简介编辑本段回目录
传播方法编辑本段回目录
RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。
首先,RedLof将感染"Program FilesCommon FilesMicrosoft SharedStationery"目录中的Blank.htm,如果不存在则建立此文件。
为了便于通过outlook传染,病毒更改了如下的注册表键值:
| HKEY_CURRENT_USERIdentities"&DefaultId&"SoftwareMicrosoftOutlook Express(User ID)MailCompose Use Stationery = "1" |
| HKEY_CURRENT_USERIdentities"&DefaultId&"SoftwareMicrosoftOutlook Express(User ID)MailStationery Name = "blank.htm" |
| HKEY_CURRENT_USERIdentities"&DefaultId&"SoftwareMicrosoftOutlook Express(User ID)MailWide Stationery Name" = "blank.htm" |
| HKEY_CURRENT_USERSoftwareMicrosoftWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings�a0d020000000000c000000000000046�01e0360","blank" |
| HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings�a0d020000000000c000000000000046�01e0360","blank" |
| HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0CommonMailSettingsNewStationery","blank" |
这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USERIdentitiesDefault User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。
更改的相关注册表键值如下:
| HKEY_CLASSES_ROOT.dll = "dllfile" |
| HKEY_CLASSES_ROOT.dllContent Type = "application/x-msdownload" |
| HKEY_CLASSES_ROOTdllfileDefaultIcon = "HKEY_CLASSES_ROOTvxdfileDefaultIcon" |
| HKEY_CLASSES_ROOTdllfileScriptEngine = "VBScript" |
| HKEY_CLASSES_ROOTdllFileShellOpenCommand = "WindowsSystemWScript.exe ""%1"" %*" |
而且更改windows启动时的相关内容:
| HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32 |
Redlof还会感染WindowsWeb目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。
Redlof病毒会感染如下后缀名的文件:
.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。详情请见:http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
发作现象以及解决方案编辑本段回目录
发作现象:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。
二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。
三、该病毒会使计算机运行速度变慢。
1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)
 |
| RedLof病毒 |
2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。
3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。
4、在杀完毒之后应立即重新启动计算机。
5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。
手动清除方法编辑本段回目录
1:用查找文件的方式找到kernel.dll这个文件,删除.用regedit打开注册表,查找所有调用kernel.dll文件的键值,删.
2:用文件查找方式找到所有folder.htt文件,删掉大小为23K的文件,和相应目录下的desktop.ini文件,其中c:/windows/web下的那个folder.htt不要删,从别的机子上拷贝干净的folder.htt到自己的机子,用记事本打开,复制里面的代码,到感染了病毒的folder.htt文件,保存即可.
3:最后重启机子,打开我的电脑,随便用WEB放式打开几个文件夹,看是否会自动生成folder.htt和desktop.ini两个文件,(有的机子只生成fold.htt一个文件),注意这两个文件为隐藏文件,要在文件选项里,设置为"显示所有文件",如没有,病毒以清除.
变种介绍编辑本段回目录
1.Script.RedLof.Htm.e
破坏方法:
此病毒是RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.感染该病毒的机器在浏览文件夹时会变慢.
对系统的破坏如下:
一, 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd,感染%WINDOWS%\web\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute(",则认为已经感染.
 |
| RedLof病毒 |
三,对注册表的修改:
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
2.Script.RedLof.Head.e
破坏方法:
RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变形.
对系统的破坏如下:
一, 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd.感染%WINDOWS%\web\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute,则认为已经感染.
三,对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
3.Script.RedLof.Vbs.e
破坏方法:
RedLof病毒的变种,拥有极强的变形功能.病毒将自己的代码随机组合,全部的关键代码一律变
对系统的破坏如下:
一,将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini保存到%WINDOWS%\system32\inet.vxd.感染%WINDOWS%\web\Folder.htt.
二,病毒从后向前枚举用户磁盘盘符.每次感染五个路径.
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm,html,asp,php,jsp,vbs文件.
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini.folder.htt感染病毒.
3)病毒不重复感染.发现文件中包含Execute(",则认为已经感染.
三,对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32, 值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒.
传播方法:
感染该病毒的机器在浏览文件夹时会变慢.
相关媒体报道编辑本段回目录
用户需警惕新邮件病毒“RedLof”
2002年,一个名为RedLof的病毒正在以较强的蔓延性广为传播,据介绍:RedLof是一个具有加密、多变属性的病毒,主要通过Microsoft的Outlook和Outlook EXpress邮件系统传播,是近段时期相对较为活跃的病毒之一,同时也具有较高的破坏性。
据了解,RedLof病毒首先将感染Program FilesCommon FilesMicrosoft sharedStationery"目录中的Blank.htm,如果不存在则建立此文件。同时, 为了便于通过outlook传染,病毒会更改注册表键值,这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USERIdentitiesDefault User ID读取User ID时,病毒将更改.dll后缀的文件
 |
| RedLof病毒 |
此外,Redlof还会感染WindowsWeb目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。
“红色结束符II”死灰复燃
2002年六月在网上疯狂传播的“红色结束符”,历经半年的潜遁,于2003年死灰复燃,并被瑞星全球反病毒监测网截获。“红色结束符II”(Script.Redlof.d)病毒的撰写者对红色结束符病毒进行了一次完全的改版,传播速度更快、危害程度更高。
该病毒运行后会感染机器中的大量网页类型文件,并在电脑的所有文件夹中都放入两个隐藏的病毒体,因此变得更为诡秘:用户不用双击该病毒体,只要观看被感染的目录,病毒便可运行。
病毒大量运行并进行交互感染,会消耗大量的系统资源,最终甚至会导致计算机系统崩溃。这时即使是杀毒软件也没有资源运行,有鉴于此,用户应该升级最新病毒库,打开实时监控,以防为主。
“红色结束符II”(Script.Redlof.d)病毒的新特性:
一、植入更新的变形引擎,变形更加厉害。
该病毒会将自己的代码随机组合,全部的关键代码一律变形,变形更加厉害,更加难以查杀。
二、不重复感染,感染速度更加迅速
该病毒用字符串“Execute("”来进行重复感染判断,如果发现被感染的文件中含有该字符串,则不进行重复感染,大大增加了病毒感染速度。
三、寻找OUTLOOK, 进行邮件传播。
该病毒会寻找OUTLOOK和OUTLOOK EXPRESS系统,发现后会将自身加入其中,通过邮件向外播扩散,另外该病毒还会感染信纸,喜欢使用信纸的用户会不知不觉发将病毒传播出去。
相关下载编辑本段回目录
下载红色结束符(Redlof)病毒专杀工具 http://it.rising.com.cn/service/technology/RS_Redlof_download.htm
红色结束符(Redlof)病毒专杀工具 1.1 http://www.onlinedown.net/soft/6211.htm
