|
 | 作者: t1h2f3 [t1h2f3]
 论坛用户 |
登录 |
| script redlof.htm请问这是什么病毒,瑞星能查到,金山不能? |
| 地主 发表时间: 04/08 16:15 |
 | 回复: fqjpower [fqjpower]  论坛用户 |
登录 |
|
此病毒是红色结束符病毒,你种的可能是它的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。感染该病毒的机器在浏览文件夹时会变慢。对系统的破坏如下: 1.Script.RedLof.Htm.e 破坏方法:此病毒是RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。感染该病毒的机器在浏览文件夹时会变慢。对系统的破坏如下: 一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd,感染%WINDOWS%\web\Folder.htt。 二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。 3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。 三、对注册表的修改: 1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll 2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键 3)修改OutLook的默认页设置,指向病毒。 传播方法:感染该病毒的机器在浏览文件夹时会变慢。 2.Script.RedLof.Head.e 破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下: 一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。 二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。 3)病毒不重复感染。发现文件中包含Execute,则认为已经感染。 三、对注册表的修改 1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll 2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键 3)修改OutLook的默认页设置,指向病毒。 传播方法:感染该病毒的机器在浏览文件夹时会变慢。 3.Script.RedLof.Vbs.e 破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下: 一、将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。 二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。 1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。 2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。 3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。 三、对注册表的修改 1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32, 值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll 2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键 3)修改OutLook的默认页设置,指向病毒。 传播方法:感染该病毒的机器在浏览文件夹时会变慢。 解决方案: 1、如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)病毒,可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是用你的瑞星杀毒软件的最新版本进行彻底清除。 2、在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。 3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。 4、在杀完毒之后应立即重新启动计算机。 5、如果在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。 |
| B1层 发表时间: 04/08 17:10 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: scriptredlof.htm