新歡樂時光病毒——防範及查殺
作者: yangjt22 發表日期: 2006-08-28 12:12 文章屬性: 轉載 複製鏈結
http://big5.ccidnet.com:89/gate/big5/yangjt22.blog...._showone/tid_83543.html

“新歡樂時光”病毒是較為厲害的一個腳本病毒，目前仍在互聯網上蔓延。閱讀此文你會對它有比較清楚的了解……

1、新歡樂時光是怎麼樣的一個病毒？
答：新歡樂時光是該病毒的中文名，其英文名包括（方括弧中是相對應的各個廠家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。這個病毒是用VBS編寫的多變形、加密病毒，感染擴展名為.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同時該病毒會大量生成folder.htt和desktop.ini，並在%windir%System中生成一個名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（Windows NT/2000），修改.dll文件的打開方式，感染Outlook的信紙文件。（注：%windir%指的是Windows的目錄，對於Win9x/Me系統來說，這個目錄通常是Windows，對於Windows NT/2000來說，這個目錄通常是WinNT。
感染這個病毒後有兩個明顯的表現：
a.在每個目錄中都會生成folder.htt（帶毒文件）和desktop.ini（目錄配置文件）；　
b.電腦運行速度明顯變慢，在任務列表中可以看到有大量的Wscript.exe程式在運行。

2、如何徹底清除這個病毒？需要注意什麼問題？
答：清除這個病毒可以在安全模式或者純DOS下清除，需要注意以下幾個問題：
a.建議在安全模式或純DOS中清除。在正常模式清除需要對Windows系統非常深入地了解，一般用戶是很難乾淨地清除病毒的；推薦使用專殺工具在安全模式下進行殺毒，並且，在確認清除完成之前不要使用“Web視圖”顯示任何文件夾，比較穩妥的做法是在進入安全模式之前將所有的Web視圖文件夾改為傳統Windows風格
b.在檢查病毒的時候，建議同時檢查平時常用的移動儲存介質，如光碟、軟碟、移動硬盤等，因為這是病毒重復感染的隱患。
c.對於聯網的電腦，殺毒之前建議取消所有的共用目錄。

3、為什麼建議在安全模式下清除這個病毒？如何進入安全模式？
答：清除這個病毒我建議是在安全模式下清除，這是因為：
a.病毒在安全模式下不會被激活，所以可以放心在安全模式下殺毒；
b.由於殺毒軟體和專門清除工具在正常模式下都不能乾淨清除病毒，所以一般要在安全模式或純DOS下殺毒，雖然兩種方式都可以乾淨清除病毒，但在安全模式下由於系統使用了更多的緩存機制，因此要比在純DOS下殺毒速度要快；
c.專門清除工具只能在Windows環境下運行，不過專門清除工具可以修復病毒修改的註冊表，而一般殺毒軟體做不到；

4、如何預防這個病毒？對於預防這個病毒，有什麼建議嗎？
答：殺毒後建議立即進行以下操作進行預防病毒：
a.請瀏覽以下網址為系統打上必要的補丁：
http://www.windo...te.com 或
http://www.microsoft.com/technet/s...n/MS00-075.asp
b.請安裝反病毒軟體，並升級到最新的病毒庫，堅持打開實時防病毒監控程式和及時升級病毒庫；
c.刪除信箱中可疑的電子郵件，建議儘量不要使用信紙；
d.對於Windows 9x/Me，建議取消共用，如果必須設置共用的話，建議設置為只讀或者設置密碼；對於Windows NT/2000，應為文件夾配置適當的許可權，在有域的網路中，所有用戶，特別是管理員級用戶必須保證自己不感染病毒。
e.在使用移動儲存介質之前，如光碟、軟碟、移動硬盤等，建議先防病毒軟體檢查一遍是否存在病毒，如果光碟有病毒的話，建議不要再使用該光碟；如果不具備這個條件，關閉Web視圖可以部分地防止這個病毒，但對於被感染的html等文件，則這個方法可能無法奏效。
f.特別地：利用這個病毒的設計缺陷，可以在%windir%System創建名為kernel.dll（Win9x/ME系統）或kernel32.dll（WinNT/2000系統）的目錄，這樣可以在一定程度上阻止病毒的傳染。特別注意：在不同的系統中創建的目錄名稱是不同的，應根據不同的系統來創建對應的目錄。如果提示不能創建文件夾，請在殺毒後再創建。
g.對於一些熟練操作電腦的用戶來說，可以通過編輯原正常的folder.htt，在文件頭加上< BODY KJ_start()>這一句話，可以預防病毒的傳染；
h.還有一些情況是某些防病毒程式並不能有效地防止病毒的傳播，遇到這種情況的時候建議換一個防病毒軟體。

