发信人: emil(稻草人)
整理人: emil(2002-11-16 12:54:51), 站内信件
|
新欢乐时光(VBS.KJ、HTML.Redlof.A)病毒FAQ
Emil [email protected] V2.02.11.16
1、新欢乐时光是怎么样的一个病毒? 2
2、如何彻底清除这个病毒?需要注意什么问题? 2
3、为什么建议在安全模式下清除这个病毒?如何进入安全模式? 2
4、如何预防这个病毒?对于预防这个病毒,有什么建议吗? 3
5、这个病毒对计算机会有什么影响?我怎么知道我的计算机感染了这个病毒? 3
6、这个病毒是如何传播的?通过什么途径进行传播? 4
7、为何在正常模式下无法干净清除这个病毒? 4
8、什么样的folder.htt和desktop.ini才是病毒? 4
9、我没有杀毒软件,哪里可以下载专门清除这个病毒的工具? 4
10、这个病毒会感染什么操作系统? 5
11、病毒生成的KJwall.gif是什么文件? 5
12、为什么我跟据你说的方法清除病毒后,为何没有干净清除病毒? 5
13、杀毒后有很多folder.htt和desktop.ini文件,这些文件还是病毒么?可否删除?
1、新欢乐时光是怎么样的一个病毒?
答:新欢乐时光是该病毒的中文名,其英文名包括(方括号中是相对应的各个厂家):HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
这个病毒是用VBS编写的多变形、加密病毒,感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%\System\中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或Kernel32.dll(Windows NT/2000),修改.dll文件的打开方式,感染Outlook的信纸文件。
(注:%windir%指的是Windows的目录, 对于Win9x/Me系统来说,这个目录通常是\Windows,对于Windows NT/2000来说,这个目录通常是\WinNT;特别注意:这两个Kernel文件生成的路径都是%windir%\System\,而不是%windir%\System32\)
感染这个病毒后有两个明显的表现:
a. 在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);
b. 电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。
更详细的资料请参见有关资料。
2、如何彻底清除这个病毒?需要注意什么问题?
答:清除这个病毒可以在安全模式或者纯DOS下用杀毒软件或者专杀工具清除(专杀工具需要自行下载,在下面的问题中会提供下载地址),不过需要注意以下几个问题:
a. 建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解,一般用户是很难干净地清除病毒的。推荐使用专杀工具在“安全模式”下进行杀毒,并且,在确认清除完成之前不要使用“Web视图”显示任何文件夹,比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b. 在检查病毒的时候,建议同时检查平时常用的移动储存介质,如光盘、软盘、移动硬盘等,因为这是病毒重复感染的隐患。对于移动硬盘可以在正常模式下进行查杀,不过不要浏览或打开移动硬盘上的盘符,而应该直接用杀毒软件直接进行查杀!
c. 对于联网的计算机,杀毒之前建议取消所有的共享目录。
d. 如果在\Temporary Internet Files目录中发现无法清除的病毒文件,请选择IE中的“工具”\“Internet选项”,选择“删除文件”删除即可。
e. 对于操作系统是Windows Me/XP的电脑,需要将系统还原功能禁止才可以杀毒。如果不禁止就会出现\_RESTORE目录下的文件无法杀毒的情况。禁止方法如下:
禁用 Windows XP 系统还原:
1. 单击“开始”。
2. 右击“我的电脑”,然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”,然后单击“确定”。
禁用 Windows Me 系统还原:
1. 单击“开始”,指向“设置”,然后单击“控制面板”。
2. 双击“系统”,然后单击“性能”选项卡。
3. 单击“文件系统”,然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”,然后单击“关闭”。当提示重新启动 Windows 时单击“是”。
3、为什么建议在安全模式下清除这个病毒?如何进入安全模式?
答:清除这个病毒我建议是在安全模式下清除,这是因为:
a. 病毒在安全模式下不会被激活,所以可以放心在安全模式下杀毒;
b. 由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒,所以一般要在安全模式或纯DOS下杀毒,虽然两种方式都可以干净清除病毒,但在安全模式下由于系统使用了更多的缓存机制,因此要比在纯DOS下杀毒速度要快;
c. 专门清除工具只能在Windows环境下运行,不过专门清除工具可以修复病毒修改的注册表,而一般杀毒软件做不到;
注:如何进入安全模式请参见有关资料。
http://uh1.gz.163.comjavascript:window.close()" id="583896
4、如何预防这个病毒?对于预防这个病毒,有什么建议吗?
答:杀毒后建议立即进行以下操作进行预防病毒:
a. 请浏览以下网址为系统打上必要的补丁:
http://www.windowsupdate.com
或
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
b. 请安装反病毒软件,并升级到最新的病毒库,坚持打开实时防病毒监控程序和及时升级病毒库;
c. 删除信箱中可疑的电子邮件,建议尽量不要使用信纸;
d. 对于Windows 9x/Me,建议取消共享,如果必须设置共享的话,建议设置为只读或者设置密码;对于Windows NT/2000,应为文件夹配置适当的权限,在有域的网络中,所有用户,特别是管理员级用户必须保证自己不感染病毒。
e. 在使用移动储存介质之前,如光盘、软盘、移动硬盘等,建议先防病毒软件检查一遍是否存在病毒,如果光盘有病毒的话,建议不要再使用该光盘;如果不具备这个条件,关闭Web视图可以部分地防止这个病毒,但对于被感染的html等文件,则这个方法可能无法奏效。
f. 对于一些熟练操作计算机的用户来说,可以通过编辑原正常的folder.htt,在文件头加上<BODY KJ_start()>这一句话,可以预防病毒的传染;
g. 还有一些情况是某些防病毒程序并不能有效地防止病毒的传播,遇到这种情况的时候建议换一个防病毒软件。
5、这个病毒对计算机会有什么影响?我怎么知道我的计算机感染了这个病毒?
