IPA 独立行政法人 情報処理推進機構:「VBSRedlof」ウイルスに関する情報

このウイルスに感染すると、WindowsフォルダのSystemフォルダに(Windowsフォルダにwscript.exeが無い場合はSystem32フォルダに)Kernel.dll (またはSystem32\Kernel32.dll)という名前で自分自身をコピーします。続いて、以下のレジストリにこのファイル名を登録します。これにより、パソコン起動時にウイルスが実行されるようになります。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\Kernel32

また、WindowsフォルダのwebフォルダとSystem32フォルダに kjwall,70-246J問題集.gifという名前でウイルスファイルを作成します。さらに、全ドライブのHTML形式と拡張子がHTTのファイルに感染します。

アクセス可能なドライブのフォルダにウイルスに感染した不可視属性の FOLDER,117-303.HTT を作成します,1Y0-300J。感染していないパソコンでFOLDER.HTTを含むフロッピーディスクやフォルダを参照すると、エクスプローラーでWeb表示が可能になっていれば(デフォルトで可能になっている)FOLDER.HTTは自動的に実行され、ウイルスに感染します。

ウイルスメール送信について

ウイルスはWindowsフォルダがインストールされているドライブの
Program Files\Common Files\Microsoft Shared\Stationery
にウイルスファイルblank.htmをコピーします。

そして、Outlook Express/Outlook 2000 (XP)の設定を以下のように変更します。

これにより、感染したユーザが新規作成するメールは、このウイルスに感染したメールになります。なお、メール本文にウイルスが埋め込まれる形になるため、添付ファイルはありません。