VBS.Redlof.A简介_VBS.Redlof.A个人资料_VBS.Redlof.A微博_百科网
A-A+

VBS.Redlof.A简介_VBS.Redlof.A个人资料_VBS.Redlof.A微博

2018-10-09 01:08:26 科学百科 阅读 24 次

 

简介/VBS.Redlof.A 编辑

发现: 2002 年 4 月 16 日
更新: 2007 年 2 月 13 日 11:39:26 AM
别名: VBS/RedLof@M 【McAfee】, VBS.Redlof 【AVP】, VBS_REDLOF.A 【Trend】, VBS/Redlof-A 【Sophos】
类型: Virus
感染长度: varies
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%SystemKernel.dll 或 %windir%SystemKernel32.dll,这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。
防护

    * 病毒定义(每周 LiveUpdate™) 2002 年 4 月 17 日
    * 病毒定义(智能更新程序) 2002 年 4 月 16 日

威胁评估
广度

    * 广度级别: Medium
    * 感染数量: More than 1000
    * 站点数量: More than 10
    * 地理位置分布: Medium
    * 威胁抑制: Easy
    * 清除: Moderate

损坏

    * 损坏级别: Low
    * 有效负载: Will be inserted into all new email messages created by a user of an infected computer.
    * 修改文件: Infects .html, .htm, .asp, .php, .jsp, and .vbs files.

分发

    * 分发级别: Low
    * 感染目标: .html, .htm, .asp, .php, .jsp, and .vbs files.

HTML.Redlof.A 运行时会执行下列操作:

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:

          o %windir%SystemKernel.dll
          o %windir%SystemKernel32.dll

注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:Windows 或 C:Winnt),然后将自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行:
1. 验证注册表键
HKEY_CLASSES_ROOT.dll

            的(默认)值是否为
            dllfile
      2. 对于注册表键
            HKEY_CLASSES_ROOT.dll

            病毒验证
            Content Type

            的值是否为
            application/x-msdownload
      3. 在注册表键
            HKEY_CLASSES_ROOTdllFile
            中,病毒更改下列子键值:
                + DefaultIcon
                  更改为与注册表键
                  HKEY_CLASSES_ROOTvxdfile 下的 DefaultIcon 子键值相同
                + 添加子键 ScriptEngine
                  并将其值更改为
                  VBScript
                + 添加子键 ScriptHostEncode
                  并将其值更改为
                  
      4. 在注册表键
            HKEY_CLASSES_ROOTdllFileShellOpenCommand
            中,病毒添加(默认)值
            "%windir%wscript.exe ""%1"" %*"
            或
            "%windir%System32WScript.exe ""%1"" %*"
      5. 在注册表键
            HKEY_CLASSES_ROOTdllFileShellExPropertySheetHandlersWSHProps
            中,病毒将(默认)值设置为
            


病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件,然后感染这些文件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播:

      1. 它将自身复制到 C:Program FilesCommon FilesMicrosoft SharedStationeryBlank.htm,如果此文件已存在,则将自身追加到此文件中。
      2. 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键
            HKEY_CURRENT_USERIdentities【Default Use ID】SoftwareMicrosoftOutlook Express【Outlook Version】.0Mail
            中,将
            Compose Use Stationery
            的值设置为 1。
      3. 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:
                + 在注册表键
                  HKEY_CURRENT_USERIdentities【Default Use ID】SoftwareMicrosoftOutlook Express【Outlook Version】.0Mail
                  中,将
                  Stationery Name
                  的值数据更改为
                  C:Program FilesCommon FilesMicrosoft SharedStationeryblank.htm
                + 在注册表键
                  HKEY_CURRENT_USERIdentities【Default Use ID】SoftwareMicrosoftOutlook Express【Outlook Version】.0Mail

                  中,病毒将
                  Wide Stationery Name

                  的值数据更改为
                  C:Program FilesCommon FilesMicrosoft SharedStationeryblank.htm
      4. 在注册表键
            HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail
            中,病毒将
            EditorPreference

            的值数据设置为
            131072
      5. 接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:
                + 值:
                  001e0360

                  位于以下注册表键:
                  HKEY_CURRENT_USERSoftwareMicrosoftWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settingsa0d020000000000c000000000000046
                + 值:
                  001e0360

                  位于以下注册表键:
                  HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settingsa0d020000000000c000000000000046
                + 值:
                  NewStationery

                  位于以下注册表键:
                  HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0CommonMailSettings
      6. 在注册表键
            HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMailEditorPreference

            中,病毒将
            EditorPreference

            的值设置为
            131072
      7. 最后,在注册表键
            HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

            中,病毒添加值
            Kernel32

            并将其设置为
            SYSTEMKernel32.dll 或 SYSTEMKernel.dll


 

建议/VBS.Redlof.A 编辑


建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

    * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
    * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
    * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
    * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
    * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
    * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
    * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

         1. 更新病毒定义。
         2. 运行完整的系统扫描,并删除所有被检测为 HTML.Redlof.A 的文件。
         3. 撤消病毒对注册表所做的更改。

有关如何完成这些操作的详细信息,请参阅下列指导。

更新病毒定义:
所有病毒定义在发布至我们的服务器之前,都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义:

          o 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况,这些病毒定义会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
          o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日(周一至周五)发布。必须从 Symantec 安全响应中心网站下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
      病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent Updater 病毒定义,请单击这里。


扫描和删除受感染文件:

         1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
                o Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
                o 赛门铁克企业版防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
         2. 运行完整的系统扫描。
         3. 如果有任何文件被检测为感染了 HTML.Redlof.A,请单击“删除”。然后以干净的备份替换被删除的文件,或者重新安装这些文件。

撤消病毒对注册表所做的更改:
警告:Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。

         1. 单击“开始”,然后单击“运行”。将出现“运行”对话框。
         2. 键入 regedit,然后单击“确定”。“注册表编辑器”打开。
         3. 导航至键
            HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
         4. 在右窗格中,删除值
            Kernel32
         5. 导航至键
            HKEY_CURRENT_USERIdentities【Default Use ID】SoftwareMicrosoftOutlook Express【Outlook Version】.0Mail
         6. 在右窗格中,删除值
            Compose Use Stationery
            Stationery Name
            Wide Stationery Name
         7. 导航至键
            HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail
         8. 在右窗格中,删除值
            EditorPreference
         9. 导航至下列子键并将其删除:
            HKEY_CLASSES_ROOTdllFileShell
            HKEY_CLASSES_ROOTdllFileShellEx
            HKEY_CLASSES_ROOTdllFileScriptEngine
            HKEY_CLASSES_ROOTdllFileScriptHostEncode
        10. 退出“注册表编辑器”。

描述者: Andre Post