VBS.Redlof.A是什麽总
以下回答引自 :
VBS。Redlof。A
HTML。Redlof。A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 。html、。htm、。asp、。php、。 jsp 和 。vbs 文件。该病毒将自身复制到 %windir%\System\Kernel。dll 或 %windir%\System\Kernel32。dll,这取决于 Windows System 文件夹的位置。 它会更改 。dll 文件的默认关联。
也称为: VBS/Redlof@M [McAfee], VBS。Redlof [AVP], VBS_REDLOF。A [Trend], ...全部
以下回答引自 :
VBS。Redlof。A
HTML。Redlof。A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 。html、。htm、。asp、。php、。
jsp 和 。vbs 文件。该病毒将自身复制到 %windir%\System\Kernel。dll 或 %windir%\System\Kernel32。dll,这取决于 Windows System 文件夹的位置。
它会更改 。dll 文件的默认关联。
也称为: VBS/Redlof@M [McAfee], VBS。Redlof [AVP], VBS_REDLOF。A [Trend], VBS/Redlof-A [Sophos]
类型: Virus
感染长度: varies
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3。
x
HTML。Redlof。A 运行时会执行下列操作:
将自己的病毒体解密并执行它。
病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:
%windir%\System\Kernel。
dll
%windir%\System\Kernel32。dll
注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将自身复制到该位置。
病毒对注册表进行以下更改以使 。dll 文件可以作为脚本文件执行:
1。 验证注册表键
HKEY_CLASSES_ROOT\。dll
的(默认)值是否为
dllfile
2。 对于注册表键
HKEY_CLASSES_ROOT\。
dll
病毒验证
Content Type
的值是否为
application/x-msdownload
3。 在注册表键
HKEY_CLASSES_ROOT\dllFile
中,病毒更改下列子键值:
DefaultIcon
更改为与注册表键
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同
添加子键 ScriptEngine
并将其值更改为
VBScript
添加子键 ScriptHostEncode
并将其值更改为
{ -480C-11D2-B1F9-00C04F86C324}
4。
在注册表键
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中,病毒添加(默认)值
"%windir%\WScript。exe ""%1"" %*"
或
"%windir%\System32\WScript。
exe ""%1"" %*"
5。 在注册表键
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中,病毒将(默认)值设置为
{60254CA5-953B-11CF-8C96-00AA00B8708C}
病毒在所有文件夹和所有驱动器上搜索文件扩展名为 。
html、。htm、。asp、。php、。jsp 和 。vbs 的文件,然后感染这些文件。
HTML。Redlof。A 通过将自身添加为用于创建邮件的默认信笺进行传播:
1。 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\ m,如果此文件已存在,则将自身追加到此文件中。
2。 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,将
Compose Use Stationery
的值设置为 1。
3。 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:
在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,将
Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\ m
在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version]。
0\Mail
中,病毒将
Wide Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\ m
4。
在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\9。0\Outlook\Options\Mail
中,病毒将
EditorPreference
的值数据设置为
131072
5。
接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:
值:
001e0360
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d0 000c000000000000046
值:
001e0360
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d0 000c000000000000046
值:
NewStationery
位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Office\10。
0\Common\MailSettings
6。 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\10。0\Outlook\Options\Mail\EditorPreference
中,病毒将
EditorPreference
的值设置为
131072
7。
最后,在注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中,病毒添加值
Kernel32
并将其设置为
SYSTEM\Kernel32。
dll 或 SYSTEM\Kernel。dll
移除说明请看:
。收起