廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2942 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 新歡樂時光病毒——防範及查殺
新歡樂時光病毒——防範及查殺
作者: yangjt22 發表日期: 2006-08-28 12:12 文章屬性: 轉載 複製鏈結
http://big5.ccidnet.com:89/gate/big5/yangjt22.blog...._showone/tid_83543.html

“新歡樂時光”病毒是較為厲害的一個腳本病毒,目前仍在互聯網上蔓延。閱讀此文你會對它有比較清楚的了解……

1、新歡樂時光是怎麼樣的一個病毒?
答:新歡樂時光是該病毒的中文名,其英文名包括(方括弧中是相對應的各個廠家):HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。這個病毒是用VBS編寫的多變形、加密病毒,感染擴展名為.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同時該病毒會大量生成folder.htt和desktop.ini,並在%windir%System中生成一個名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打開方式,感染Outlook的信紙文件。(注:%windir%指的是Windows的目錄,對於Win9x/Me系統來說,這個目錄通常是Windows,對於Windows NT/2000來說,這個目錄通常是WinNT。
感染這個病毒後有兩個明顯的表現:
a.在每個目錄中都會生成folder.htt(帶毒文件)和desktop.ini(目錄配置文件); 
b.電腦運行速度明顯變慢,在任務列表中可以看到有大量的Wscript.exe程式在運行。

2、如何徹底清除這個病毒?需要注意什麼問題?
答:清除這個病毒可以在安全模式或者純DOS下清除,需要注意以下幾個問題:
a.建議在安全模式或純DOS中清除。在正常模式清除需要對Windows系統非常深入地了解,一般用戶是很難乾淨地清除病毒的;推薦使用專殺工具在安全模式下進行殺毒,並且,在確認清除完成之前不要使用“Web視圖”顯示任何文件夾,比較穩妥的做法是在進入安全模式之前將所有的Web視圖文件夾改為傳統Windows風格
b.在檢查病毒的時候,建議同時檢查平時常用的移動儲存介質,如光碟、軟碟、移動硬盤等,因為這是病毒重復感染的隱患。
c.對於聯網的電腦,殺毒之前建議取消所有的共用目錄。

3、為什麼建議在安全模式下清除這個病毒?如何進入安全模式?
答:清除這個病毒我建議是在安全模式下清除,這是因為:
a.病毒在安全模式下不會被激活,所以可以放心在安全模式下殺毒;
b.由於殺毒軟體和專門清除工具在正常模式下都不能乾淨清除病毒,所以一般要在安全模式或純DOS下殺毒,雖然兩種方式都可以乾淨清除病毒,但在安全模式下由於系統使用了更多的緩存機制,因此要比在純DOS下殺毒速度要快;
c.專門清除工具只能在Windows環境下運行,不過專門清除工具可以修復病毒修改的註冊表,而一般殺毒軟體做不到;

4、如何預防這個病毒?對於預防這個病毒,有什麼建議嗎?
答:殺毒後建議立即進行以下操作進行預防病毒:
a.請瀏覽以下網址為系統打上必要的補丁:
http://www.windo...te.com
http://www.microsoft.com/technet/s...n/MS00-075.asp
b.請安裝反病毒軟體,並升級到最新的病毒庫,堅持打開實時防病毒監控程式和及時升級病毒庫;
c.刪除信箱中可疑的電子郵件,建議儘量不要使用信紙;
d.對於Windows 9x/Me,建議取消共用,如果必須設置共用的話,建議設置為只讀或者設置密碼;對於Windows NT/2000,應為文件夾配置適當的許可權,在有域的網路中,所有用戶,特別是管理員級用戶必須保證自己不感染病毒。
e.在使用移動儲存介質之前,如光碟、軟碟、移動硬盤等,建議先防病毒軟體檢查一遍是否存在病毒,如果光碟有病毒的話,建議不要再使用該光碟;如果不具備這個條件,關閉Web視圖可以部分地防止這個病毒,但對於被感染的html等文件,則這個方法可能無法奏效。
f.特別地:利用這個病毒的設計缺陷,可以在%windir%System創建名為kernel.dll(Win9x/ME系統)或kernel32.dll(WinNT/2000系統)的目錄,這樣可以在一定程度上阻止病毒的傳染。特別注意:在不同的系統中創建的目錄名稱是不同的,應根據不同的系統來創建對應的目錄。如果提示不能創建文件夾,請在殺毒後再創建。
g.對於一些熟練操作電腦的用戶來說,可以通過編輯原正常的folder.htt,在文件頭加上< BODY KJ_start()>這一句話,可以預防病毒的傳染;
h.還有一些情況是某些防病毒程式並不能有效地防止病毒的傳播,遇到這種情況的時候建議換一個防病毒軟體。

