publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Redlof.B

Virus Redlof.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Redlof.B realiza las siguientes acciones:

  • Copia su código en archivos HTT, que se utilizan para visualizar las carpetas del sistema con formato de páginas web.
  • Busca y afecta aquellos archivos que tengan la extensión HTML, HTT, HTM, VBS, PHP, ASP yJSP.
  • Aprovecha la vulnerabilidad del componente VM ActiveX, mediante la cual se permite la ejecución del gusano con la simple visualización de una página HTML que contenga el código vírico. Dispone de más información sobre esta vulnerabilidad y sobre el parche adecuado en la páginaweb de Microsoft.

Metodo de infección:

Redlof.B crea los siguientes archivos:

  • KERNEL.DLL o KERNEL32.DLL (en función del sistema operativo instalado en el equipo), en el directorio de sistema de Windows. Este archivo es una librería de enlace dinámico (archivo con extensión DLL), y es una copia del gusano.
  • SETUP.TXE, en el directorio de sistema de Windows. Este archivo contiene el código cifrado del gusano.
  • INET.VXD, en el directorio de sistema de Windows. También contiene el código cifrado del virus.
  • BLANK.HTM, en el directorio Program Files\ Common Files\ Microsoft Shared\ Stationery\. Es una copia del gusano.

Redlof.B crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Kernel32.dll = %sysdir% \
    donde %sysdir% es el directorio de sistema de Windows.
    A continuación, Redlof.B incluye Kernel.dll en los ordenadores con Windows Me/98/95 instalado y Kernel32.dll en los ordenadores con Windows XP/2000/NT.
    Mediante esta entrada, Redlof.B se asegura de que se ejecutará cada vez que se inicie Windows.
  • HKEY_CLASSES_ROOT\ dllfile\ shell\ Open\ Command
    (Default) = %temp%\ WScript.exe "%1" %*
    donde %temp% es el directorio temporal de Windows.
    Con ello, convierte al archivo KERNEL32.DLL, en un programa ejecutable, a pesar de mantener la extensión DLL . El directorio donde se copia este archivo es el de sistema de Windows. Sin embargo, el nombre del archivo varía en función del sistema operativo.
    Si ya existiera un archivo con el nombre KERNEL32.DLL se copiará al sistema con otro nombre distinto. Redlof.B no sobrescribe el archivo original.

Para llevar a cabo la afección, Redlof.B realiza la siguiente rutina:

  • Copia su código en los archivos HTT, que se utilizan para visualizar las carpetas de sistema como páginas web. Este gusano también puede afectar archivos con extension HTML.
  • Desde ese momento, cuando el usuario afectado abra una carpeta, estará en realidad ejecutando una copia del gusano sin darse cuenta .

Metodo de propagación:

Redlof.B hace uso del correo electrónico para propagarse. Para ello, oculta su código dentro del diseño de fondo de todos los mensajes que envía el usuario mediante el programa de correo electrónico Outlook.

Redlof.B se aprovecha de la vulnerabilidad del componente VM ActiveX, mediante la cual se permite la ejecución del gusano con la simple visualización de una página HTML que contenga el código vírico. Más información sobre esta vulnerabilidad y la actualización que la soluciona están disponibles en la página web oficial de Microsoft.

Otros detalles:

Redlof.B está escrito en el lenguaje de programación Visual Basic Script, y tiene un tamaño de 14068 Bytes.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork