)RedLof病毒
病毒名称:Script.RedLof.htm
RedLof病毒病毒别名:红色结束符
病毒类型:脚本病毒
发作时间:随机
传播方式:网络/文件
感染对象:文件
警惕程度:★★★★ 此病毒可以在Windows 9X、Windows 2000、Windows XP等操作系统环境下正常运行。它感染脚本类型的文件,运行时,全盘查找脚本类型的文件(vbs,htm,html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。该病毒还会疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,由于病毒每激活一次,就会在内存中复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,造成计算机运行速度越来越慢,而且该病毒还会随着信件模板,进行网络传播。
RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。
首先,RedLof将感染"Program Files\Common Files\Microsoft Shared\Stationery\"目录中的Blank.htm,如果不存在则建立此文件。
为了便于通过outlook传染,病毒更改了如下的注册表键值:
| HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Compose Use Stationery = "1" |
| HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Stationery Name = "blank.htm" |
| HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm" |
| HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank" |
| HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank" |
| HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank" |
这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USER\Identities\Default User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。
更改的相关注册表键值如下:
| HKEY_CLASSES_ROOT\.dll\ = "dllfile" |
| HKEY_CLASSES_ROOT\.dll\Content Type = "application/x-msdownload" |
| HKEY_CLASSES_ROOT\dllfile\DefaultIcon\ = "HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\" |
| HKEY_CLASSES_ROOT\dllfile\ScriptEngine\ = "VBScript" |
| HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ = "Windows\System\WScript.exe ""%1"" %*" |
而且更改windows启动时的相关内容:
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 |
Redlof还会感染Windows\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。
Redlof病毒会感染如下后缀名的文件:
.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。详情请见:http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
发作现象:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。
二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。
三、该病毒会使计算机运行速度变慢。
1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)
RedLof病毒2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。
3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。
4、在杀完毒之后应立即重新启动计算机。
5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。
1:用查找文件的方式找到kernel.dll这个文件,删除.用regedit打开注册表,查找所有调用kernel.dll文件的键值,删.
2:用文件查找方式找到所有folder.htt文件,删掉大小为23K的文件,和相应目录下的desktop.ini文件,其中c:/windows/web下的那个folder.htt不要删,从别的机子上拷贝干净的folder.htt到自己的机子,用记事本打开,复制里面的代码,到感染了病毒的folder.htt文件,保存即可.
3:最后重启机子,打开我的电脑,随便用WEB放式打开几个文件夹,看是否会自动生成folder.htt和desktop.ini两个文件,(有的机子只生成fold.htt一个文件),注意这两个文件为隐藏文件,要在文件选项里,设置为"显示所有文件",如没有,病毒以清除.
1.Script.RedLof.Htm.e
破坏方法:
此病毒是RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.感染该病毒的机器在浏览文件夹时会变慢.
对系统的破坏如下:
一, 将%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd,感染%WINDOWS%\\web\\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute(\",则认为已经感染.
RedLof病毒三,对注册表的修改:
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值为%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
2.Script.RedLof.Head.e
破坏方法:
RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.
对系统的破坏如下:
一, 将%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini 保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute,则认为已经感染.
三,对注册表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32,值为%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
3.Script.RedLof.Vbs.e
破坏方法:
RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变
对系统的破坏如下:
一,将%WINDOWS%\\web\\Folder.htt 保存到%WINDOWS%\\system32\\setup.txt和%WINDOWS%\\system32\\desktop.ini保存到%WINDOWS%\\system32\\inet.vxd.感染%WINDOWS%\\web\\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute(\",则认为已经感染.
三,对注册表的修改
1)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32, 值为%windows%\\SYSTEM\\Kernel.dll或%windows%\\SYSTEM\\Kernel32.dll
2)修改\"HKEY_CLASSES_ROOT\\.dll\"和\"HKEY_CLASSES_ROOT\\dllfile\"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
用户需警惕新邮件病毒“RedLof”
2002年,一个名为RedLof的病毒正在以较强的蔓延性广为传播,据介绍:RedLof是一个具有加密、多变属性的病毒,主要通过Microsoft的Outlook和Outlook EXpress邮件系统传播,是近段时期相对较为活跃的病毒之一,同时也具有较高的破坏性。
据了解,RedLof病毒首先将感染Program Files\Common Files\Microsoft shared\Stationery\"目录中的Blank.htm,如果不存在则建立此文件。同时, 为了便于通过outlook传染,病毒会更改注册表键值,这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USER\Identities\Default User ID读取User ID时,病毒将更改.dll后缀的文件
RedLof病毒此外,Redlof还会感染Windows\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。
“红色结束符II”死灰复燃
2002年六月在网上疯狂传播的“红色结束符”,历经半年的潜遁,于2003年死灰复燃,并被瑞星全球反病毒监测网截获。“红色结束符II”(Script.Redlof.d)病毒的撰写者对红色结束符病毒进行了一次完全的改版,传播速度更快、危害程度更高。
该病毒运行后会感染机器中的大量网页类型文件,并在电脑的所有文件夹中都放入两个隐藏的病毒体,因此变得更为诡秘:用户不用双击该病毒体,只要观看被感染的目录,病毒便可运行。
病毒大量运行并进行交互感染,会消耗大量的系统资源,最终甚至会导致计算机系统崩溃。这时即使是杀毒软件也没有资源运行,有鉴于此,用户应该升级最新病毒库,打开实时监控,以防为主。
“红色结束符II”(Script.Redlof.d)病毒的新特性:
一、植入更新的变形引擎,变形更加厉害。
该病毒会将自己的代码随机组合,全部的关键代码一律变形,变形更加厉害,更加难以查杀。
二、不重复感染,感染速度更加迅速
该病毒用字符串“Execute("”来进行重复感染判断,如果发现被感染的文件中含有该字符串,则不进行重复感染,大大增加了病毒感染速度。
三、寻找OUTLOOK, 进行邮件传播。
该病毒会寻找OUTLOOK和OUTLOOK EXPRESS系统,发现后会将自身加入其中,通过邮件向外播扩散,另外该病毒还会感染信纸,喜欢使用信纸的用户会不知不觉发将病毒传播出去。
下载红色结束符(Redlof)病毒专杀工具 http://it.rising.com.cn/service/technology/RS_Redlof_download.htm
红色结束符(Redlof)病毒专杀工具 1.1 http://www.onlinedown.net/soft/6211.htm
