|
 | 作者: gg [ioristef]
 论坛用户 |
登录 |
| script.redlof.htm 和 script.redlof.head 是什么病毒啊? 我的每个文件夹里都有啊~~~~~~请问这种病毒对机子会有什么危害~~~~~~急~~ |
| 地主 发表时间: 08/22 00:00 |
 | 回复: kenter1643 [kenter1643]  论坛用户 |
登录 |
|
是不是觉得浏览文件夹的速度慢了很多 |
| B1层 发表时间: 08/22 09:48 |
 | 回复: fqjpower [fqjpower] 论坛用户 |
登录 |
|
这个病毒又称为"红色休止符",是一个WINDOWS环境下的脚本病毒,升级你的防病毒软件到最新版本,应该是可以查杀的。 ---------------------------------------------------------------- 下面是赛门铁克公司对此病毒的描述: ---------------------------------------------------------------- HTML.Redlof.htm 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll,这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。 也称为: VBS/Redlof@M [McAfee], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos] 类型: Virus 受影响的系统: Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me 未受影响的系统: Unix, Linux 损坏程度 有效载荷: Will be inserted into all new e-mail messages created by an infected user. 修改文件: Infects .html, .htm, .asp, .php, .jsp, and .vbs files 分发 感染目标: .html, .htm, .asp, .php, .jsp, and .vbs files HTML.Redlof.htm 运行时会执行下列操作: 将自己的病毒体解密并执行它。 病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置: %windir%\System\Kernel.dll %windir%\System\Kernel32.dll 注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将自身复制到该位置。 病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行: 1. 验证注册表键 HKEY_CLASSES_ROOT\.dll 的(默认)值是否为 dllfile 2. 对于注册表键 HKEY_CLASSES_ROOT\.dll 病毒验证 Content Type 的值是否为 application/x-msdownload 3. 在注册表键 HKEY_CLASSES_ROOT\dllFile 中,病毒更改下列子键值: DefaultIcon 更改为与注册表键 HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同 添加子键 ScriptEngine 并将其值更改为 VBScript 添加子键 ScriptHostEncode 并将其值更改为 {85131631-480C-11D2-B1F9-00C04F86C324} 4. 在注册表键 HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ 中,病毒添加(默认)值 "%windir%\WScript.exe ""%1"" %*" 或 "%windir%\System32\WScript.exe ""%1"" %*" 5. 在注册表键 HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps 中,病毒将(默认)值设置为 {60254CA5-953B-11CF-8C96-00AA00B8708C} 病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件,然后感染这些文件。 HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播: 1. 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm,如果此文件已存在,则将自身追加到此文件中。 2. 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键 HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail 中,将 Compose Use Stationery 的值设置为 1。 3. 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据: 在注册表键 HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail 中,将 Stationery Name 的值数据更改为 C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm 在注册表键 HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail 中,病毒将Wide Stationery Name的值数据更改为C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm 4. 在注册表键 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0Outlook\Options\Mail中,病毒将EditorPreference的值数据设置为131072 5. 接下来,如果下列值不存在,病毒将创建该值,并将其设置为空: 值:001e0360位于以下注册表键: HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046 值:001e0360位于以下注册表键: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046 值:NewStationery位于以下注册表键: HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings 6. 在注册表键 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference中,病毒将EditorPreference 的值设置为131072 7. 最后,在注册表键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中,病毒添加值Kernel32并将其设置为SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll 赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。 关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。 如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。 实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。 强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。 将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。 迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。 教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。 注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 1. 更新病毒定义。 2. 运行完整的系统扫描,并删除所有被检测为 HTML.Redlof.htm的文件。 3. 撤消病毒对注册表所做的更改。 有关如何完成这些操作的详细信息,请参阅下列指导。 更新病毒定义: 所有病毒定义在发布至我们的服务器之前,都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义: 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况,这些病毒定义会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日(周一至周五)发布。必须从 Symantec 安全响应中心网站下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。 病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent Updater 病毒定义,请单击这里。 扫描和删除受感染文件: 1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。 Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。 赛门铁克企业版防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了 HTML.Redlof.A,请单击“删除”。然后以干净的备份替换被删除的文件,或者重新安装这些文件。 撤消病毒对注册表所做的更改: 警告:Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。 1. 单击“开始”,然后单击“运行”。将出现“运行”对话框。 2. 键入 regedit,然后单击“确定”。“注册表编辑器”打开。 3. 导航至键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. 在右窗格中,删除值Kernel32 5. 导航至键 HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail 6. 在右窗格中,删除值 Compose Use Stationery Stationery Name Wide Stationery Name 7. 导航至键 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 8. 在右窗格中,删除值EditorPreference 9. 导航至下列子键并将其删除: HKEY_CLASSES_ROOT\dllFile\Shell HKEY_CLASSES_ROOT\dllFile\ShellEx HKEY_CLASSES_ROOT\dllFile\ScriptEngine HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode 10. 退出“注册表编辑器”。 |
| B2层 发表时间: 08/22 10:50 |
| 回复: gg [ioristef] 论坛用户 |
登录 |
|
这个病毒会使进入文件夹的速度很慢,它对计算机会有什么危害吗? |
| B3层 发表时间: 08/22 17:47 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 这是什么病毒啊?