答:这个病毒对计算机产生的比较明显的影响是严重影响计算机的正常使用,严重减慢计算机的运行速度,经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini,每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次,从而导致计算机资源的严重下降,影响正常的使用。
而感染这个病毒后很容易发现计算机突然出现很多的folder.htt和desktop.ini文件(文件是隐藏的,默认情况下看不到),几乎是每个目录下都会有,同时连软盘、移动硬盘等都可能会被感染,可以据此确认感染了病毒。不过,计算机上存在这两个文件并不代表一定染毒了,如何判断folder.htt和desktop.ini文件是不是病毒将会在下面的问题中讨论到。
6、这个病毒是如何传播的?通过什么途径进行传播?
答:这是个网页病毒,利用的MS IE的漏洞,通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性,其传播的途径也有多种:
a. 通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的网页放到网站上,用户不了心浏览了这些网页就会被病毒感染了;
b. 通过局域网。当本地计算机设有可写权限的共享目录,或者访问局域网上带毒的计算机的时候就会感染病毒;对于Windows NT/2000系统,由于存在默认的管理用共享目录,因此,管理员的疏忽也可能会造成感染。
c. 通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒;
d. 通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。
7、为何在正常模式下无法干净清除这个病毒?
答:在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成:
a. 感染病毒后,病毒在激活状态,一般杀毒软件和专门清除工具都无法清除内存中的病毒,导致杀毒不彻底;
b. 局域网上的病毒可能会通过文件夹共享重复感染电脑。
8、什么样的folder.htt和desktop.ini才是病毒?
答:并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下,%windir%\, %windir%\system\, %windir%\system32\, %windir%\web\ 和 Program Files\目录中都会有这两个文件。而且,使用记事本打开染毒的folder.htt,可以找到<BODY onload="vbscript:KJ_start()">和后面一大段的加密代码,这是正常文件中没有的。此外,作为目录配置文件的desktop.ini并不是病毒体,独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏,导致文件夹打开不正常,可以从别的干净的计算机上重新拷贝这两个文件。
9、我没有杀毒软件,哪里可以下载专门清除这个病毒的工具?
答:金山公司专门提供了相应的清除工具,下载地址如下:
ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE
10、这个病毒会感染什么操作系统?
答:这个病毒主要感染Win9x/Me/NT/2000操作系统,对Windows XP不起作用。
11、病毒生成的KJwall.gif是什么文件?
答:这个不是病毒文件,病毒运行时会在%windir%\web和%windir\system32目录下生成这个文件,这两个文件内容并不一样,前者是你系统没有染毒时候的%windir%\web\Folder.htt的备份文件,后者是%windir%\system32\desktop.ini的正常文件的备份。
12、为什么我跟据你说的方法清除病毒后,为何没有干净清除病毒?
答:首先,强烈建议杀毒后请浏览以下网址为系统打上必要的补丁:
http://www.windowsupdate.com
或
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
有清除不了的病毒文件一般有以下几种情况:
a. 由于某些杀毒程序在杀毒的时候,并没有完全的清除网页文件中的病毒代码:只是清除了病毒的运行主体,而没有清除文件中的病毒头代码,通常还会带有<BODY onload="vbscript:KJ_start()">一段代码,不过这段代码已经不起作用了,但由于反病毒软件的检查机制的不同,当检查到文件中带有这段代码的时候认为文件还带有病毒,但却无法清除,如瑞星、Mcafee。(注:如果你现在也使用了这两个软件,那当你浏览本文的时候可能也会报告有病毒,但千万别误会。^_^)遇到这种情况,可以自行用记事本打开这些网页文件,将文件中那段代码删除。
b. 在\Temporary Internet Files目录中发现无法清除的病毒文件,请选择IE中的“工具”\“Internet选项”,选择“删除文件”删除即可,包括删除所有的脱机内容!这是由于在浏览个别网站的时候,该网页上带有病毒,只要打上补丁就不会受影响!
c. 对.zip, .rar等压缩文件中的无法清除的病毒建议解压后进行清除。
d. 对于移动存储设备上无法清除的病毒(如软盘,但光盘除外),请取消写保护再进行清除。
e. 如果电子邮件中带有病毒建议将该邮件删除。
d. 对于操作系统是Windows Me/XP的电脑,需要将系统还原功能禁止才可以杀毒。如果不禁止就会出现\_RESTORE目录下的文件无法杀毒的情况,如果不能直接清除,可以将\_RESTORE目录下的文件删除。禁止方法如下:
禁用 Windows XP 系统还原:
1. 单击“开始”。
2. 右击“我的电脑”,然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”,然后单击“确定”。
禁用 Windows Me 系统还原:
1. 单击“开始”,指向“设置”,然后单击“控制面板”。
2. 双击“系统”,然后单击“性能”选项卡。
3. 单击“文件系统”,然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”,然后单击“关闭”。当提示重新启动 Windows 时单击“是”。
13、杀毒后有很多folder.htt和desktop.ini文件,这些文件还是病毒么?可否删除?
答:这些文件是否病毒请参见第8问。这些文件都可以删除的,对系统的正常操作并不会有什么影响。
*特别感谢virus2001、delphij、snaix等好友的大力协助!
*如有错误敬请指出!如果疑问欢迎来信讨论,谢谢!
*欢迎转载,但请保持本文的完整性,并来信告知转载处,谢谢!
----
谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区电脑病毒版
http://cnav.126.com
Email: [email protected]
QQ:201604
MSN Messenger: [email protected] |
|