VBS.Redlof.A是什麽
总是弄不干净,怎麽杀啊?各位哥哥姐姐请倾囊相助,小弟感激不尽
全部回答
以下回答引自 :
VBS。Redlof。A
HTML。Redlof。A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 。html、。
htm、。asp、。php、。jsp 和 。vbs 文件。该病毒将自身复制到 %windir%\System\Kernel。 dll 或 %windir%\System\Kernel32。
dll,这取决于 Windows System 文件夹的位置。它会更改 。dll 文件的默认关联。
也称为: VBS/Redlof@M [McAfee], VBS。Redlof [AVP], VBS_REDLOF。
A [Trend], VBS/Redlof-A [Sophos]
类型: Virus
感染长度: varies
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3。
x
HTML。Redlof。A 运行时会执行下列操作:
将自己的病毒体解密并执行它。
病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:
%windir%\System\Kernel。
dll
%windir%\System\Kernel32。 dll
注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将自身复制到该位置。
病毒对注册表进行以下更改以使 。dll 文件可以作为脚本文件执行:
1。 验证注册表键
HKEY_CLASSES_ROOT\。 dll
的(默认)值是否为
dllfile
2。
对于注册表键
HKEY_CLASSES_ROOT\。dll
病毒验证
Content Type
的值是否为
application/x-msdownload
3。 在注册表键
HKEY_CLASSES_ROOT\dllFile
中,病毒更改下列子键值:
DefaultIcon
更改为与注册表键
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同
添加子键 ScriptEngine
并将其值更改为
VBScript
添加子键 ScriptHostEncode
并将其值更改为
{ -480C-11D2-B1F9-00C04F86C324}
4。
在注册表键
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中,病毒添加(默认)值
"%windir%\WScript。
exe ""%1"" %*"
或
"%windir%\System32\WScript。exe ""%1"" %*"
5。 在注册表键
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中,病毒将(默认)值设置为
{60254CA5-953B-11CF-8C96-00AA00B8708C}
病毒在所有文件夹和所有驱动器上搜索文件扩展名为 。
html、。htm、。asp、。php、。jsp 和 。vbs 的文件,然后感染这些文件。
HTML。Redlof。A 通过将自身添加为用于创建邮件的默认信笺进行传播:
1。
它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\ m,如果此文件已存在,则将自身追加到此文件中。
2。
然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,将
Compose Use Stationery
的值设置为 1。
3。 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:
在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,将
Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\ m
在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,病毒将
Wide Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\ m
4。
在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\9。 0\Outlook\Options\Mail
中,病毒将
EditorPreference
的值数据设置为
131072
5。
接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:
值:
001e0360
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d0 000c000000000000046
值:
001e0360
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d0 000c000000000000046
值:
NewStationery
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Office\10。
0\Common\MailSettings
6。 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\10。0\Outlook\Options\Mail\EditorPreference
中,病毒将
EditorPreference
的值设置为
131072
7。
最后,在注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中,病毒添加值
Kernel32
并将其设置为
SYSTEM\Kernel32。
dll 或 SYSTEM\Kernel。 dll
移除说明请看:
。
热点推荐
热度TOP
-
早泄患者如果不及时治疗会有什么危害?
3人阅读
-
贵阳利美康整形医院去眼袋哪家医院好?
0人阅读
-
-
兰州比较好的男科医院在哪里?(兰州利民医院)男科
31人阅读
-
嘉兴联勤男科医院好不好呢?
0人阅读
-
成都哪家医院做人流好选棕南?
48人阅读