DESCRIZIONE
Si tratta di un virus di tipo polymorphic, creato con il linguaggio
Visual Basic Script. Altri nomi con cui si può trovare l’infezione
sono HTML.Redlof.A e VBS/Redlof@M.
Può corrompere i file presenti sul sistema che hanno le seguenti
estensioni:
- ASP
- HTM
- HTML
- HTT
- JSP
- PHP
- VBS
PROPAGAZIONE
Il virus si diffonde in forma crittata. Infetta l’utente nel momento
in cui apre un file HTML infetto, utilizza alcune funzioni VBScript
per inizializzarsi ed eseguire l’infezione. Cerca il file WSCRIPT.EXE
nella cartella di sistema di Windows, se lo trova crea una directory
KERNEL.DLL con una copia di se stesso.
Modifica il registro di configurazione per essere eseguito automaticamente
all’avvio del sistema. Aggiunge la voce:
Kernel32 = ”%System%\Kernel.dll”
nella chiave di registro:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN
ISTRUZIONI PER RIMUOVERE IL VIRUS
1. Fare un clic su START – ESEGUI e digitare “regedit”;
2. Aprire la chiave
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN
3. Nella parte destra della finestra cercare e cancellare il valore
Kernel32=”%System%\Kernel.dll” *
4. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE – SHELL - OPEN
5. Fare un clic con il tasto destro del mouse su OPER e scegliere il
comando CANCELLA;
6. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SCRIPTENGINE
7. Fare un clic con il tasto destro del mouse su OPER e scegliere il
comando CANCELLA;
8. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SHELLEX
9. Fare un clic con il tasto destro del mouse su OPER e scegliere il
comando CANCELLA;
10. Nella parte sinistra della finestra selezionare la chiave
HKEY_CLASSES_ROOT – DLLFILE - SCRIPTHOSTENCODE
11. Fare un clic con il tasto destro del mouse su OPER e scegliere il
comando CANCELLA;
12. Si deve cercare il file Kernel32.dll all’interno del CD di installazione
del sistema operativo e ripristinarlo nella directory C:\WINDOWS;
13. Eseguire la scansione del sistema con un antivirus aggiornato.