RedLof病毒

感染腳本類型的檔案,運行時,全盤查找腳本類型的檔案(vbs,htm,html等),如果找到,則將病毒自身加入這些檔案的尾部,完成感染。該病毒還會瘋狂感染資料夾,會在感染的資料夾下產生兩個檔案,一個名為:desktop.ini的目錄配置檔案,一個名為:folder.htt的病毒體檔案,當用戶雙擊滑鼠進入被感染的資料夾時,病毒就會被激活,由於病毒每激活一次,就會在記憶體中複製一次,所以當用戶多次進入被感染的資料夾時,病毒就會大量進入記憶體,造成計算機運行速度越來越慢,而且該病毒還會隨著信件模板,進行網路傳播。

基本介紹

  • 中文名:RedLof病毒
  • 外文名:Script.RedLof.htm
  • 別名:紅色結束符
  • 類型腳本病毒
  • 發作時間:隨機
  • 傳播方式:網路/檔案
  • 感染對象檔案
  • 警惕程度:★★★★
病毒介紹,傳播方法,發作現象,解決方案,手動清除方法,變種介紹,相關媒體報導,注意,

病毒介紹

感染腳本類型的檔案,運行時,全盤查找腳本類型的檔案(vbs,htm,html等),如果找到,則將病毒自身加入這些檔案的尾部,完成感染。

傳播方法

RedLof是一個具有加密、多變屬性的病毒。它通過MicrosoftOutlookOutlook EXpress郵件系統傳播。
首先,RedLof將感染"Program Files\Common Files\Microsoft Shared\Stationery\"目錄中的Blank.htm,如果不存在則建立此檔案。  為了便於通過outlook傳染,病毒更改了如下的註冊表鍵值:HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Compose Use Stationery = "1"
RedLof病毒RedLof病毒
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Stationery Name = "blank.htm"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm"
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank"
這樣,感染病毒的blank檔案就成為outlook預設使用的模版檔案。
當(用戶/系統)從HKEY_CURRENT_USER\Identities\Default User ID讀取User ID時,病毒將更改.dll後綴的檔案以便運行病毒腳本,而且病毒將建立一個vbs腳本檔案Kernel.dll在windows目錄中。
更改的相關註冊表鍵值如下:
HKEY_CLASSES_ROOT\.dll\ = "dllfile"
HKEY_CLASSES_ROOT\.dll\Content Type = "application/x-msdownload"
HKEY_CLASSES_ROOT\dllfile\DefaultIcon\ = "HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\"
HKEY_CLASSES_ROOT\dllfile\ScriptEngine\ = "VBScript"
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ = "Windows\System\WScript.exe ""%1"" %*"
而且更改windows啟動時的相關內容:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32
Redlof還會感染Windows\Web目錄下的folder.htt檔案,並將此染毒檔案拷貝到desktop.ini指向的目錄中。由於folder.htt是Windows Explorer瀏覽檔案時卻省打開的檔案,因此當用戶瀏覽檔案時病毒代碼便會被執行。
Redlof病毒會感染如下後綴名的檔案:
.HTML,.HTM,.VBS, .HTT,.ASP,.JSP,.PHP。此病毒運行時會利用2000年發現的一個系統的安全漏洞,微軟已經發布了相關的補丁檔案。發作現象以及解決方案

發作現象

此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很
有可能中了此病毒:
RedLof病毒RedLof病毒
一、如果對腳本檔案比較熟悉,比如說網頁設計人員等,可以查找一些自己熟悉的vbs,htm,html等類型的檔案,用編輯工具查看其內容,看是否能發現可疑代碼
二、病毒會在感染資料夾時,產生兩個病毒檔案:desktop.ini和folder.htt。
三、該病毒會使計算機運行速度變慢。

解決方案

1、用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“紅色結束符”(Script.RedLof.htm
RedLof病毒
病毒,用戶可以將病毒檔案直接刪除來消除病毒的影響,但如果想徹底地清除此病毒,最好還是用《瑞星防毒軟體2003版》的最新版本進行徹底清除。
2、用戶在防毒過程中要關閉所有WINDOWS視窗,禁止使用WEB方式瀏覽“資源管理器”或“我的電腦”等。
3、在Windows作業系統環境下,要打開檔案監控功能,先查殺記憶體然後在查殺所有硬碟檔案。
4、在殺完毒之後應立即重新啟動計算機。
5、如果用戶在Windows作業系統環境下不能完全地清除此病毒,請到純DOS操作環境下進行防毒,將此病毒全部清除掉。

手動清除方法

1:用查找檔案的方式找到kernel.dll這個檔案,刪除.用regedit打開註冊表,查找所
有調用kernel.dll檔案的鍵值,刪.
RedLof病毒RedLof病毒
2:用檔案查找方式找到所有folder.htt檔案,刪掉大小為23K的檔案,和相應目錄下的desktop.ini檔案,其中c:/windows/web下的那個folder.htt不要刪,從別的機子上拷貝乾淨的folder.htt到自己的機子,用記事本打開,複製裡面的代碼,到感染了病毒的folder.htt檔案,保存即可.
3:最後重啟機子,打開我的電腦,隨便用WEB放式打開幾個資料夾,看是否會自動生成folder.httdesktop.ini兩個檔案,(有的機子只生成fold.htt一個檔案),注意這兩個檔案為隱藏檔案,要在檔案選項里,設定為"顯示所有檔案",如沒有,病毒以清除.

