小浩病毒
DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播,该病毒类似此前曾肆虐网络的熊猫烧香病毒,破坏性感染系统文件,并在受害者系统上遍历网页/脚本文件,插入带毒的网址。因为病毒的破坏性感染行为,导致被感染文件无法修复,严重被感染系统无法使用,会导致用户无法开机现象。
二、病毒基本情况:
病毒名称:Worm.Win32.Xiaohao.a
病毒别名:小浩
病毒类型:蠕虫
危害级别:4
感染平台:Windows 平台
编写语言:C/C++
三、病毒行为:
1、当病毒体在被感染的系统上激活后,会在磁盘跟目录释放autorun.inf等文件,感染U盘等移动设备:
%DRIVE%\autorun.inf 文件属性:H
%DRIVE%\Xiaohao.exe 文件属性:H
2、同时在跟目录释放一个名为Jilu.txt文件,记录了相关感染文件列表。
3、拷贝自身到系统目录下,全路径: %SystemRoot%\system32\exloroe.exe
4、将自动加入到注册表启动项确保自身启动激活:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Active Setup\Installed Components
键名:{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
键值:%SystemRoot%\system32\exloroe.exe
5、将系统时间修改为2005年1月17日,会导致部分杀毒软件和其他正版软件因授权问题无法激活。
***************************************************************
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
Size: 12288 bytes
File Version: 1, 0, 0, 1
Modified: 2007年8月14日, 21:03:22
MD5: B50ED06B61CDCF060D0136784999E50C
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
CRC32: 5CC1E47A
加壳方式:UPX
病毒运行后:
1.生成如下文件:%SystemRoot%\system32\exloroe.exe
每个分区下生成一个xiaohao.exe 和autorun.inf
autorun.inf内容
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
2.添加注册表项目
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000
破坏显示隐藏文件
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
从而删除开始菜单中所有的快捷方式
4.感染文件
从系统盘开始 查找所有*.exe的文件将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的exe无法修复,从系统盘开始查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码。所有感染的文件的文件名记录在C:\Jilu.txt里面并将所有未能感染的文件属性变为隐藏
5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o s Virus”
6.系统时间改为2005年1月17日
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败 。
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉
希望大家注意如下几点防范此类病毒
1.及时升级杀毒软件,防火墙,一定打全系统补丁
2.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置” 下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
没有评论: