VBS.Redlof.A - 王朝网络

发现： 2002 年 4 月 16 日

更新： 2007 年 2 月 13 日 11:39:26 AM

别名： VBS/Redlof@M [McAfee], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos]

类型: Virus

感染长度： varies

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒，会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%SystemKernel.dll 或 %windir%SystemKernel32.dll，这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 4 月 17 日

* 病毒定义（智能更新程序） 2002 年 4 月 16 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

* 有效负载： Will be inserted into all new email messages created by a user of an infected computer.

* 修改文件： Infects .html, .htm, .asp, .php, .jsp, and .vbs files.

分发

* 分发级别： Low

* 感染目标： .html, .htm, .asp, .php, .jsp, and .vbs files.

HTML.Redlof.A 运行时会执行下列操作：

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一，这取决于 Windows System 文件夹的位置：

o %windir%SystemKernel.dll

o %windir%SystemKernel32.dll

注意：%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:Windows 或 C:Winnt），然后将自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行：

1. 验证注册表键

HKEY_CLASSES_ROOT.dll

的（默认）值是否为

dllfile

2. 对于注册表键

HKEY_CLASSES_ROOT.dll

病毒验证

Content Type

的值是否为

application/x-msdownload

3. 在注册表键

HKEY_CLASSES_ROOTdllFile

中，病毒更改下列子键值：

+ DefaultIcon

更改为与注册表键

HKEY_CLASSES_ROOTvxdfile 下的 DefaultIcon 子键值相同

+ 添加子键 ScriptEngine

并将其值更改为

VBScript

+ 添加子键 ScriptHostEncode

并将其值更改为

{85131631-480C-11D2-B1F9-00C04F86C324}

4. 在注册表键

HKEY_CLASSES_ROOTdllFileShellOpenCommand

中，病毒添加（默认）值

"%windir%WScript.exe ""%1"" %*"

或

"%windir%System32WScript.exe ""%1"" %*"

5. 在注册表键

HKEY_CLASSES_ROOTdllFileShellExPropertySheetHandlersWSHProps

中，病毒将（默认）值设置为

{60254CA5-953B-11CF-8C96-00AA00B8708C}

病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件，然后感染这些文件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播：

1. 它将自身复制到 C:Program FilesCommon FilesMicrosoft SharedStationeryBlank.htm，如果此文件已存在，则将自身追加到此文件中。

2. 然后，将 Outlook Express 设置为默认使用该信笺。为完成此操作，病毒在注册表键

HKEY_CURRENT_USERIdentities[Default Use ID]SoftwareMicrosoftOutlook Express[Outlook Version].0Mail

中，将

Compose Use Stationery

的值设置为 1。

3. 然后，如果以下值不存在，病毒将创建该值，并为其指定以下值数据：

+ 在注册表键

HKEY_CURRENT_USERIdentities[Default Use ID]SoftwareMicrosoftOutlook Express[Outlook Version].0Mail

中，将

Stationery Name

的值数据更改为

C:Program FilesCommon FilesMicrosoft SharedStationerylank.htm

+ 在注册表键

HKEY_CURRENT_USERIdentities[Default Use ID]SoftwareMicrosoftOutlook Express[Outlook Version].0Mail

中，病毒将

Wide Stationery Name

的值数据更改为

C:Program FilesCommon FilesMicrosoft SharedStationerylank.htm

4. 在注册表键

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail

中，病毒将

EditorPreference

的值数据设置为

131072

5. 接下来，如果下列值不存在，病毒将创建该值，并将其设置为“空”：

+ 值：

001e0360

位于以下注册表键：

HKEY_CURRENT_USERSoftwareMicrosoftWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settingsa0d020000000000c000000000000046

+ 值：

001e0360

位于以下注册表键：

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settingsa0d020000000000c000000000000046

+ 值：

NewStationery

位于以下注册表键：

HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0CommonMailSettings

6. 在注册表键

HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMailEditorPreference

中，病毒将

EditorPreference

的值设置为

131072

7. 最后，在注册表键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

中，病毒添加值

Kernel32

并将其设置为

SYSTEMKernel32.dll 或 SYSTEMKernel.dll

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

注意：以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 运行完整的系统扫描，并删除所有被检测为 HTML.Redlof.A 的文件。

3. 撤消病毒对注册表所做的更改。

有关如何完成这些操作的详细信息，请参阅下列指导。

更新病毒定义：

所有病毒定义在发布至我们的服务器之前，都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。必须从 Symantec 安全响应中心网站下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent Updater 病毒定义，请单击这里。

扫描和删除受感染文件：

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品：请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 HTML.Redlof.A，请单击“删除”。然后以干净的备份替换被删除的文件，或者重新安装这些文件。

撤消病毒对注册表所做的更改：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。将出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。

3. 导航至键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

4. 在右窗格中，删除值

Kernel32

5. 导航至键

HKEY_CURRENT_USERIdentities[Default Use ID]SoftwareMicrosoftOutlook Express[Outlook Version].0Mail

6. 在右窗格中，删除值

Compose Use Stationery

Stationery Name

Wide Stationery Name

7. 导航至键

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail

8. 在右窗格中，删除值

EditorPreference

9. 导航至下列子键并将其删除：

HKEY_CLASSES_ROOTdllFileShell

HKEY_CLASSES_ROOTdllFileShellEx

HKEY_CLASSES_ROOTdllFileScriptEngine

HKEY_CLASSES_ROOTdllFileScriptHostEncode

10. 退出“注册表编辑器”。

描述者： Andre Post