“VBS.Redlof.A”的意思、由来-中文百科全书

基本信息

发现：2002年4月16日

更新：2007年2月13日 11:39:26 AM

别名：VBS/Redlof@M [McAfee], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos]

类型：Virus

感染长度：varies

HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒，会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\\System\\Kernel.dll 或 %windir%\\System\\Kernel32.dll，这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。

受感染的系统

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

防护

* 病毒定义（每周 LiveUpdate™） 2002年4月17日

* 病毒定义（智能更新程序） 2002年4月16日

威胁评估

广度

* 广度级别： Medium

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

* 有效负载： Will be inserted into all new email messages created by a user of an infected computer.

* 修改文件： Infects .html, .htm, .asp, .php, .jsp, and .vbs files.

分发

* 分发级别： Low

* 感染目标： .html, .htm, .asp, .php, .jsp, and .vbs files.

HTML.Redlof.A 运行时会执行下列操作：

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一，这取决于 Windows System 文件夹的位置：

o %windir%\\System\\Kernel.dll

o %windir%\\System\\Kernel32.dll

注意：%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行：

1. 验证注册表键

HKEY_CLASSES_ROOT\\.dll

的（默认）值是否为

dllfile

2. 对于注册表键

HKEY_CLASSES_ROOT\\.dll

病毒验证

Content Type

的值是否为

application/x-msdownload

3. 在注册表键

HKEY_CLASSES_ROOT\\dllFile

中，病毒更改下列子键值：

+ DefaultIcon

更改为与注册表键

HKEY_CLASSES_ROOT\\vxdfile 下的 DefaultIcon 子键值相同

+ 添加子键 ScriptEngine

并将其值更改为

VBScript

+ 添加子键 ScriptHostEncode

并将其值更改为

{85131631-480C-11D2-B1F9-00C04F86C324}

4. 在注册表键

HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\

中，病毒添加（默认）值

"%windir%\\WScript.exe ""%1"" %*"

或

"%windir%\\System32\\WScript.exe ""%1"" %*"

5. 在注册表键

HKEY_CLASSES_ROOT\\dllFile\\ShellEx\\PropertySheetHandlers\\WSHProps

中，病毒将（默认）值设置为

{60254CA5-953B-11CF-8C96-00AA00B8708C}

病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件，然后感染这些文件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播：

1. 它将自身复制到 C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\Blank.htm，如果此文件已存在，则将自身追加到此文件中。

2. 然后，将 Outlook Express 设置为默认使用该信笺。为完成此操作，病毒在注册表键

HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail

中，将Compose Use Stationery的值设置为 1。

3. 然后，如果以下值不存在，病毒将创建该值，并为其指定以下值数据：

+ 在注册表键

HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail

中，将Stationery Name的值数据更改为

C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\blank.htm

+ 在注册表键

HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail

中，病毒将

Wide Stationery Name

的值数据更改为

C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\blank.htm

4. 在注册表键

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail

中，病毒将

EditorPreference

的值数据设置为

131072

5. 接下来，如果下列值不存在，病毒将创建该值，并将其设置为“空”：

+ 值：

001e0360

位于以下注册表键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046

+ 值：

001e0360

位于以下注册表键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046

+ 值：

NewStationery

位于以下注册表键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Common\\MailSettings

6. 在注册表键

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Outlook\\Options\\Mail\\EditorPreference

中，病毒将

EditorPreference

的值设置为

131072

7. 最后，在注册表键

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

中，病毒添加值

Kernel32

并将其设置为

SYSTEM\\Kernel32.dll 或 SYSTEM\\Kernel.dll

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

注意

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 运行完整的系统扫描，并删除所有被检测为 HTML.Redlof.A 的文件。

3. 撤消病毒对注册表所做的更改。

有关如何完成这些操作的详细信息，请参阅下列指导。

更新病毒定义

所有病毒定义在发布至我们的服务器之前，都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。必须从 Symantec 安全响应中心网站下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent Updater 病毒定义，请单击这里。

扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品：请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 HTML.Redlof.A，请单击“删除”。然后以干净的备份替换被删除的文件，或者重新安装这些文件。

撤消病毒对注册表所做的更改

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。将出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。

