论坛: 病毒专区 标题: 十万火急,五毒具全 路小佳等大虾们 请过来一趟好么。 复制本贴地址    
作者: cnboy [cnboy]    论坛用户   登录
我的机子不知道怎么回是,中了病毒了,这个病毒不知道是干什么的,感染了我的C盘D盘E盘,其中E盘全部都是网络游戏的,这个最严重了,哪个网络游戏都有病毒,别的还差点。病毒的名字就叫什么 VBS_REDLOF.A-2  这个就是,请大虾们帮帮忙啊!不过全不都清除了,但是我想知道这个病毒的来历,为什么会感染网络游戏。

地主 发表时间: 07/16 21:28

回复: jason [jason0605]   论坛用户   登录
RedLof的特征:
  RedLof是一个具有加密、多变属性的病毒。它通过Microsoft的Outlook和Outlook EXpress邮件系统传播。
首先,RedLof将感染"Program Files\Common Files\Microsoft Shared\Stationery\"目录中的Blank.htm,如果不存在则建立此文件。
  为了便于通过outlook传染,病毒更改了如下的注册表键值:
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Compose Use Stationery = "1"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Stationery Name = "blank.htm"
HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\(User ID)\Mail\Wide Stationery Name" = "blank.htm"

HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360","blank"

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank"
这样,感染病毒的blank文件就成为outlook缺省使用的模版文件。

  当(用户/系统)从HKEY_CURRENT_USER\Identities\Default User ID读取User ID时,病毒将更改.dll后缀的文件以便运行病毒脚本,而且病毒将建立一个vbs脚本文件Kernel.dll在windows目录中。

更改的相关注册表键值如下:
HKEY_CLASSES_ROOT\.dll\ = "dllfile"
HKEY_CLASSES_ROOT\.dll\Content Type = "application/x-msdownload"
HKEY_CLASSES_ROOT\dllfile\DefaultIcon\ = "HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\"
HKEY_CLASSES_ROOT\dllfile\ScriptEngine\ = "VBScript"
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ = "Windows\System\WScript.exe ""%1"" %*"

而且更改windows启动时的相关内容:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32

  Redlof还会感染Windows\Web目录下的folder.htt文件,并将此染毒文件拷贝到desktop.ini指向的目录中。由于folder.htt是Windows Explorer浏览文件时却省打开的文件,因此当用户浏览文件时病毒代码便会被执行。

Redlof病毒会感染如下后缀名的文件:
.HTML, .HTM, .VBS, .HTT, .ASP, .JSP, .PHP。此病毒运行时会利用2000年发现的一个系统的安全漏洞,微软已经发布了相关的补丁文件。详情请见:
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp


B1层 发表时间: 07/17 10:55

回复: wdjq [wdjq]   论坛用户   登录
VBS_REDLOF.A-2  

jason你看看!!人家问的是什么病毒!!
你说的那个病毒名VB.kj好像是这种吧!!不大清楚了!!反正folder.htt

这个病毒是我做的!你想要什么资料呢?

B2层 发表时间: 07/17 16:13

回复: cnboy [cnboy]   论坛用户   登录
谢谢了,没事 我只是问问 呵呵!谢谢你们了啊!
太感谢了。好了 我明白了 以后我会注意的。

B3层 发表时间: 07/18 01:12

回复: wywwolf [wywwolf]   论坛用户   登录
那个病毒真的是五毒具全兄做的吗?
你是不是在竞选斑竹?
得投你一票哦

B4层 发表时间: 07/30 18:39

回复: wdjq [wdjq]   论坛用户   登录
我才不要做斑竹呢!!

B5层 发表时间: 07/30 20:38

回复: wywwolf [wywwolf]   论坛用户   登录
啊?
为什么呢???
能告知一二吗?

B6层 发表时间: 08/03 10:07

回复: wdjq [wdjq]   论坛用户   登录
http://www.adhacker.net/bbsxp/index.asp

B7层 发表时间: 08/03 19:08

回复: jacker [jacker]   论坛用户   登录
果然是“五毒俱全“啊,厉害厉害,待我研究研究…!

还希望大家能继续为20CN做出更大的贡献!

B8层 发表时间: 08/12 20:10

回复: jacker [jacker]   论坛用户   登录
jason,你说的这种病毒应该是:“VBS/RedLof 病毒“


B9层 发表时间: 08/12 20:25

回复: qfwuying [qfwuying]      登录
哈俣俣@$#@$@#$___+_@+!_$#@($%*@#

你放P...........

B10层 发表时间: 09/05 22:19

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号