簡介
發現: 2002 年 4 月 16 日
更新: 2007 年 2 月 13 日 11:39:26 AM
別名: VBS/RedLof@M 【McAfee】, VBS.Redlof 【AVP】, VBS_REDLOF.A 【Trend】, VBS/Redlof-A 【Sophos】
類型: Virus
感染長度: varies
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
HTML.Redlof.A 是一種多態、加密的 Visual Basic 腳本病毒,會感染所有驅動器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 檔案。該病毒將自身複製到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll,這取決於 Windows System 資料夾的位置。它會更改 .dll 檔案的默認關聯。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 4 月 17 日
* 病毒定義(智慧型更新程式) 2002 年 4 月 16 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Low
* 有效負載: Will be inserted into all new email messages created by a user of an infected computer.
* 修改檔案: Infects .html, .htm, .asp, .php, .jsp, and .vbs files.
分發
* 分發級別: Low
* 感染目標: .html, .htm, .asp, .php, .jsp, and .vbs files.
HTML.Redlof.A 運行時會執行下列操作:
將自己的病毒體解密並執行它。
病毒會將自身複製為下列檔案之一,這取決於 Windows System 資料夾的位置:
o %windir%\System\Kernel.dll
o %windir%\System\Kernel32.dll
注意:%windir% 是一個變數。蠕蟲會找到 Windows 主安裝資料夾(默認位置是 C:\Windows 或 C:\Winnt),然後將自身複製到該位置。
病毒對註冊表進行以下更改以使 .dll 檔案可以作為腳本檔案執行:
1. 驗證註冊表鍵
HKEY_CLASSES_ROOT\.dll
的(默認)值是否為
dllfile
2. 對於註冊表鍵
HKEY_CLASSES_ROOT\.dll
病毒驗證
Content Type
的值是否為
application/x-msdownload
3. 在註冊表鍵
HKEY_CLASSES_ROOT\dllFile
中,病毒更改下列子鍵值:
+ DefaultIcon
更改為與註冊表鍵
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子鍵值相同
+ 添加子鍵 ScriptEngine
並將其值更改為
VBScript
+ 添加子鍵 ScriptHostEncode
並將其值更改為
4. 在註冊表鍵
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中,病毒添加(默認)值
"%windir%\wscript.exe ""%1"" %*"
或
"%windir%\System32\WScript.exe ""%1"" %*"
5. 在註冊表鍵
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中,病毒將(默認)值設定為
病毒在所有資料夾和所有驅動器上搜尋檔案擴展名為 .html、.htm、.asp、.php、.jsp 和 .vbs 的檔案,然後感染這些檔案。
HTML.Redlof.A 通過將自身添加為用於創建郵件的默認信箋進行傳播:
1. 它將自身複製到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm,如果此檔案已存在,則將自身追加到此檔案中。
2. 然後,將 Outlook Express 設定為默認使用該信箋。為完成此操作,病毒在註冊表鍵
HKEY_CURRENT_USER\Identities\【Default Use ID】\Software\Microsoft\Outlook Express\【Outlook Version】.0\Mail
中,將
Compose Use Stationery
的值設定為 1。
3. 然後,如果以下值不存在,病毒將創建該值,並為其指定以下值數據:
+ 在註冊表鍵
HKEY_CURRENT_USER\Identities\【Default Use ID】\Software\Microsoft\Outlook Express\【Outlook Version】.0\Mail
中,將
Stationery Name
的值數據更改為
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm
+ 在註冊表鍵
HKEY_CURRENT_USER\Identities\【Default Use ID】\Software\Microsoft\Outlook Express\【Outlook Version】.0\Mail
中,病毒將
Wide Stationery Name
的值數據更改為
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm
4. 在註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail
中,病毒將
EditorPreference
的值數據設定為
131072
5. 接下來,如果下列值不存在,病毒將創建該值,並將其設定為“空”:
+ 值:
001e0360
位於以下註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046
+ 值:
001e0360
位於以下註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046
+ 值:
NewStationery
位於以下註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings
6. 在註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference
中,病毒將
EditorPreference
的值設定為
131072
7. 最後,在註冊表鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中,病毒添加值
Kernel32
並將其設定為
SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll
建議
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義。
2. 運行完整的系統掃描,並刪除所有被檢測為 HTML.Redlof.A 的檔案。
3. 撤消病毒對註冊表所做的更改。
有關如何完成這些操作的詳細信息,請參閱下列指導。
更新病毒定義:
所有病毒定義在發布至我們的伺服器之前,都經過了 Symantec 安全回響中心的全面質量監控測試。可以通過兩種方式獲得最新的病毒定義:
o 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未遇重大病毒爆發情況,這些病毒定義會每周在 LiveUpdate 伺服器上發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
o 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。必須從 Symantec 安全回響中心網站下載病毒定義,並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
病毒定義更新安裝程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝 Intelligent Updater 病毒定義,請單擊這裡。
掃描和刪除受感染檔案:
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品:請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案”。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了 HTML.Redlof.A,請單擊“刪除”。然後以乾淨的備份替換被刪除的檔案,或者重新安裝這些檔案。
撤消病毒對註冊表所做的更改:
警告:Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改,可能導致永久性數據丟失或檔案損壞。請僅修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。將出現“運行”對話框。
2. 鍵入 regedit,然後單擊“確定”。“註冊表編輯器”打開。
3. 導航至鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除值
Kernel32
5. 導航至鍵
HKEY_CURRENT_USER\Identities\【Default Use ID】\Software\Microsoft\Outlook Express\【Outlook Version】.0\Mail
6. 在右窗格中,刪除值
Compose Use Stationery
Stationery Name
Wide Stationery Name
7. 導航至鍵
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail
8. 在右窗格中,刪除值
EditorPreference
9. 導航至下列子鍵並將其刪除:
HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode
10. 退出“註冊表編輯器”。
描述者: Andre Post
