最近新闻
※病毒公告※
  “新欢乐时光”病毒是最近出现的的较为厉害的一个脚本病毒,目前仍在校园网上蔓延。针对此情况,辽宁工学院信息中心发布校园网病毒一号公告:

  1、新欢乐时光是怎么样的一个病毒?
  
  答:新欢乐时光是该病毒的中文名,其英文名包括(方括号中是相对应的各个厂家):HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。

  这个病毒是用VBS编写的多变形、加密病毒,感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打开方式,感染Outlook的信纸文件。(注:%windir%指的是Windows的目录,对于Win9x/Me系统来说,这个目录通常是Windows,对于Windows NT/2000来说,这个目录通常是WinNT。

  感染这个病毒后有两个明显的表现:
  
  a.在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);
  
  b.电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。
  
  2、如何彻底清除这个病毒?需要注意什么问题?

  答:清除这个病毒可以在安全模式或者纯DOS下清除,需要注意以下几个问题:
  
  a.建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解,一般用户是很难干净地清除病毒的;推荐使用专杀工具在安全模式下进行杀毒,并且,在确认清除完成之前不要使用“Web视图”显示任何文件夹,比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
  
  b.在检查病毒的时候,建议同时检查平时常用的移动储存介质,如光盘、软盘、移动硬盘等,因为这是病毒重复感染的隐患。
  
  c.对于联网的计算机,杀毒之前建议取消所有的共享目录。

  3、为什么建议在安全模式下清除这个病毒?如何进入安全模式?

  答:清除这个病毒我建议是在安全模式下清除,这是因为:
  
  a.病毒在安全模式下不会被激活,所以可以放心在安全模式下杀毒;
  
  b.由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒,所以一般要在安全模式或纯DOS下杀毒,虽然两种方式都可以干净清除病毒,但在安全模式下由于系统使用了更多的缓存机制,因此要比在纯DOS下杀毒速度要快;
  
  c.专门清除工具只能在Windows环境下运行,不过专门清除工具可以修复病毒修改的注册表,而一般杀毒软件做不到;
  
  4、如何预防这个病毒?对于预防这个病毒,有什么建议吗?
  
  答:杀毒后建议立即进行以下操作进行预防病毒:
  
  a.请浏览以下网址为系统打上必要的补丁:
  
  http://www.windowsupdate.com 或
  
  http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
  
  b.请安装反病毒软件,并升级到最新的病毒库,坚持打开实时防病毒监控程序和及时升级病毒库;
  
  c.删除信箱中可疑的电子邮件,建议尽量不要使用信纸;
  
  d.对于Windows 9x/Me,建议取消共享,如果必须设置共享的话,建议设置为只读或者设置密码;对于Windows NT/2000,应为文件夹配置适当的权限,在有域的网络中,所有用户,特别是管理员级用户必须保证自己不感染病毒。
  
  e.在使用移动储存介质之前,如光盘、软盘、移动硬盘等,建议先防病毒软件检查一遍是否存在病毒,如果光盘有病毒的话,建议不要再使用该光盘;如果不具备这个条件,关闭Web视图可以部分地防止这个病毒,但对于被感染的html等文件,则这个方法可能无法奏效。
  
  f.特别地:利用这个病毒的设计缺陷,可以在%windir%System创建名为kernel.dll(Win9x/ME系统)或kernel32.dll(WinNT/2000系统)的目录,这样可以在一定程度上阻止病毒的传染。特别注意:在不同的系统中创建的目录名称是不同的,应根据不同的系统来创建对应的目录。如果提示不能创建文件夹,请在杀毒后再创建。
  
  g.对于一些熟练操作计算机的用户来说,可以通过编辑原正常的folder.htt,在文件头加上< BODY KJ_start()>这一句话,可以预防病毒的传染;
  
  h.还有一些情况是某些防病毒程序并不能有效地防止病毒的传播,遇到这种情况的时候建议换一个防病毒软件。

  5、这个病毒对计算机会有什么影响?我怎么知道我的计算机感染了这个病毒?

  答:这个病毒对计算机产生的比较明显的影响是严重影响计算机的正常使用,严重减慢计算机的运行速度,经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini,每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次,从而导致计算机资源的严重下降,影响正常的使用。
  
  而感染这个病毒后很容易发现计算机突然出现很多的folder.htt和desktop.ini文件(文件是隐藏的,默认情况下看不到),几乎是每个目录下都会有,同时连软盘、移动硬盘等都可能会被感染,可以据此确认感染了病毒。不过,计算机上存在这两个文件并不代表一定染毒了,如何判断folder.htt和desktop.ini文件是不是病毒将会在下面的问题中讨论到。
  
  6、这个病毒是如何传播的?通过什么途径进行传播?
  
  答:这是个网页病毒,利用的MS IE的漏洞,通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性,其传播的途径也有多种:a.通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的网页放到网站上,用户不了心浏览了这些网页就会被病毒感染了;
  
  b.通过局域网。当本地计算机设有可写权限的共享目录,或者访问局域网上带毒的计算机的时候就会感染病毒;对于Windows NT/2000系统,由于存在默认的管理用共享目录,因此,管理员的疏忽也可能会造成感染。
  
  c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒;
  
  d.通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。
  
  7、为何在正常模式下无法干净清除这个病毒?
  
  答:在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成:
  
  a.感染病毒后,病毒在激活状态,一般杀毒软件和专门清除工具都无法清除内存中的病毒,导致杀毒不彻底;
  
  b.局域网上的病毒可能会通过文件夹共享重复感染电脑。

  8、什么样的folder.htt和desktop.ini才是病毒?
 
  答:并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下,%windir%, %windir%system, %windir%system32, %windir%web 和 Program Files目录中都会有这两个文件。而且,使用记事本打开染毒的folder.htt,可以找到和后面一大段的加密代码,这是正常文件中没有的。此外,作为目录配置文件的desktop.ini并不是病毒体,独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏,导致文件夹打开不正常,可以从别的干净的计算机上重新拷贝这两个文件。
  
  9、我没有杀毒软件,哪里可以下载专门清除这个病毒的工具?
  
  答:点击ftp://210.30.184.9/Software/到杀毒工具的专杀工具中下载ScanVBSKJ.EXE到本地磁盘即可。
  
  10、这个病毒会感染什么操作系统?
  
  答:这个病毒主要感染Win9x/Me/NT/2000操作系统,对Windows XP不起作用。
  
  11、病毒生成的KJwall.gif是什么文件?
  
  答:这个不是病毒文件,病毒运行时会在%windir%web和%windirsystem32目录下生成这个文件,这两个文件内容并不一样,前者是你系统没有染毒时候的%windir%webFolder.htt的备份文件,后者是%windir%system32desktop.ini的正常文件的备份。


                                     辽宁工学院信息中心
                                         2003年4月18日
XML 地图 | Sitemap 地图