词条 | RedLof病毒 |
释义 | 它感染脚本类型的文件,运行时,全盘查找脚本类型的文件(vbs,htm,html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。该病毒还会疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,由于病毒每激活一次,就会在内存中复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,造成计算机运行速度越来越慢,而且该病毒还会随着信件模板,进行网络传播。 简介病毒名称:Script.RedLof.h tm 病毒别名:红色结束符 病毒类型:脚本病毒 发作时间:随机 传播方式:网络/文件 感染对象:文件 警惕程度:★★★★ 传播方法RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。 首先,RedLof将感染"Program Files\\Common Files\\Microsoft Shared\\Stationery\\"目录中的Blank.htm,如果不存在则建立此文件。 为了便于通过outlook传染,病毒更改了如下的注册表键值: HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Compose Use Stationery = "1" HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Stationery Name = "blank.htm" HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Wide Stationery Name" = "blank.htm" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank" HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Common\\MailSettings\ewStationery","blank" 这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。 当(用户/系统)从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。 更改的相关注册表键值如下: HKEY_CLASSES_ROOT\\.dll\\ = "dllfile" HKEY_CLASSES_ROOT\\.dll\\Content Type = "application/x-msdownload" HKEY_CLASSES_ROOT\\dllfile\\DefaultIcon\\ = "HKEY_CLASSES_ROOT\\vxdfile\\DefaultIcon\\" HKEY_CLASSES_ROOT\\dllfile\\ScriptEngine\\ = "VBScript" HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\ = "Windows\\System\\WScript.exe ""%1"" %*" 而且更改windows启动时的相关内容: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32 Redlof还会感染Windows\\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。 Redlof病毒会感染如下后缀名的文件: .HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。发作现象以及解决方案 发作现象:此病毒会有如下特征,如果用户发现计算机中有这些特征,则很 有可能中了此病毒: 一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。 二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。 三、该病毒会使计算机运行速度变慢。 解决方案:1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm) RedLof病毒 病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是用《瑞星杀毒软件2003版》的最新版本进行彻底清除。 2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。 3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。 4、在杀完毒之后应立即重新启动计算机。 5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。 手动清除方法1:用查找文件的方式找到kernel.dll这个文件,删除.用regedit打开注册表,查找所 有调用kernel.dll文件的键值,删. 2:用文件查找方式找到所有folder.htt文件,删掉大小为23K的文件,和相应目录下的desktop.ini文件,其中c:/windows/web下的那个folder.htt不要删,从别的机子上拷贝干净的folder.htt到自己的机子,用记事本打开,复制里面的代码,到感染了病毒的folder.htt文件,保存即可. 3:最后重启机子,打开我的电脑,随便用WEB放式打开几个文件夹,看是否会自动生成folder.htt和desktop.ini两个文件,(有的机子只生成fold.htt一个文件),注意这两个文件为隐藏文件,要在文件选项里,设置为"显示所有文件",如没有,病毒以清除. 变种介绍Script.RedLof.Htm.e破坏方法: 此病毒是RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.感染该病毒的机器在浏览文件夹时会变慢. 对系统的破坏如下: 一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd,感染%WINDOWS%\\\\web\\\\Folder.htt. 二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径. 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件. 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒. 3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染. RedLof病毒 三,对注册表的修改: 1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll 2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键 3)修改OutLook的默认页设置,指向病毒. 传播方法: 感染该病毒的机器在浏览文件夹时会变慢. Script.RedLof.Head.e破坏方法: RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形. 对系统的破坏如下: 一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt. 二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径. 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件. 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒. 3)病毒不重复感染.发现文件中包含Execute,则认为已经感染. 三,对注册表的修改 1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll 2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键 3)修改OutLook的默认页设置,指向病毒. 传播方法: 感染该病毒的机器在浏览文件夹时会变慢. Script.RedLof.Vbs.e破坏方法: RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变 对系统的破坏如下: 一,将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt. 二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径. 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件. 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒. 3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染. 三,对注册表的修改 1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32, 值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll 2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键 3)修改OutLook的默认页设置,指向病毒. 传播方法: 感染该病毒的机器在浏览文件夹时会变慢. 相关媒体报道用户需警惕新邮件病毒“RedLof” 2002年,一个名为RedLof的病毒正在以较强的蔓延性广为传播,据介绍:RedLof是一个具有加密、多变属性的病毒,主要通过Microsoft的Outlook和Outlook EXpress邮件系统传播,是近段时期相对较为活跃的病毒之一,同时也具有较高的破坏性。 据了解,RedLof病毒首先将感染Program Files\\Common Files\\Microsoft shared\\Stationery\\"目录中的Blank.htm,如果不存在则建立此文件。同时, 为了便于通过outlook传染,病毒会更改注册表键值,这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。 当(用户/系统)从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时,病毒将更改.dll后缀的文件 RedLof病毒 以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。 此外,Redlof还会感染Windows\\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。 “红色结束符II”死灰复燃 2002年六月在网上疯狂传播的“红色结束符”,历经半年的潜遁,于2003年死灰复燃,并被瑞星全球反病毒监测网截获。“红色结束符II”(Script.Redlof.d)病毒的撰写者对红色结束符病毒进行了一次完全的改版,传播速度更快、危害程度更高。 该病毒运行后会感染机器中的大量网页类型文件,并在电脑的所有文件夹中都放入两个隐藏的病毒体,因此变得更为诡秘:用户不用双击该病毒体,只要观看被感染的目录,病毒便可运行。 病毒大量运行并进行交互感染,会消耗大量的系统资源,最终甚至会导致计算机系统崩溃。这时即使是杀毒软件也没有资源运行,有鉴于此,用户应该升级最新病毒库,打开实时监控,以防为主。 “红色结束符II”(Script.Redlof.d)病毒的新特性: 一、植入更新的变形引擎,变形更加厉害。 该病毒会将自己的代码随机组合,全部的关键代码一律变形,变形更加厉害,更加难以查杀。 二、不重复感染,感染速度更加迅速 该病毒用字符串“Execute("”来进行重复感染判断,如果发现被感染的文件中含有该字符串,则不进行重复感染,大大增加了病毒感染速度。 三、寻找OUTLOOK, 进行邮件传播。 该病毒会寻找OUTLOOK和OUTLOOK EXPRESS系统,发现后会将自身加入其中,通过邮件向外播扩散,另外该病毒还会感染信纸,喜欢使用信纸的用户会不知不觉发将病毒传播出去。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。