VBS/Redlof

نوع آلوده سازي : VBS ، HTT ، HTM

اين ويروس که به زبان (Visual Basic Script) VBS نوشته شده است بوسيله e-mail آلوده و يا سايتهايي که شامل فايلهاي HTM آلوده هستند منتشر ميشود.
اين ويروس يک فايل Stationary براي نرمافزارهايMicrosoft Outlook و Microsoft Outlook Express با نام BLANK.HTM ايجادکرده و آنرا به صورت زير در Registry ثبت مينمايد :

HKEY_CURRENT_USER\Identities\{%id-value%}\Software\Microsoft\
\Program Files\ :Outlook Express\5.0\Mail\Stationery Name=C
Common Files\Microsoft Shared\Stationery\blank.htm

HKEY_CURRENT_USER\Identities\{%id-value%}\Software\Microsoft\
\Program Files\ :Outlook Express\5.0\Mail "Wide Stationery Name=C
Common Files\Microsoft Shared\Stationery\blank.htm

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
Windows Messaging Subsystem\Profiles\
Microsoft Outlook Internet Settings\
0a0d020000000000c000000000000046\001e0360=blank

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\
MailSettings\NewStationery=blank

سپس ويروس خود را درون فايل KERNEL.DLL در دايرکتوري SYSTEM مسير Windows ذخيره ميکند و آن را به صورت زير در Registry ثبت ميکند تا هنگام Boot شدن سيستم اجرا شود:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ \WINDOWS\SYSTEM\Kernel.dll :Run\Kernel32=C

از آنجايي که فايلهاي VBS بوسيله برنامه WSCRIPT.EXE اجرا ميشوند بنابراين ويروس کليدهاي زير را در Registry تغيير ميدهد تا فايل KERNEL.DLL که در اصل يک فايل VBS است بوسيله برنامهWSCRIPT.EXE اجرا گردد :

HKEY_CLASSES_ROOT\dllfile\ScriptEngine\
(Default)=VBScript

HKEY_CLASSES_ROOT\dllfile\ScriptHostEncode\
(Default)={85131631-480C-11D2-B1F9-00C04F86C324}

HKEY_CLASSES_ROOT\dllfile\Shell\Open\Command\
\WINDOWS\WScript.exe "%1" %* :(Default)=C

HKEY_CLASSES_ROOT\dllfile\ShellEx\PropertySheetHandlers\
WSHProps\(Default)={60254CA5-953B-11CF-8C96-00AA00B8708C}

 

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.