Virus Redlof.A

Efectos:

Redlof.A no tiene efectos destructivos. Su único objetivo es propagarse a través del mayor número posible de ordenadores.

Metodo de infección:

Redlof.A crea el siguiente fichero:

• KERNEL.DLL: Realmente no se trata de una Librería de enlace dinámico sino de un fichero que contiene el código de infección del gusano.

Redlof.A crea la siguiente entrada en el Registro de Windows:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run = Kernel32 = %SYSTEM%\ Kernel.dll
  Con ello, el fichero KERNEL.DLL se ejecuta cada vez que se inicie el sistema.

Para llevar a cabo la infección, Redlof.A sigue el siguiente proceso:

• Copia su código en los ficheros de tipo HTT, que son utilizados para visualizar las  carpetas del sistema con formato de páginas Web. Este virus también es capaz de infectar ficheros que tengan la extensión HTML.
• A partir de ese momento, cuando el usuario afectado abre una carpeta, o un fichero infectado con extensión HTML, ejecuta sin saberlo el gusano.

Metodo de propagación:

Redlof.A hace uso del correo electrónico para propagarse. Para ello oculta su código dentro del diseño de fondo de todos los mensajes que envia el usuario mediante el programa de correo electrónico Outlook.

Redlof.A se aprovecha de la vulnerabilidad del componente VM ActiveX, mediante la cual se permite la ejecución del virus con la simple visualización de una página HTML que contenga el código vírico. Más información sobre esta vulnerabilidad y la actualización que la soluciona en la página web oficial de Microsoft.

Otros detalles:

Redlof.A es un gusano cifrado escrito en el lenguaje de programación Visual Basic Script. El fichero que provoca la infección ocupa 11160 Bytes.