變種介紹

1、Script.RedLof.Htm.e
破壞方法:
此病毒是RedLof病毒的變種,擁有極強的變形功能.病毒將自己的代碼隨機組合,全部的關鍵代碼一律變形.感染該病毒的機器在瀏覽資料夾時會變慢. 對系統的破壞如下:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd,感染%WINDOWS%\\web\\Folder.htt.
二,病毒從後向前枚舉用戶磁碟盤符.每次感染五個路徑.
1)如果當前資料夾沒有folder.htt或Desktop.ini,則感染整個資料夾的htm,html,asp,php,jsp,vbs檔案.
2)在當前資料夾添加兩個隱藏檔案:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重複感染.發現檔案中包含Execute(\",則認為已經感染.
RedLof病毒
三,對註冊表修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
3)修改OutLook的默認頁設定,指向病毒.
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.
2、Script.RedLof.Head.e
破壞方法:
RedLof病毒的變種,擁有極強的變形功能.病毒將自己的代碼隨機組合,全部的關鍵代碼一律變形. 對系統的破壞如下:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
二,病毒從後向前枚舉用戶磁碟盤符.每次感染五個路徑.
1)如果當前資料夾沒有folder.htt或Desktop.ini,則感染整個資料夾的htm,html,asp,php,jsp,vbs檔案.
2)在當前資料夾添加兩個隱藏檔案:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重複感染.發現檔案中包含Execute,則認為已經感染.
三,對註冊表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
3)修改OutLook的默認頁設定,指向病毒.
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.
3、Script.RedLof.Vbs.e
破壞方法:
RedLof病毒的變種,擁有極強的變形功能.病毒將自己的代碼隨機組合,全部的關鍵代碼一律變 對系統的破壞如下:
一,將%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
二,病毒從後向前枚舉用戶磁碟盤符.每次感染五個路徑.
1)如果當前資料夾沒有folder.htt或Desktop.ini,則感染整個資料夾的htm,html,asp,php,jsp,vbs檔案.
2)在當前資料夾添加兩個隱藏檔案:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重複感染.發現檔案中包含Execute(\",則認為已經感染.
三,對註冊表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32, 值為%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子鍵
3)修改OutLook的默認頁設定,指向病毒.
傳播方法:
感染該病毒的機器在瀏覽資料夾時會變慢.

相關媒體報導

用戶需警惕新郵件病毒“RedLof”
2002年,一個名為RedLof的病毒正在以較強的蔓延性廣為傳播,據介紹:RedLof是一個具有加密、多變屬性的病毒,主要通過Microsoft的Outlook和Outlook EXpress郵件系統傳播,是近段時期相對較為活躍的病毒之一,同時也具有較高的破壞性。
據了解,RedLof病毒首先將感染Program Files\Common Files\Microsoft shared\Stationery\"目錄中的Blank.htm,如果不存在則建立此檔案。同時, 為了便於通過outlook傳染,病毒會更改註冊表鍵值,這樣,感染病毒的blank檔案就成為outlook預設使用的模版檔案。
當(用戶/系統)從HKEY_CURRENT_USER\Identities\Default User ID讀取User ID時,病毒將更改.dll後綴的檔案
RedLof病毒
以便運行病毒腳本,而且病毒將建立一個vbs腳本檔案Kernel.dll在windows目錄中。
此外,Redlof還會感染Windows\Web目錄下的folder.htt檔案,並將此染毒檔案拷貝到desktop.ini指向的目錄中。由於folder.htt是Windows Explorer瀏覽檔案時卻省打開的檔案,因此當用戶瀏覽檔案時病毒代碼便會被執行。
“紅色結束符Ⅱ”死灰復燃
2002年六月在網上瘋狂傳播的“紅色結束符”,歷經半年的潛遁,於2003年死灰復燃,並被瑞星全球反病毒監測網截獲。“紅色結束符Ⅱ”(Script.Redlof.d)病毒的撰寫者對紅色結束符病毒進行了一次完全的改版,傳播速度更快、危害程度更高。
該病毒運行後會感染機器中的大量網頁類型檔案,並在電腦的所有資料夾中都放入兩個隱藏的病毒體,因此變得更為詭秘:用戶不用雙擊該病毒體,只要觀看被感染的目錄,病毒便可運行。
病毒大量運行並進行互動感染,會消耗大量的系統資源,最終甚至會導致計算機系統崩潰。這時即使是防毒軟體也沒有資源運行,有鑒於此,用戶應該升級最新病毒庫,打開實時監控,以防為主。
“紅色結束符Ⅱ”(Script.Redlof.d)病毒的新特性:
一、植入更新的變形引擎,變形更加厲害。
該病毒會將自己的代碼隨機組合,全部的關鍵代碼一律變形,變形更加厲害,更加難以查殺。
二、不重複感染,感染速度更加迅速
該病毒用字元串“Execute("”來進行重複感染判斷,如果發現被感染的檔案中含有該字元串,則不進行重複感染,大大增加了病毒感染速度
三、尋找OUTLOOK,進行郵件傳播。
該病毒會尋找OUTLOOK和OUTLOOK EXPRESS系統,發現後會將自身加入其中,通過郵件向外播擴散,另外該病毒還會感染信紙,喜歡使用信紙的用戶會不知不覺發將病毒傳播出去。

注意

該病毒還會瘋狂感染資料夾,會在感染的資料夾下產生兩個檔案,一個名為:desktop.ini的目錄配置檔案,一個名為:folder.htt的病毒體檔案,當用戶雙擊滑鼠進入被感染的資料夾時,病毒就會被激活

相關詞條

熱門詞條

聯絡我們