下面是引用lvdo于2004-08-9 1:01 PM发表的 :倒是奇怪我每次查这个CHM文件卡巴基斯就跳出警报搞不懂什么意思
HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll,这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。HTML.Redlof.A 运行时会执行下列操作:将自己的病毒体解密并执行它。病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:%windir%\System\Kernel.dll%windir%\System\Kernel32.dll注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将 自身复制到该位置。病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行:1. 验证注册表键HKEY_CLASSES_ROOT\.dll的(默认)值是否为dllfile2. 对于注册表键HKEY_CLASSES_ROOT\.dll病毒验证Content Type的值是否为application/x-msdownload3. 在注册表键HKEY_CLASSES_ROOT\dllFile 中,病毒更改下列子键值:DefaultIcon更改为与注册表键HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同添加子键 ScriptEngine并将其值更改为VBScript添加子键 ScriptHostEncode并将其值更改为{85131631-480C-11D2-B1F9-00C04F86C324}4. 在注册表键HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\中,病毒添加(默认)值"%windir%\WScript.exe ""%1"" %*"或"%windir%\System32\WScript.exe ""%1"" %*"5. 在注册表键HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps中,病毒将(默认)值设置为{60254CA5-953B-11CF-8C96-00AA00B8708C}病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件,然后感染这些文 件。HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播:1. 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm,如果此文 件已存在,则将自身追加到此文件中。2. 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail中,将Compose Use Stationery的值设置为 1。3. 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:在注册表键HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail中,将Stationery Name的值数据更改为C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm在注册表键HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail中,病毒将Wide Stationery Name的值数据更改为C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm4. 在注册表键HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail中,病毒将EditorPreference的值数据设置为1310725. 接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:值:001e0360位于以下注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046值:001e0360位于以下注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046值:NewStationery位于以下注册表键:HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings6. 在注册表键HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference中,病毒将EditorPreference的值设置为1310727. 最后,在注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,病毒添加值Kernel32并将其设置为SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll扫描和删除受感染文件:……行完整的系统扫描。如果有任何文件被检测为感染了 HTML.Redlof.A,请单击“删除”。然后以干净的备份替换被删除 的文件,或者重新安装这些文件。[b病毒对注册表所做的更改:1.“开始”,然后单击“运行”。将出现“运行”对话框。2.键入 regedit,然后单击“确定”。“注册表编辑器”打开。3.导航至键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run4.在右窗格中,删除值Kernel325.导航至键HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail6.在右窗格中,删除值Compose Use StationeryStationery NameWide Stationery Name7.导航至键HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail8.在右窗格中,删除值EditorPreference9.导航至下列子键并将其删除:HKEY_CLASSES_ROOT\dllFile\ShellHKEY_CLASSES_ROOT\dllFile\ShellExHKEY_CLASSES_ROOT\dllFile\ScriptEngineHKEY_CLASSES_ROOT\dllFile\ScriptHostEncode10.退出“注册表编辑器”。source: http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-vbs.redlof.a.html
下面是引用bbsriver于2004-08-10 1:34 AM发表的 :
