VBS/Redlof.a

簡介

VBS/Redlof.a

病毒長度：變長

病毒類型：VBScript

危害等級：**

影響平台：Win3.x/9X/2000/XP/NT/Me

它會複製自身為%System%\\Kernel.dll或%System%\\Kernel32.dll中的任意一個，此外還改變.dll檔案關聯默認值。

1.複製自身為，下列之一：

%System%\Kernel.dll

%System%\Kernel32.dll

2.在所有驅動器上搜尋.html, .htm, .asp, .php, .jsp, .vbs類型的檔案並進行感染。

3.複製自身為：%Program Files%\Common Files\Microsoft Shared\Stationery\Blank.htm ，如果Blank.htm已存在便將自身附加到此檔案。

4.修改註冊表：

/首先核實一下HKEY_CLASSES_ROOT\.dll下的鍵值是否為：

"default" = "dllfile"

"Content Type" = "application/x-msdownload"

/在註冊表HKEY_CLASSES_ROOT\dllFile下：

修改鍵值為："DefaultIcon" = " %SystemRoot%\System32\shell32.dll,-154"

添加子鍵："ScriptEngine" = "VBScript"

添加子鍵："ScriptHostEncode" ="{85131631-480C-11D2-B1F9-00C04F86C324}"

/生成子鍵HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\且其值為下列之一：

"default" = "%windir%\WScript.exe ""%1"" %*"

"default" = "%System32%\WScript.exe ""%1"" %*"

/修改HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps下的鍵值：

"Default" = {60254CA5-953B-11CF-8C96-00AA00B8708C}

/HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail下生成子鍵：

"Compose Use Stationery" = "1"