in/detail?2212-LINK+infobank/->news_2001_38+8570+news_kj2001_4+@LINK+.+0target=_blank>http://www.yndaily.com/cgi-bin/detail?2212-LINK+infobank/->news_2001_38+8570+news_kj2001_4+@LINK+.+0

2003/11/17 星期一 12:39

用户要关注“新欢乐时光”病毒

新华社天津11月16日电（记者张建新）在上个月发布的“2003年中国计算机病毒疫情调查技术分析报告”的十大病毒中，“新欢乐时光”病毒高居榜首。近期的统计结果表明，该病毒仍在蔓延之中，并且很多用户在清除该病毒的过程中遇到困难。国家计算机病毒应急处理中心有关专家提醒广大计算机用户要关注这一病毒。

　　据国家计算机病毒应急处理中心检测室主任梁宏介绍，“新欢乐时光”（VBS_Redlof.A，VBS_KJ.A）病毒是在2002年4月出现的，属脚本语言病毒，感染系统为Windows95/98/NT/2000/XP/Me。在病毒出现的一年多时间内，被感染的用户数量居高不下。

　　梁宏说，“新欢乐时光”是一个具有加密、多变属性的病毒。它通过微软的Outlook和OutlookExpress邮件系统进行传播。病毒邮件不带有附件，当浏览染毒邮件时病毒发作。被该病毒感染后最明显的特征，就是在很多文件夹下都出现folder.htt和desktop.ini这两个文件。它将感染C:ProgramFilesCommonFilesMicrosoftSharedStationery目录下的Blank.htm，如果不存在则建立此文件，并将感染病毒的blank.htm文件作为outlook缺省使用的模版文件，也就是用户发送邮件时所使用的信纸。当（用户/系统）读取UserID时，病毒将更改.dll后缀的文件以便运行病毒脚本，而且病毒还会在C:windowssystem目录下创建一个vbs脚本文件Kernel32.dll。

　　Redlof还会感染WindowsWeb目录下的folder.htt文件，并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是WindowsExplorer浏览文件时缺省打开的文件，因此当用户浏览文件时病毒代码便同时被执行。病毒还在C:Windowsweb下生成kjwall.gif。

　　病毒会感染如下后缀名的文件：.HTML, .HTM, .VBS,.HTT, .ASP,.JSP,.PHP。此病毒运行时会利用微软的一个已知的系统安全漏洞，请到以下链接下载相关的补丁文件：http://www.microsoft.com/technet/security/bulletin/MS00-075.asp。

　　梁宏提出，清除病毒时应当注意以下问题：

　　1、很多用户反映病毒难以清除干净，原因之一是由于该病毒的感染是靠事件激发的，也就是说在用户打开Windows资源管理器时病毒就得到了运行的时机，所以用户在清除病毒的过程中一定要关闭所有资源管理器窗口（包括用“我的电脑”“控制面板”等方式打开的文件夹窗口），并且在查杀病毒的过程中最好不要进行任何其它的操作，确保能够有效地清除病毒。

　　2、该病毒还可以通过局域网的共享目录进行传播，所以局域网内一旦发现该病毒，全网都要进行病毒的监测和清除。如果一台计算机清除病毒后去访问局域网内其它感染了该病毒的机器，或者访问感染了该病毒的网站，就会被再度感染。

　　3、病毒清除完成后，可能还存在大量的folder.htt文件，这些文件应当是清除病毒之后的，除了系统需要的以外，大多数都是可有可无的，保留这些文件对系统的运行并没有影响。如果想删除它们，可以通过查找进行手工的删除。

　　梁宏还提醒，“冲击波”及其变种病毒在近期感染情况又有所抬头，广大用户在重新安装操作系统后应首先进行升级，修补漏洞，以抵御病毒的入侵。