5、這個病毒對電腦會有什麼影響?我怎麼知道我的電腦感染了這個病毒?
廣告:d_text   答:這個病毒對電腦產生的比較明顯的影響是嚴重影響電腦的正常使用,嚴重減慢電腦的運行速度,經常出現諸如“資源不足”的提示。這是因為這個病毒會大量生成folder.htt和desktop.ini,每以Web視圖打開一個文件夾或打開資源管理器的時候都會激活病毒一次,從而導致電腦資源的嚴重下降,影響正常的使用。
而感染這個病毒後很容易發現電腦突然出現很多的folder.htt和desktop.ini文件(文件是隱藏的,默認情況下看不到),幾乎是每個目錄下都會有,同時連軟碟、移動硬盤等都可能會被感染,可以據此確認感染了病毒。不過,電腦上存在這兩個文件並不代表一定染毒了,如何判斷folder.htt和desktop.ini文件是不是病毒將會在下面的問題中討論到。

6、這個病毒是如何傳播的?通過什麼途徑進行傳播?
答:這是個網頁病毒,利用的MS IE的漏洞,通過感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件進行傳播。而由於病毒的本身特性,其傳播的途徑也有多種:a.通過網頁傳播。由於病毒會感染網頁文件,如果那些網站站長不小心將帶毒的網頁放到網站上,用戶不了心瀏覽了這些網頁就會被病毒感染了;
b.通過局域網。當本地電腦設有可寫許可權的共用目錄,或者訪問局域網上帶毒的電腦的時候就會感染病毒;對於Windows NT/2000系統,由於存在默認的管理用共用目錄,因此,管理員的疏忽也可能會造成感染。
c.通過電子郵件。如果發件人使用了帶毒的網頁文件作為信紙,或者信件中有帶毒的網頁文件,那麼,只要收件人瀏覽了郵件,也會被感染病毒;
d.通過移動介質,如軟碟、移動硬盤、光碟等。由於病毒會生成folder.htt和desktop.ini,所以在打開移動介質或打開其文件夾的時候,就會激活並感染病毒。

7、為何在正常模式下無法乾淨清除這個病毒?
答:在安全模式下無法乾淨清除病毒一般是由以下幾個方面的原因造成:
a.感染病毒後,病毒在激活狀態,一般殺毒軟體和專門清除工具都無法清除記憶體中的病毒,導致殺毒不徹底;
b.局域網上的病毒可能會通過文件夾共用重復感染電腦。

8、什麼樣的folder.htt和desktop.ini才是病毒?
答:並不是所有的folder.htt和desktop.ini都是病毒。一般正常情況下,%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目錄中都會有這兩個文件。而且,使用記事本打開染毒的folder.htt,可以找到和後面一大段的加密代碼,這是正常文件中沒有的。此外,作為目錄配置文件的desktop.ini並不是病毒體,獨立的這一文件並不會造成任何問題。如果這兩個文件在殺毒後出現損壞,導致文件夾打開不正常,可以從別的乾淨的電腦上重新拷貝這兩個文件。

9、我沒有殺毒軟體,哪可以下載專門清除這個病毒的工具?
答:點擊http://www.pconline.com....d/3wie.htm下載相應的清除工具。

10、這個病毒會感染什麼作業系統?
答:這個病毒主要感染Win9x/Me/NT/2000作業系統,對Windows XP不起作用。  

11、病毒生成的KJwall.gif是什麼文件?
答:這個不是病毒文件,病毒運行時會在%windir%web和%windirsystem32目錄下生成這個文件,這兩個文件內容並不一樣,前者是你系統沒有染毒時候的%windir%webFolder.htt的備份文件,後者是%windir%system32desktop.ini的正常文件的備份。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-12 17:15 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.081278 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言