\Kernel.dll 文件；在 Windows 2000/XP 中生成 %Windows%\\System\\Kernel32.dll 文件。

感染 htt 文件，将病毒附加在其中；感染 html/htm、jsp、vbs、php、asp，用病毒替换其内容。

2.修改注册表：

A.在 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下增加 Kernel32 键值，使病毒随系统启动。

B.修改 HKEY_CLASSES_ROOT\\dllFile，改变 dll 文件的打开方式。

C.修改 HKEY_CURRENT_USER\\Identities\\" & UserID & "\\Software\\Microsoft\\Outlook Express\\" & OEVersion & "\\Mail\\Compose Use Stationery" 为 1，即采用信纸。

D.修改 HKEY_CURRENT_USER\\Identities\\" & UserId & "\\Software\\Microsoft\\Outlook Express\\" & OEVersion & "\\Mail\\Stationery Name" 指向信纸文件。

E.修改 HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail 相关内容，使 Outlook 2000 采用信纸来撰写邮件。

F.修改 HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Outlook\\Options\\Mail 相关内容，使 Outlook XP 采用信纸撰写邮件。

3.病毒感染的标志：

A.在注册表 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ 下存在 Kernel32 键值，并指向 Kernel.dll 或者 Kernel32.dll 文件。

B.系统中大量存在 desktop.ini 和 folder.htt。

C.在 system 目录下存在 kjwall.gif 文件。

该病毒手工清除难度较大，建议采用杀毒软件杀毒。