病毒名称：Script.RedLof.htm RedLof病毒

病毒别名：红色结束符

病毒类型：脚本病毒

发作时间：随机

传播方式：网络/文件

感染对象：文件

警惕程度：★★★★

§ 传播方法

RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。

首先，RedLof将感染"Program Files\\Common Files\\Microsoft Shared\\Stationery\\"目录中的Blank.htm，如果不存在则建立此文件。

为了便于通过outlook传染，病毒更改了如下的注册表键值：

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Compose Use Stationery = "1"

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Stationery Name = "blank.htm"

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Wide Stationery Name" = "blank.htm"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank"

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Common\\MailSettings\ewStationery","blank"

这样，感染病毒的blank文件就成为outlook缺省使用的模版文件。

当（用户/系统）从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时，病毒将更改.dll后缀的文件以便运行病毒脚本，而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。

更改的相关注册表键值如下：

HKEY_CLASSES_ROOT\\.dll\\ = "dllfile"

HKEY_CLASSES_ROOT\\.dll\\Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\\dllfile\\DefaultIcon\\ = "HKEY_CLASSES_ROOT\\vxdfile\\DefaultIcon\\"

HKEY_CLASSES_ROOT\\dllfile\\ScriptEngine\\ = "VBScript"

HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\ = "Windows\\System\\WScript.exe ""%1"" %*"

而且更改windows启动时的相关内容：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32

Redlof还会感染Windows\\Web目录下的folder.htt文件，并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件，因此当用户浏览文件时病毒代码便会被执行。

Redlof病毒会感染如下后缀名的文件：

.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞，微软已经发布了相关的补丁文件。详情请见：http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

§ 发作现象以及解决方案

发作现象：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

一、如果对脚本文件比较熟悉，比如说网页设计人员等，可以查找一些自己熟悉的vbs,htm, html等类型的文件，用编辑工具查看其内容，看是否能发现可疑代码。

二、病毒会在感染文件夹时，产生两个病毒文件：desktop.ini和folder.htt。

三、该病毒会使计算机运行速度变慢。解决方案：

1、用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“红色结束符”（Script.RedLof.htm） RedLof病毒病毒，用户可以将病毒文件直接删除来消除病毒的影响，但如果想彻底地清除此病毒，最好还是用《瑞星杀毒软件2003版》的最新版本进行彻底清除。

2、用户在杀毒过程中要关闭所有WINDOWS窗口，禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。

3、在Windows操作系统环境下，要打开文件监控功能，先查杀内存然后在查杀所有硬盘文件。

4、在杀完毒之后应立即重新启动计算机。

5、如果用户在Windows操作系统环境下不能完全地清除此病毒，请到纯DOS操作环境下进行杀毒，将此病毒全部清除掉。

§ 手动清除方法

1:用查找文件的方式找到kernel.dll这个文件,删除.用regedit打开注册表,查找所有调用kernel.dll文件的键值,删.

2:用文件查找方式找到所有folder.htt文件,删掉大小为23K的文件,和相应目录下的desktop.ini文件,其中c:/windows/web下的那个folder.htt不要删,从别的机子上拷贝干净的folder.htt到自己的机子,用记事本打开,复制里面的代码,到感染了病毒的folder.htt文件,保存即可.

3:最后重启机子,打开我的电脑,随便用WEB放式打开几个文件夹,看是否会自动生成folder.htt和desktop.ini两个文件,(有的机子只生成fold.htt一个文件),注意这两个文件为隐藏文件,要在文件选项里,设置为"显示所有文件",如没有,病毒以清除.

§ 变种介绍

1.Script.RedLof.Htm.e

破坏方法：

此病毒是RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.感染该病毒的机器在浏览文件夹时会变慢.

对系统的破坏如下：

一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd,感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染.　 RedLof病毒

三,对注册表的修改:

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法：

感染该病毒的机器在浏览文件夹时会变慢.

2.Script.RedLof.Head.e

破坏方法：

RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.

对系统的破坏如下：

一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute,则认为已经感染.

三,对注册表的修改

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法：

感染该病毒的机器在浏览文件夹时会变慢.

3.Script.RedLof.Vbs.e

破坏方法：

RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变

对系统的破坏如下：

一,将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染.

三,对注册表的修改

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,　 值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法：

感染该病毒的机器在浏览文件夹时会变慢.

§ 相关媒体报道

用户需警惕新邮件病毒“RedLof”

2002年，一个名为RedLof的病毒正在以较强的蔓延性广为传播，据介绍：RedLof是一个具有加密、多变属性的病毒，主要通过Microsoft的Outlook和Outlook EXpress邮件系统传播，是近段时期相对较为活跃的病毒之一，同时也具有较高的破坏性。

据了解，RedLof病毒首先将感染Program Files\\Common Files\\Microsoft shared\\Stationery\\"目录中的Blank.htm，如果不存在则建立此文件。同时，　为了便于通过outlook传染，病毒会更改注册表键值，这样，感染病毒的blank文件就成为outlook缺省使用的模版文件。

当（用户/系统）从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时，病毒将更改.dll后缀的文件 RedLof病毒以便运行病毒脚本，而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。

此外，Redlof还会感染Windows\\Web目录下的folder.htt文件，并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件，因此当用户浏览文件时病毒代码便会被执行。

“红色结束符II”死灰复燃

2002年六月在网上疯狂传播的“红色结束符”，历经半年的潜遁，于2003年死灰复燃,并被瑞星全球反病毒监测网截获。“红色结束符II”（Script.Redlof.d）病毒的撰写者对红色结束符病毒进行了一次完全的改版，传播速度更快、危害程度更高。

该病毒运行后会感染机器中的大量网页类型文件，并在电脑的所有文件夹中都放入两个隐藏的病毒体，因此变得更为诡秘：用户不用双击该病毒体，只要观看被感染的目录，病毒便可运行。

病毒大量运行并进行交互感染，会消耗大量的系统资源，最终甚至会导致计算机系统崩溃。这时即使是杀毒软件也没有资源运行，有鉴于此，用户应该升级最新病毒库，打开实时监控，以防为主。

“红色结束符II”（Script.Redlof.d）病毒的新特性：

一、植入更新的变形引擎，变形更加厉害。

该病毒会将自己的代码随机组合，全部的关键代码一律变形，变形更加厉害，更加难以查杀。

二、不重复感染，感染速度更加迅速

该病毒用字符串“Execute("”来进行重复感染判断，如果发现被感染的文件中含有该字符串,则不进行重复感染，大大增加了病毒感染速度。

三、寻找OUTLOOK, 进行邮件传播。

该病毒会寻找OUTLOOK和OUTLOOK EXPRESS系统，发现后会将自身加入其中，通过邮件向外播扩散，另外该病毒还会感染信纸，喜欢使用信纸的用户会不知不觉发将病毒传播出去。

§ 相关下载

下载红色结束符(Redlof)病毒专杀工具 http://it.rising.com.cn/service/technology/RS_Redlof_download.htm

红色结束符(Redlof)病毒专杀工具 1.1 http://www.onlinedown.net/soft/6211.htm

• 饱参
• 饱合化合物
• 饱呃
• 饱和
• 饱和十八碳酰胺
• 饱和土
• 饱和式蒸汽机车
• 饱和效应
• 饱和聚酯树脂
• 饱和蒸气
• 饱和蒸气(热学)
• 饱和蒸汽压
• 饱和蒸汽轮机
• 饱和酚
• 饱嗅
• 饱嗝儿
• 饱尝
• 饱扬
• 饱暖
• 饱汉不知饿汉饥
• 饱病
• 饱看
• 饱禄
• 饱腹
• 饱膈