5、這個病毒對電腦會有什麼影響？我怎麼知道我的電腦感染了這個病毒？
廣告：d_text 　　答：這個病毒對電腦產生的比較明顯的影響是嚴重影響電腦的正常使用，嚴重減慢電腦的運行速度，經常出現諸如“資源不足”的提示。這是因為這個病毒會大量生成folder.htt和desktop.ini，每以Web視圖打開一個文件夾或打開資源管理器的時候都會激活病毒一次，從而導致電腦資源的嚴重下降，影響正常的使用。
而感染這個病毒後很容易發現電腦突然出現很多的folder.htt和desktop.ini文件（文件是隱藏的，默認情況下看不到），幾乎是每個目錄下都會有，同時連軟碟、移動硬盤等都可能會被感染，可以據此確認感染了病毒。不過，電腦上存在這兩個文件並不代表一定染毒了，如何判斷folder.htt和desktop.ini文件是不是病毒將會在下面的問題中討論到。

6、這個病毒是如何傳播的？通過什麼途徑進行傳播？
答：這是個網頁病毒，利用的MS IE的漏洞，通過感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件進行傳播。而由於病毒的本身特性，其傳播的途徑也有多種：a.通過網頁傳播。由於病毒會感染網頁文件，如果那些網站站長不小心將帶毒的網頁放到網站上，用戶不了心瀏覽了這些網頁就會被病毒感染了；
b.通過局域網。當本地電腦設有可寫許可權的共用目錄，或者訪問局域網上帶毒的電腦的時候就會感染病毒；對於Windows NT/2000系統，由於存在默認的管理用共用目錄，因此，管理員的疏忽也可能會造成感染。
c.通過電子郵件。如果發件人使用了帶毒的網頁文件作為信紙，或者信件中有帶毒的網頁文件，那麼，只要收件人瀏覽了郵件，也會被感染病毒；
d.通過移動介質，如軟碟、移動硬盤、光碟等。由於病毒會生成folder.htt和desktop.ini，所以在打開移動介質或打開其文件夾的時候，就會激活並感染病毒。

7、為何在正常模式下無法乾淨清除這個病毒？
答：在安全模式下無法乾淨清除病毒一般是由以下幾個方面的原因造成：
a.感染病毒後，病毒在激活狀態，一般殺毒軟體和專門清除工具都無法清除記憶體中的病毒，導致殺毒不徹底；
b.局域網上的病毒可能會通過文件夾共用重復感染電腦。

8、什麼樣的folder.htt和desktop.ini才是病毒？
答：並不是所有的folder.htt和desktop.ini都是病毒。一般正常情況下，%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目錄中都會有這兩個文件。而且，使用記事本打開染毒的folder.htt，可以找到和後面一大段的加密代碼，這是正常文件中沒有的。此外，作為目錄配置文件的desktop.ini並不是病毒體，獨立的這一文件並不會造成任何問題。如果這兩個文件在殺毒後出現損壞，導致文件夾打開不正常，可以從別的乾淨的電腦上重新拷貝這兩個文件。

9、我沒有殺毒軟體，哪可以下載專門清除這個病毒的工具？
答：點擊http://www.pconline.com....d/3wie.htm下載相應的清除工具。

10、這個病毒會感染什麼作業系統？
答：這個病毒主要感染Win9x/Me/NT/2000作業系統，對Windows XP不起作用。　　

11、病毒生成的KJwall.gif是什麼文件？
答：這個不是病毒文件，病毒運行時會在%windir%web和%windirsystem32目錄下生成這個文件，這兩個文件內容並不一樣，前者是你系統沒有染毒時候的%windir%webFolder.htt的備份文件，後者是%windir%system32desktop.ini的正常文件的備份。