基本介紹
病毒介紹,傳播方法,發作現象,解決方案,手動清除方法,變種介紹,相關媒體報導,注意,
病毒介紹
傳播方法
首先,RedLof將感染"Program Files\Common Files\Microsoft Shared\Stationery\"目錄中的Blank.htm,如果不存在則建立此檔案。 為了便於通過outlook傳染,病毒更改了如下的註冊表鍵值:HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Compose Use Stationery = "1"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Stationery Name = "blank.htm"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm"
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank"
當(用戶/系統)從HKEY_CURRENT_USER\Identities\Default User ID讀取User ID時,病毒將更改.dll後綴的檔案以便運行病毒腳本,而且病毒將建立一個vbs腳本檔案Kernel.dll在windows目錄中。
更改的相關註冊表鍵值如下:
HKEY_CLASSES_ROOT\.dll\ = "dllfile" |
HKEY_CLASSES_ROOT\.dll\Content Type = "application/x-msdownload" |
HKEY_CLASSES_ROOT\dllfile\DefaultIcon\ = "HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\" |
HKEY_CLASSES_ROOT\dllfile\ScriptEngine\ = "VBScript" |
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ = "Windows\System\WScript.exe ""%1"" %*" |
而且更改windows啟動時的相關內容:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 |
Redlof還會感染Windows\Web目錄下的folder.htt檔案,並將此染毒檔案拷貝到desktop.ini指向的目錄中。由於folder.htt是Windows Explorer瀏覽檔案時卻省打開的檔案,因此當用戶瀏覽檔案時病毒代碼便會被執行。
Redlof病毒會感染如下後綴名的檔案:
發作現象
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很
有可能中了此病毒:
二、病毒會在感染資料夾時,產生兩個病毒檔案:desktop.ini和folder.htt。
三、該病毒會使計算機運行速度變慢。
解決方案
1、用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“紅色結束符”(Script.RedLof.htm)
RedLof病毒
病毒,用戶可以將病毒檔案直接刪除來消除病毒的影響,但如果想徹底地清除此病毒,最好還是用《瑞星防毒軟體2003版》的最新版本進行徹底清除。
3、在Windows作業系統環境下,要打開檔案監控功能,先查殺記憶體然後在查殺所有硬碟檔案。
4、在殺完毒之後應立即重新啟動計算機。
5、如果用戶在Windows作業系統環境下不能完全地清除此病毒,請到純DOS操作環境下進行防毒,將此病毒全部清除掉。
手動清除方法
1:用查找檔案的方式找到kernel.dll這個檔案,刪除.用regedit打開註冊表,查找所
有調用kernel.dll檔案的鍵值,刪.
2:用檔案查找方式找到所有folder.htt檔案,刪掉大小為23K的檔案,和相應目錄下的desktop.ini檔案,其中c:/windows/web下的那個folder.htt不要刪,從別的機子上拷貝乾淨的folder.htt到自己的機子,用記事本打開,複製裡面的代碼,到感染了病毒的folder.htt檔案,保存即可.
3:最後重啟機子,打開我的電腦,隨便用WEB放式打開幾個資料夾,看是否會自動生成folder.htt和desktop.ini兩個檔案,(有的機子只生成fold.htt一個檔案),注意這兩個檔案為隱藏檔案,要在檔案選項里,設定為"顯示所有檔案",如沒有,病毒以清除.
變種介紹
1、Script.RedLof.Htm.e
破壞方法:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd,感染%WINDOWS%\\web\\Folder.htt.
RedLof病毒
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.
2、Script.RedLof.Head.e
破壞方法:
RedLof病毒的變種,擁有極強的變形功能.病毒將自己的代碼隨機組合,全部的關鍵代碼一律變形. 對系統的破壞如下:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
1)如果當前資料夾沒有folder.htt或Desktop.ini,則感染整個資料夾的htm,html,asp,php,jsp,vbs檔案.
2)在當前資料夾添加兩個隱藏檔案:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重複感染.發現檔案中包含Execute,則認為已經感染.
三,對註冊表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
3)修改OutLook的默認頁設定,指向病毒.
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.
3、Script.RedLof.Vbs.e
破壞方法:
RedLof病毒的變種,擁有極強的變形功能.病毒將自己的代碼隨機組合,全部的關鍵代碼一律變 對系統的破壞如下:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
二,病毒從後向前枚舉用戶磁碟盤符.每次感染五個路徑.
1)如果當前資料夾沒有folder.htt或Desktop.ini,則感染整個資料夾的htm,html,asp,php,jsp,vbs檔案.
2)在當前資料夾添加兩個隱藏檔案:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重複感染.發現檔案中包含Execute(\",則認為已經感染.
三,對註冊表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32, 值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
3)修改OutLook的默認頁設定,指向病毒.
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.
相關媒體報導
用戶需警惕新郵件病毒“RedLof”
2002年,一個名為RedLof的病毒正在以較強的蔓延性廣為傳播,據介紹:RedLof是一個具有加密、多變屬性的病毒,主要通過Microsoft的Outlook和Outlook EXpress郵件系統傳播,是近段時期相對較為活躍的病毒之一,同時也具有較高的破壞性。
據了解,RedLof病毒首先將感染Program Files\Common Files\Microsoft shared\Stationery\"目錄中的Blank.htm,如果不存在則建立此檔案。同時, 為了便於通過outlook傳染,病毒會更改註冊表鍵值,這樣,感染病毒的blank檔案就成為outlook預設使用的模版檔案。
當(用戶/系統)從HKEY_CURRENT_USER\Identities\Default User ID讀取User ID時,病毒將更改.dll後綴的檔案
RedLof病毒
以便運行病毒腳本,而且病毒將建立一個vbs腳本檔案Kernel.dll在windows目錄中。
此外,Redlof還會感染Windows\Web目錄下的folder.htt檔案,並將此染毒檔案拷貝到desktop.ini指向的目錄中。由於folder.htt是Windows Explorer瀏覽檔案時卻省打開的檔案,因此當用戶瀏覽檔案時病毒代碼便會被執行。
“紅色結束符Ⅱ”死灰復燃
2002年六月在網上瘋狂傳播的“紅色結束符”,歷經半年的潛遁,於2003年死灰復燃,並被瑞星全球反病毒監測網截獲。“紅色結束符Ⅱ”(Script.Redlof.d)病毒的撰寫者對紅色結束符病毒進行了一次完全的改版,傳播速度更快、危害程度更高。
該病毒運行後會感染機器中的大量網頁類型檔案,並在電腦的所有資料夾中都放入兩個隱藏的病毒體,因此變得更為詭秘:用戶不用雙擊該病毒體,只要觀看被感染的目錄,病毒便可運行。
“紅色結束符Ⅱ”(Script.Redlof.d)病毒的新特性:
一、植入更新的變形引擎,變形更加厲害。
該病毒會將自己的代碼隨機組合,全部的關鍵代碼一律變形,變形更加厲害,更加難以查殺。
三、尋找OUTLOOK,進行郵件傳播。
注意
該病毒還會瘋狂感染資料夾,會在感染的資料夾下產生兩個檔案,一個名為:desktop.ini的目錄配置檔案,一個名為:folder.htt的病毒體檔案,當用戶雙擊滑鼠進入被感染的資料夾時,病毒就會被激活