|
RedLof的特征:
RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook
EXpress邮件系统传播。
首先,RedLof将感染"Program Files\Common Files\Microsoft
Shared\Stationery\"目录中的Blank.htm,如果不存在则建立此文件。
为了便于通过outlook传染,病毒更改了如下的注册表键值:
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook
Express\(User ID)\Mail\Compose Use Stationery = "1"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook
Express\(User ID)\Mail\Stationery Name = "blank.htm"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook
Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm"
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging
Subsystem\Profiles\Microsoft Outlook Internet
Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft
Outlook Internet
Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank"
这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USER\Identities\Default
User ID读取User
ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。
更改的相关注册表键值如下: HKEY_CLASSES_ROOT\.dll\ =
"dllfile" HKEY_CLASSES_ROOT\.dll\Content Type =
"application/x-msdownload" HKEY_CLASSES_ROOT\dllfile\DefaultIcon\
=
"HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\" HKEY_CLASSES_ROOT\dllfile\ScriptEngine\
= "VBScript" HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ =
"Windows\System\WScript.exe ""%1""
%*" 而且更改windows启动时的相关内容: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 Redlof还会感染Windows\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows
Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。 Redlof病毒会感染如下后缀名的文件: .HTML,
.HTM, .VBS, .HTT, .ASP, .JSP,
.PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。详情请见: http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
检测及清除: 打开注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值; 参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook
Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt文件;
删除Kernel32.dll或者Kernel.dll文件
;
用查找,WINDOWS自带的,查找folder.htt AND desktop.ini
要把文件夹选项改成,显示隐藏的!!找到后删了!!
| 
