概述
病毒別名:VBS.RedLof【AVP/NAV】,VBS/Redlof【McAfee】,VBS_REDLOF【Trend】處理時間:2002-05-15
威脅級別:★★★
中文名稱:新歡樂時光
病毒類型:VBS病毒
影響系統:Win9x / WinNT
病毒行為:
.1.病毒生成和修改的檔案:
A.在每個檢查到的資料夾下生成 desktop.ini 和 folder.htt 檔案(這兩個檔案控制了資料夾在資源管理器中的顯示視力)。
B.在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
C.在 Windows 9X 系統中,生成 %Windows%\System\Kernel.dll 檔案;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 檔案。
感染 htt 檔案,將病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替換其內容。
2.修改註冊表:
A.在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下增加 Kernel32 鍵值,使病毒隨系統啟動。
B.修改 HKEY_CLASSES_ROOT\dllFile,改變 dll 檔案的打開方式。
C.修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Compose Use Stationery" 為 1,即採用信紙。
D.修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" & OEVersion & "\Mail\Stationery Name" 指向信紙檔案。
E.修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相關內容,使 Outlook 2000 採用信紙來撰寫郵件。
F.修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相關內容,使 Outlook XP 採用信紙撰寫郵件。
3.病毒感染的標誌:
A.在註冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 鍵值,並指向 Kernel.dll 或者 Kernel32.dll 檔案。
B.系統中大量存在 desktop.ini 和 folder.htt。
C.在 system 目錄下存在 kjwall.gif 檔案。
該病毒手工清除難度較大,建議採用防毒軟體防毒。
