RedLof的特征:
RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。
首先,RedLof将感染"Program Files\Common Files\Microsoft Shared\Stationery\"目录中的Blank.htm,如果不存在则建立此文件。
为了便于通过outlook传染,病毒更改了如下的注册表键值:
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Compose Use Stationery = "1"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Stationery Name = "blank.htm"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm"
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank"
这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。
当(用户/系统)从HKEY_CURRENT_USER\Identities\Default User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。
更改的相关注册表键值如下:
HKEY_CLASSES_ROOT\.dll\ = "dllfile"
HKEY_CLASSES_ROOT\.dll\Content Type = "application/x-msdownload"
HKEY_CLASSES_ROOT\dllfile\DefaultIcon\ = "HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\"
HKEY_CLASSES_ROOT\dllfile\ScriptEngine\ = "VBScript"
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ = "Windows\System\WScript.exe ""%1"" %*"
而且更改windows启动时的相关内容:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32
Redlof还会感染Windows\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。
Redlof病毒会感染如下后缀名的文件:
.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。详情请见:
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
|
论坛用户
论坛用户
论坛用户
论坛: 病毒专区
标题: 十万火急,五毒具全 路小佳等大虾们 请过来一趟好么。