VBS.KJ

病毒名称(中文):

新欢乐时光

病毒别名:

VBS.Redlof[AVP/NAV]，VBS/Redlof[McAfee]，VBS_REDLOF[

威胁级别:

★★★☆☆

病毒类型:

文本病毒

病毒长度:

影响系统:

Win9xWinNT

病毒行为:

VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样，该病毒采用VBScript语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用Windows系统的“资源治理器”进行寄生与感染。

然而，与欢乐时光相比，VBS.KJ病毒显然经过改进。首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动发送电子邮件！而是修改系统中MicrosoftOutlookExpress、MicrosoftOutlook2000/XP的设置，采用html格式的信纸来撰写邮件，病毒感染全部信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染html/htm、jsp、vbs、php、asp等格式的文件，不会删除系统文件。

1.病毒生成和修改的文件：

A.在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源治理器中的显示视力)。

B.在%Windows%\web和%Windows%System32中生成kjwall.gif。

C.在Windows9X系统中，生成%Windows%\System\Kernel.dll文件；在Windows2000/XP中生成%Windows%\System\Kernel32.dll文件。

感染htt文件，将病毒附加在其中；感染html/htm、jsp、vbs、php、asp，用病毒替换其内容。

2.修改注册表：

A.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下增加Kernel32键值，使病毒随系统启动。

B.修改HKEY_CLASSES_ROOT\dllFile，改变dll文件的打开方式。

C.修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\OutlookExpress\"&OEVersion&"\Mail\ComposeUseStationery"为1，即采用信纸。

D.修改HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\OutlookExpress\"&OEVersion&"\Mail\StationeryName"指向信纸文件。

E.修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容，使Outlook2000采用信纸来撰写邮件。

F.修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容，使OutlookXP采用信纸撰写邮件。

3.病毒感染的标志：

A.在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值，并指向Kernel.dll或者Kernel32.dll文件。

B.系统中大量存在desktop.ini和folder.htt。

C.在system目录下存在kjwall.gif文件。

该病毒手工清除难度较大，建议采用杀毒软件杀毒。