请输入您要查询的百科知识:

 

词条 RedLof病毒
释义

它感染脚本类型的文件,运行时,全盘查找脚本类型的文件(vbs,htm,html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。该病毒还会疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,由于病毒每激活一次,就会在内存中复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,造成计算机运行速度越来越慢,而且该病毒还会随着信件模板,进行网络传播。

简介

病毒名称:Script.RedLof.h

tm

病毒别名:红色结束符

病毒类型:脚本病毒

发作时间:随机

传播方式:网络/文件

感染对象:文件

警惕程度:★★★★

传播方法

RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。

首先,RedLof将感染"Program Files\\Common Files\\Microsoft Shared\\Stationery\\"目录中的Blank.htm,如果不存在则建立此文件。

为了便于通过outlook传染,病毒更改了如下的注册表键值:

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Compose Use Stationery = "1"

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Stationery Name = "blank.htm"

HKEY_CURRENT_USER\\Identities\\"&DefaultId&"\\Software\\Microsoft\\Outlook Express\\(User ID)\\Mail\\Wide Stationery Name" = "blank.htm"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046\\001e0360","blank"

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Common\\MailSettings\ewStationery","blank"

这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。

当(用户/系统)从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。

更改的相关注册表键值如下:

HKEY_CLASSES_ROOT\\.dll\\ = "dllfile"

HKEY_CLASSES_ROOT\\.dll\\Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\\dllfile\\DefaultIcon\\ = "HKEY_CLASSES_ROOT\\vxdfile\\DefaultIcon\\"

HKEY_CLASSES_ROOT\\dllfile\\ScriptEngine\\ = "VBScript"

HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\ = "Windows\\System\\WScript.exe ""%1"" %*"

而且更改windows启动时的相关内容:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32

Redlof还会感染Windows\\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。

Redlof病毒会感染如下后缀名的文件:

.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。发作现象以及解决方案

发作现象:

此病毒会有如下特征,如果用户发现计算机中有这些特征,则很

有可能中了此病毒:

一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。

二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。

三、该病毒会使计算机运行速度变慢。

解决方案:

1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)

RedLof病毒

病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是用《瑞星杀毒软件2003版》的最新版本进行彻底清除。

2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。

3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。

4、在杀完毒之后应立即重新启动计算机。

5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。

手动清除方法

1:用查找文件的方式找到kernel.dll这个文件,删除.用regedit打开注册表,查找所

有调用kernel.dll文件的键值,删.

2:用文件查找方式找到所有folder.htt文件,删掉大小为23K的文件,和相应目录下的desktop.ini文件,其中c:/windows/web下的那个folder.htt不要删,从别的机子上拷贝干净的folder.htt到自己的机子,用记事本打开,复制里面的代码,到感染了病毒的folder.htt文件,保存即可.

3:最后重启机子,打开我的电脑,随便用WEB放式打开几个文件夹,看是否会自动生成folder.htt和desktop.ini两个文件,(有的机子只生成fold.htt一个文件),注意这两个文件为隐藏文件,要在文件选项里,设置为"显示所有文件",如没有,病毒以清除.

变种介绍

Script.RedLof.Htm.e

破坏方法:

此病毒是RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.感染该病毒的机器在浏览文件夹时会变慢. 对系统的破坏如下:

一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd,感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染.

RedLof病毒

三,对注册表的修改:

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法:

感染该病毒的机器在浏览文件夹时会变慢.

Script.RedLof.Head.e

破坏方法:

RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形. 对系统的破坏如下:

一, 将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini 保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute,则认为已经感染.

三,对注册表的修改

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32,值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法:

感染该病毒的机器在浏览文件夹时会变慢.

Script.RedLof.Vbs.e

破坏方法:

RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变 对系统的破坏如下:

一,将%WINDOWS%\\\\web\\\\Folder.htt 保存到%WINDOWS%\\\\system32\\\\setup.txt和%WINDOWS%\\\\system32\\\\desktop.ini保存到%WINDOWS%\\\\system32\\\\inet.vxd.感染%WINDOWS%\\\\web\\\\Folder.htt.

二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.

1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.

2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.

3)病毒不重复感染.发现文件中包含Execute(\\",则认为已经感染.

三,对注册表的修改

1)HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Kernel32, 值为%windows%\\\\SYSTEM\\\\Kernel.dll或%windows%\\\\SYSTEM\\\\Kernel32.dll

2)修改\\"HKEY_CLASSES_ROOT\\\\.dll\\"和\\"HKEY_CLASSES_ROOT\\\\dllfile\\"的系列子键

3)修改OutLook的默认页设置,指向病毒.

传播方法:

感染该病毒的机器在浏览文件夹时会变慢.

相关媒体报道

用户需警惕新邮件病毒“RedLof”

2002年,一个名为RedLof的病毒正在以较强的蔓延性广为传播,据介绍:RedLof是一个具有加密、多变属性的病毒,主要通过Microsoft的Outlook和Outlook EXpress邮件系统传播,是近段时期相对较为活跃的病毒之一,同时也具有较高的破坏性。

据了解,RedLof病毒首先将感染Program Files\\Common Files\\Microsoft shared\\Stationery\\"目录中的Blank.htm,如果不存在则建立此文件。同时, 为了便于通过outlook传染,病毒会更改注册表键值,这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。

当(用户/系统)从HKEY_CURRENT_USER\\Identities\\Default User ID读取User ID时,病毒将更改.dll后缀的文件

RedLof病毒

以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。

此外,Redlof还会感染Windows\\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。

“红色结束符II”死灰复燃

2002年六月在网上疯狂传播的“红色结束符”,历经半年的潜遁,于2003年死灰复燃,并被瑞星全球反病毒监测网截获。“红色结束符II”(Script.Redlof.d)病毒的撰写者对红色结束符病毒进行了一次完全的改版,传播速度更快、危害程度更高。

该病毒运行后会感染机器中的大量网页类型文件,并在电脑的所有文件夹中都放入两个隐藏的病毒体,因此变得更为诡秘:用户不用双击该病毒体,只要观看被感染的目录,病毒便可运行。

病毒大量运行并进行交互感染,会消耗大量的系统资源,最终甚至会导致计算机系统崩溃。这时即使是杀毒软件也没有资源运行,有鉴于此,用户应该升级最新病毒库,打开实时监控,以防为主。

“红色结束符II”(Script.Redlof.d)病毒的新特性:

一、植入更新的变形引擎,变形更加厉害。

该病毒会将自己的代码随机组合,全部的关键代码一律变形,变形更加厉害,更加难以查杀。

二、不重复感染,感染速度更加迅速

该病毒用字符串“Execute("”来进行重复感染判断,如果发现被感染的文件中含有该字符串,则不进行重复感染,大大增加了病毒感染速度。

三、寻找OUTLOOK, 进行邮件传播。

该病毒会寻找OUTLOOK和OUTLOOK EXPRESS系统,发现后会将自身加入其中,通过邮件向外播扩散,另外该病毒还会感染信纸,喜欢使用信纸的用户会不知不觉发将病毒传播出去。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 20:58:42