新代码分析揭示‘新欢乐时光’恶意软件感染策略

新欢乐时光代码分析是一份关于恶意软件或病毒行为的文档，它涉及到Windows平台下的VBScript脚本技术。该代码片段属于一种隐蔽式感染（Stealth Infection）策略，用于潜在威胁（POTENTIALLY UNDETECTABLE Malware，简称PUA）的传播。主要包含以下几个关键部分： 1. **SubKJ_start()函数**：这是整个恶意代码的主要执行入口点。它首先进行一些初始化操作（如设置变量和创建环境），然后依次执行感染本地文件（KJLikeIt()）、利用Outlook传播（KJCreateMail()）以及病毒的自我复制（KJPropagate()）等步骤。 2. **KJAppendTo()函数**：这是一个核心函数，用于将病毒代码插入到目标文件中。这个函数接受两个参数：文件路径和文件类型（如HTML、VBS或HTTP）。根据文件类型不同，KJAppendTo()会采取不同的策略： - 对于HTTP类型，会在文件头部添加一个脚本标签，当页面加载时执行KJ_start()函数，并在文件尾部追加HTML加密病毒体。 - 对于HTML类型，除了在尾部添加KJ_start()调用外，还会加入HTML病毒体。 - 对于VBS类型，直接在文件尾部追加VBS病毒体。 3. **安全措施**：代码中提到的`OnErrorResumeNext`语句可能用于处理可能出现的错误，使病毒能在遇到问题时继续执行。`SetFAttrib`变量的使用暗示着可能存在对文件属性的修改，例如设置为隐藏或只读，以避免被检测。 4. **加密病毒体**：提到了“html版本的加密病毒体”，这可能意味着病毒使用了某种编码或混淆技术来隐藏其恶意性质，增加检测难度。 5. **传播途径**：除了直接感染本地文件，还通过Outlook邮件模板进行传播，这表明病毒利用了用户信任的通信工具进行扩散，增加了感染范围。 这份代码片段展示了一种恶意软件的编写技巧和传播策略，其中包含了病毒的潜伏、注入、传播以及可能的防检测机制。对于网络安全专业人士和研究人员来说，这是一份值得深入分析的样本，可以帮助理解现代威胁的动态和防御手段。同时，对于普通用户来说，了解这类代码有助于提高对网络威胁的认识，保护自己的系统不受此类恶意软件的影响。