“VBS/Redlof.a”的意思、由来-中文百科全书

简介

VBS/Redlof.a

病毒长度：变长

病毒类型：VBScript

危害等级：**

影响平台：Win3.x/9X/2000/XP/NT/Me

VBS/Redlof.a是一个多形态的并经过加密的VBScript，感染.html, .htm, .asp, .php, .jsp, .vbs类型的文件。它会复制自身为%System%\\\\Kernel.dll或%System%\\\\Kernel32.dll中的任意一个，此外还改变.dll文件关联默认值。

传播过程及特征

1.复制自身为，下列之一：

%System%\\Kernel.dll

%System%\\Kernel32.dll

2.在所有驱动器上搜索.html, .htm, .asp, .php, .jsp, .vbs类型的文件并进行感染。

3.复制自身为：%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\Blank.htm ，如果Blank.htm已存在便将自身附加到此文件。

4.修改注册表：

/首先核实一下HKEY_CLASSES_ROOT\\.dll下的键值是否为：

"default" = "dllfile"

"Content Type" = "application/x-msdownload"

/在注册表HKEY_CLASSES_ROOT\\dllFile下：

修改键值为："DefaultIcon" = " %SystemRoot%\\System32\\shell32.dll,-154"

添加子键："ScriptEngine" = "VBScript"

添加子键："ScriptHostEncode" ="{85131631-480C-11D2-B1F9-00C04F86C324}"

/生成子键HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\且其值为下列之一：

"default" = "%windir%\\WScript.exe ""%1"" %*"

"default" = "%System32%\\WScript.exe ""%1"" %*"

/修改HKEY_CLASSES_ROOT\\dllFile\\ShellEx\\PropertySheetHandlers\\WSHProps下的键值：

"Default" = {60254CA5-953B-11CF-8C96-00AA00B8708C}

/HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail下生成子键：

"Compose Use Stationery" = "1"

"Stationery Name" = "%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\blank.htm"

"Wide Stationery Name" = "%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\blank.htm"

/HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail下添加：

"EditorPreference" = "131072"

/HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles

\\Microsoft Outlook Internet Settings\\

0a0d020000000000c000000000000046下生成："blank"

= "001e0360"/HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows NT\\CurrentVersion\\Windows Messaging

Subsystem\\Profiles\\Microsoft OutlookInternet

Settings\\0a0d020000000000c000000000000046下生

成："blank" = "001e0360"

/HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\

10.0\\Common\\MailSettings下生成："blank" = "NewStationery"

/HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0

\\Outlook\\Options\\Mail\\EditorPreference下添加：

"EditorPreference" = "131072"

/HKEY_LOCAL_MACHINE\\

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添

加：

"Kernel32" = "%System%\\Kernel32.dll"或"Kernel32"

= "%System%\\Kernel.dll"

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。

词条	VBS/Redlof.a
释义	简介传播过程及特征简介 VBS/Redlof.a 病毒长度：变长病毒类型：VBScript 危害等级：** 影响平台：Win3.x/9X/2000/XP/NT/Me VBS/Redlof.a是一个多形态的并经过加密的VBScript，感染.html, .htm, .asp, .php, .jsp, .vbs类型的文件。它会复制自身为%System%\\\\Kernel.dll或%System%\\\\Kernel32.dll中的任意一个，此外还改变.dll文件关联默认值。传播过程及特征 1.复制自身为，下列之一： %System%\\Kernel.dll %System%\\Kernel32.dll 2.在所有驱动器上搜索.html, .htm, .asp, .php, .jsp, .vbs类型的文件并进行感染。 3.复制自身为：%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\Blank.htm ，如果Blank.htm已存在便将自身附加到此文件。 4.修改注册表： /首先核实一下HKEY_CLASSES_ROOT\\.dll下的键值是否为： "default" = "dllfile" "Content Type" = "application/x-msdownload" /在注册表HKEY_CLASSES_ROOT\\dllFile下：修改键值为："DefaultIcon" = " %SystemRoot%\\System32\\shell32.dll,-154" 添加子键："ScriptEngine" = "VBScript" 添加子键："ScriptHostEncode" ="{85131631-480C-11D2-B1F9-00C04F86C324}" /生成子键HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\且其值为下列之一： "default" = "%windir%\\WScript.exe ""%1"" %" "default" = "%System32%\\WScript.exe ""%1"" %" /修改HKEY_CLASSES_ROOT\\dllFile\\ShellEx\\PropertySheetHandlers\\WSHProps下的键值： "Default" = {60254CA5-953B-11CF-8C96-00AA00B8708C} /HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail下生成子键： "Compose Use Stationery" = "1" "Stationery Name" = "%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\blank.htm" "Wide Stationery Name" = "%Program Files%\\Common Files\\Microsoft Shared\\Stationery\\blank.htm" /HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail下添加： "EditorPreference" = "131072" /HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles \\Microsoft Outlook Internet Settings\\ 0a0d020000000000c000000000000046下生成："blank" = "001e0360"/HKEY_CURRENT_USER\\Software\\Microsoft \\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft OutlookInternet Settings\\0a0d020000000000c000000000000046下生成："blank" = "001e0360" /HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\ 10.0\\Common\\MailSettings下生成："blank" = "NewStationery" /HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0 \\Outlook\\Options\\Mail\\EditorPreference下添加： "EditorPreference" = "131072" /HKEY_LOCAL_MACHINE\\ SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加： "Kernel32" = "%System%\\Kernel32.dll"或"Kernel32" = "%System%\\Kernel.dll" 注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt； %System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。
随便看	黄土重力侵蚀黄土状土黄土岘社区黄土崾岘黄土铍浓度记录黄颓驴黄腿鸽黄腿骨顶黄腿山蛙黄腿食蚜蝇黄腿穴（共鸟）黄腿穴(共鸟) 黄屯老街黄屯乡黄屯中心小学黄屯中学黄屯自然村黄臀孤莺黄臀摄蜜鸟黄臀象鼩黄臀啄木鸟黄脱黄驮山村黄洼瓣花黄洼村