新欢乐时光病毒——防范及查杀
作者: yangjt22 发表日期: 2006-08-28 12:12 文章属性: 转载 复制链结
http://big5.ccidnet.com:89/gate/big5/yangjt22.blog...._showone/tid_83543.html

“新欢乐时光”病毒是较为厉害的一个脚本病毒，目前仍在互联网上蔓延。阅读此文你会对它有比较清楚的了解……

1、新欢乐时光是怎么样的一个病毒？
答：新欢乐时光是该病毒的中文名，其英文名包括（方括弧中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%System中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。（注：%windir%指的是Windows的目录，对于Win9x/Me系统来说，这个目录通常是Windows，对于Windows NT/2000来说，这个目录通常是WinNT。
感染这个病毒后有两个明显的表现：
a.在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；　
b.电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程式在运行。

2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下清除，需要注意以下几个问题：
a.建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格
b.在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光碟、软碟、移动硬盘等，因为这是病毒重复感染的隐患。
c.对于联网的电脑，杀毒之前建议取消所有的共用目录。

3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？
答：清除这个病毒我建议是在安全模式下清除，这是因为：
a.病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；
b.由于杀毒软体和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；
c.专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的注册表，而一般杀毒软体做不到；

4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？
答：杀毒后建议立即进行以下操作进行预防病毒：
a.请浏览以下网址为系统打上必要的补丁：
http://www.windo...te.com 或
http://www.microsoft.com/technet/s...n/MS00-075.asp
b.请安装反病毒软体，并升级到最新的病毒库，坚持打开实时防病毒监控程式和及时升级病毒库；
c.删除信箱中可疑的电子邮件，建议尽量不要使用信纸；
d.对于Windows 9x/Me，建议取消共用，如果必须设置共用的话，建议设置为只读或者设置密码；对于Windows NT/2000，应为文件夹配置适当的许可权，在有域的网路中，所有用户，特别是管理员级用户必须保证自己不感染病毒。
e.在使用移动储存介质之前，如光碟、软碟、移动硬盘等，建议先防病毒软体检查一遍是否存在病毒，如果光碟有病毒的话，建议不要再使用该光碟；如果不具备这个条件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可能无法奏效。
f.特别地：利用这个病毒的设计缺陷，可以在%windir%System创建名为kernel.dll（Win9x/ME系统）或kernel32.dll（WinNT/2000系统）的目录，这样可以在一定程度上阻止病毒的传染。特别注意：在不同的系统中创建的目录名称是不同的，应根据不同的系统来创建对应的目录。如果提示不能创建文件夹，请在杀毒后再创建。
g.对于一些熟练操作电脑的用户来说，可以通过编辑原正常的folder.htt，在文件头加上< BODY KJ_start()>这一句话，可以预防病毒的传染；
h.还有一些情况是某些防病毒程式并不能有效地防止病毒的传播，遇到这种情况的时候建议换一个防病毒软体。

5、这个病毒对电脑会有什么影响？我怎么知道我的电脑感染了这个病毒？
广告：d_text 　　答：这个病毒对电脑产生的比较明显的影响是严重影响电脑的正常使用，严重减慢电脑的运行速度，经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini，每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次，从而导致电脑资源的严重下降，影响正常的使用。
而感染这个病毒后很容易发现电脑突然出现很多的folder.htt和desktop.ini文件（文件是隐藏的，默认情况下看不到），几乎是每个目录下都会有，同时连软碟、移动硬盘等都可能会被感染，可以据此确认感染了病毒。不过，电脑上存在这两个文件并不代表一定染毒了，如何判断folder.htt和desktop.ini文件是不是病毒将会在下面的问题中讨论到。

6、这个病毒是如何传播的？通过什么途径进行传播？
答：这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：a.通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；
b.通过局域网。当本地电脑设有可写许可权的共用目录，或者访问局域网上带毒的电脑的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共用目录，因此，管理员的疏忽也可能会造成感染。
c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；
d.通过移动介质，如软碟、移动硬盘、光碟等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。

7、为何在正常模式下无法干净清除这个病毒？
答：在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成：
a.感染病毒后，病毒在激活状态，一般杀毒软体和专门清除工具都无法清除记忆体中的病毒，导致杀毒不彻底；
b.局域网上的病毒可能会通过文件夹共用重复感染电脑。

8、什么样的folder.htt和desktop.ini才是病毒？
答：并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下，%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目录中都会有这两个文件。而且，使用记事本打开染毒的folder.htt，可以找到和后面一大段的加密代码，这是正常文件中没有的。此外，作为目录配置文件的desktop.ini并不是病毒体，独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏，导致文件夹打开不正常，可以从别的干净的电脑上重新拷贝这两个文件。

9、我没有杀毒软体，哪可以下载专门清除这个病毒的工具？
答：点击http://www.pconline.com....d/3wie.htm下载相应的清除工具。

10、这个病毒会感染什么作业系统？
答：这个病毒主要感染Win9x/Me/NT/2000作业系统，对Windows XP不起作用。　　

11、病毒生成的KJwall.gif是什么文件？
答：这个不是病毒文件，病毒运行时会在%windir%web和%windirsystem32目录下生成这个文件，这两个文件内容并不一样，前者是你系统没有染毒时候的%windir%webFolder.htt的备份文件，后者是%windir%system32desktop.ini的正常文件的备份。