3. 导航至键

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值

Kernel32

5. 导航至键

HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail

6. 在右窗格中，删除值

Compose Use Stationery

Stationery Name

Wide Stationery Name

7. 导航至键

HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail

8. 在右窗格中，删除值

EditorPreference

9. 导航至下列子键并将其删除：

HKEY_CLASSES_ROOT\\dllFile\\Shell

HKEY_CLASSES_ROOT\\dllFile\\ShellEx

HKEY_CLASSES_ROOT\\dllFile\\ScriptEngine

HKEY_CLASSES_ROOT\\dllFile\\ScriptHostEncode

10. 退出“注册表编辑器”。

描述者： Andre Post

词条	VBS.Redlof.A
释义	VBS.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒，会感染所有驱动器上的.html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\\System\\Kernel.dll 或 %windir%\\System\\Kernel32.dll。它会更改 .dll 文件的默认关联。该病毒在2002年4月16日发现。基本信息简介受感染的系统防护威胁评估(广度损坏分发) 建议(注意更新病毒定义扫描和删除受感染文件撤消病毒对注册表所做的更改) 基本信息发现：2002年4月16日更新：2007年2月13日 11:39:26 AM 别名：VBS/Redlof@M [McAfee], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos] 类型：Virus 感染长度：varies 简介 HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒，会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\\System\\Kernel.dll 或 %windir%\\System\\Kernel32.dll，这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。受感染的系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 防护 * 病毒定义（每周 LiveUpdate™） 2002年4月17日 * 病毒定义（智能更新程序） 2002年4月16日威胁评估广度 * 广度级别： Medium * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Medium * 威胁抑制： Easy * 清除： Moderate 损坏 * 损坏级别： Low * 有效负载： Will be inserted into all new email messages created by a user of an infected computer. * 修改文件： Infects .html, .htm, .asp, .php, .jsp, and .vbs files. 分发 * 分发级别： Low * 感染目标： .html, .htm, .asp, .php, .jsp, and .vbs files. HTML.Redlof.A 运行时会执行下列操作：将自己的病毒体解密并执行它。病毒会将自身复制为下列文件之一，这取决于 Windows System 文件夹的位置： o %windir%\\System\\Kernel.dll o %windir%\\System\\Kernel32.dll 注意：%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行： 1. 验证注册表键 HKEY_CLASSES_ROOT\\.dll 的（默认）值是否为 dllfile 2. 对于注册表键 HKEY_CLASSES_ROOT\\.dll 病毒验证 Content Type 的值是否为 application/x-msdownload 3. 在注册表键 HKEY_CLASSES_ROOT\\dllFile 中，病毒更改下列子键值： + DefaultIcon 更改为与注册表键 HKEY_CLASSES_ROOT\\vxdfile 下的 DefaultIcon 子键值相同 + 添加子键 ScriptEngine 并将其值更改为 VBScript + 添加子键 ScriptHostEncode 并将其值更改为 {85131631-480C-11D2-B1F9-00C04F86C324} 4. 在注册表键 HKEY_CLASSES_ROOT\\dllFile\\Shell\\Open\\Command\\ 中，病毒添加（默认）值 "%windir%\\WScript.exe ""%1"" %" 或 "%windir%\\System32\\WScript.exe ""%1"" %" 5. 在注册表键 HKEY_CLASSES_ROOT\\dllFile\\ShellEx\\PropertySheetHandlers\\WSHProps 中，病毒将（默认）值设置为 {60254CA5-953B-11CF-8C96-00AA00B8708C} 病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件，然后感染这些文件。 HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播： 1. 它将自身复制到 C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\Blank.htm，如果此文件已存在，则将自身追加到此文件中。 2. 然后，将 Outlook Express 设置为默认使用该信笺。为完成此操作，病毒在注册表键 HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail 中，将Compose Use Stationery的值设置为 1。 3. 然后，如果以下值不存在，病毒将创建该值，并为其指定以下值数据： + 在注册表键 HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail 中，将Stationery Name的值数据更改为 C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\blank.htm + 在注册表键 HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail 中，病毒将 Wide Stationery Name 的值数据更改为 C:\\Program Files\\Common Files\\Microsoft Shared\\Stationery\\blank.htm 4. 在注册表键 HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail 中，病毒将 EditorPreference 的值数据设置为 131072 5. 接下来，如果下列值不存在，病毒将创建该值，并将其设置为“空”： + 值： 001e0360 位于以下注册表键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046 + 值： 001e0360 位于以下注册表键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Microsoft Outlook Internet Settings\\0a0d020000000000c000000000000046 + 值： NewStationery 位于以下注册表键： HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Common\\MailSettings 6. 在注册表键 HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Outlook\\Options\\Mail\\EditorPreference 中，病毒将 EditorPreference 的值设置为 131072 7. 最后，在注册表键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中，病毒添加值 Kernel32 并将其设置为 SYSTEM\\Kernel32.dll 或 SYSTEM\\Kernel.dll 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。注意以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 1. 更新病毒定义。 2. 运行完整的系统扫描，并删除所有被检测为 HTML.Redlof.A 的文件。 3. 撤消病毒对注册表所做的更改。有关如何完成这些操作的详细信息，请参阅下列指导。更新病毒定义所有病毒定义在发布至我们的服务器之前，都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义： o 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。 o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。必须从 Symantec 安全响应中心网站下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent Updater 病毒定义，请单击这里。扫描和删除受感染文件 1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。 o 赛门铁克企业版防病毒产品：请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了 HTML.Redlof.A，请单击“删除”。然后以干净的备份替换被删除的文件，或者重新安装这些文件。撤消病毒对注册表所做的更改警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。将出现“运行”对话框。 2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。 3. 导航至键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除值 Kernel32 5. 导航至键 HKEY_CURRENT_USER\\Identities\\[Default Use ID]\\Software\\Microsoft\\Outlook Express\\[Outlook Version].0\\Mail 6. 在右窗格中，删除值 Compose Use Stationery Stationery Name Wide Stationery Name 7. 导航至键 HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail 8. 在右窗格中，删除值 EditorPreference 9. 导航至下列子键并将其删除： HKEY_CLASSES_ROOT\\dllFile\\Shell HKEY_CLASSES_ROOT\\dllFile\\ShellEx HKEY_CLASSES_ROOT\\dllFile\\ScriptEngine HKEY_CLASSES_ROOT\\dllFile\\ScriptHostEncode 10. 退出“注册表编辑器”。描述者： Andre Post
随便看	方家河村方家后厂村方家咀乡方家栏方家妮方家坡村方家铺子方家桥方家桥村方家山方家山核电站方家书画院方家屯镇方家坞站方家悟方家小学方家熊方家以磁石方家营村方家营乡方家寨村方家寨自然村方家站方家镇方家镇东小陵村