|
 | 作者: fqjpower [fqjpower]
 论坛用户 |
登录 |
| 新变种“VBS.KJ.A”和新欢乐时光病毒相比,该变种为了躲开反病毒软件的检查,增加了新的加密方法,其目标是直接避开规则特征码查杀方法。而其真正病毒代码却变化不大,基本上继承了其前辈的“作风”:感染 html/htm、jsp、vbs、php、asp,感染邮件信纸,利用 Windows 系统的“资源管理器”进行寄生与感染,感染后的机器系统资源被大量消耗,速度变慢等。 特征 1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。 2、在 %Windows%System32 中生成 inet.vxd 和 setup.txt 文件。 3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。 4、感染 htt、html/htm、php 和 asp 文件,将病毒附加在其中;感染 jsp、vbs 等脚本,用病毒替换其内容。 危害 1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32 键值,使病毒随系统启动; 2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式; 3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Compose Use Stationery" 为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Stationery Name" 指向信纸文件; 4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使 Outlook 2000 采用信纸来撰写邮件; 5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容,使 Outlook XP 采用信纸撰写邮件; 标志 1、在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件; 2、系统中大量存在 desktop.ini 和 folder.htt;3、在 system32 目录下存在 inet.vxd 和 setup.txt 文件; 自救 1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 键值; 2、打开注册表,找到 HKEY_CLASSES_ROOT\dllfile, 修改右窗格的默认值: Windows 9X/ME 改为:"C:\Windows\System\Shell32.dll, -154" (注:"C:\Windows\" 可能需要根本具体情况变化,下同) Windows2000 改为:"C:\Winnt\System32\Shell32.dll, -154" Windows XP 改为:"C:\Windows\System32\Shell32.dll, -154" 删除左窗格中 dllfile 下的“ScriptEngine”、“Shell”、“ShellEx”和“ScriptHosEncode”文件夹。 3、恢复 Outlook Express 信纸: 打开 Outlook Express,执行菜单“工具|选项”命令,在“选项”对话框“撰写”页面“信纸”一栏中,如果“邮件”一栏前有选中,且内容为“Blank.htm",则取消“邮件”信纸的选中。 4、恢复 Microsoft Outlook 信纸(如果安装 Microsoft Office 且配置 Outlook): 打开 Outlook,执行菜单“工具|选项”命令,在“选项”对话框“邮件格式”页面“信纸和字体”一栏,选择“默认情况下使用该信纸”为无(该选项为“以该邮件格式发送”的格式设置有关)。 5、修改系统 folder.htt 文件(以下操作应该避免打开资源管理器): 缺省情况下系统只需要三个 folder.htt 文件,分别是 Windows, Windows/System 或 Windows/System32,和 Windows/Web 目录下。用记事本分别打开该三个文件(如果设置不显示隐藏文件,可能无法看到这些文件),删除前三行的“<script lang ...... </script>”(代码中含有“load”和“KJ_”字样)代码,删除文件尾部的两个“<script>”段,其中含有大量乱码和“Execute”字符。 6、删除其他病毒文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win Commander 等) 删除 Kernel32.dll 或者 Kernel.dll 文件;删除 inet.vxd 和 setup.txt; 查找所有存在“Execute("”字符串(病毒以此为感染标志)的文件,删除文件尾部的病毒代码; 补丁程序 1、微软公司已经发布了相关的补丁程序, 请到 http://www.microsoft.com/technet/security/bulletin/MS00-075.asp 了解和下载补丁程序. 文章来源:金山毒霸 |
| 地主 发表时间: 01/25 04:03 |
 | 回复: shuaishuai [near] 论坛用户 |
登录 |
|
太麻烦了吧,可不可以教我用杀毒软件杀呀!!谢谢哥哥!! |
| B1层 发表时间: 01/25 09:17 |
 | 回复: wuqingboy [wuqingboy]  论坛用户 |
登录 |
|
有没有别的办法.这个也太麻烦了吧 !!!!!!!!!!! |
| B2层 发表时间: 10/05 15:05 |
 | 回复: weidong [weidong] 论坛用户 |
登录 |
|
兄弟,苦了你了,其实有些问题是多样化的,不一定能解决每个人实际遇上的问题,所以只能给需要帮助者一个概念及防护,出现问题进行针对下药。 我很希望你能加入我们的团队:GBS 希望共同创造一个电脑航母,属于我们自己的。 需要咨询:qq:12479816、65129613、36661295 email:hwd0101@hotmail.com hwd0101@sohu.com GBS战队,打造新的电脑航母。 |
| B3层 发表时间: 10/06 10:21 |
 | 回复: honyry [honyry] 论坛用户 |
登录 |
|
吓死了 好多啊!我想还是重装系统比较实惠! 不过要是锻炼锻炼也有益处哦! |
| B4层 发表时间: 10/07 17:59 |
 | 回复: cjqaxy99 [cjqaxy99] 论坛用户 |
登录 |
|
我选择从装吧~不过锻炼自己也很好呀~说不定下次就用的到 |
| B5层 发表时间: 10/10 15:05 |
| 回复: cool [zjboyzone] 论坛用户 |
登录 |
|
用个专杀软件不就可以啦/ |
| B6层 发表时间: 10/14 10:35 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 新欢乐时光变种“VBS.KJ.A”的特征与清除!