微点交流论坛

标题: 该病毒的破坏力超过了臭名昭著的“熊猫烧香 [打印本页]

作者: leelee 时间: 2007-8-16 00:13 标题: 该病毒的破坏力超过了臭名昭著的“熊猫烧香

14日，江民科技反病毒中心监测到，一种名为“小浩”蠕虫病毒出现在网络上，该病毒和“熊猫烧香”蠕虫病毒类似，可以感染 *.exe可执行程序，可以通过U盘传播，还会感染各种网页脚本程序，插入带毒网址，但是与“熊猫烧香”蠕虫病毒不同的是，被感染后的*.exe文件将遭到破坏且无法恢复！
江民反病毒专家分析该病毒详细技术特征如下：
病毒名称：Worm/XiaoHao.a
中文名：小浩蠕虫
病毒类型：蠕虫
危害等级：★★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒运行特征：
Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写，并经过UPX工具加壳处理，病毒运行后，会在每个硬盘根目录下释放病毒文件：
c:xiaohao.exe, 402706字节
c:autorun.inf, 91字节
其中xiaohao.exe 文件为病毒主体，该文件运行后搜索全盘扩展名为*.exe 的文件，将自身病毒体写入到正常文件中，从而使原文件成为新的病毒体，被感染后的文件图标为一个表示有“浩”字的图标，当浏览含有被感染病毒文件的窗口时，窗口的标题栏会有已中毒 X14o-H4o's Virus 的字样。
如下图：

由于该病毒采用的是覆盖式写入，因此被感染后的文件无法恢复。
该病毒进程还会创建iexplore.exe 子进程，利用多个系统漏洞下载木马病毒。
另外，病毒还在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件，该文件内容如下：
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shellAutocommand=Xiaohao.exe
这样，该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播，当用户在不知情的情况下，双击已感染该病毒的U盘时，就会将病毒传播到新的系统中。
该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件，向其中插入恶意网址连接，该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行病毒文件http: //xiaohao.yona.biz/***.exe ，该文件为病毒体自身。
该病毒会将系统时间修改为2005年1月17日，使一些杀毒软件的使用授权失效，病毒还会模拟鼠标操作，企图绕过杀毒软件的主动防御功能。
该病毒会将其他未被感染的文件设置成隐藏属性，还会生成文件：c:Jilu.txt，用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值，使其不能显示隐藏文件，严重影响了电脑的正常使用。
据悉，该病毒作者还将病毒源代码公开在互联网中，并且还留下了自己的QQ号和博客地址，称“欢迎各位大牛. 来指导我或者是交流” ，具有明显的技术炫耀性。
针对此病毒，江民科技已经紧急升级了病毒库，只要升级到8月14日的病毒库，即可拦截此病毒的入侵。
江民反病毒专家建议广大用户：
1. 安装KV2007的杀毒软件，开启每天定时升级病毒库，定时杀毒功能，并开启所有的监控功能。
2. 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。
3. 利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。
(*^__^*) 嘻嘻…… 支持下老大！

作者: 微点专家 时间: 2007-8-16 07:32
微点可以很好的干掉它

作者: pcjuju 时间: 2007-8-16 09:02
　　哈哈，有微点，小浩还不是成了狗屎！

作者: qq2008444 时间: 2007-8-16 09:28
....
又是和小熊猫一样的东西...
熊猫其实很开发得很失败

这东西也一样

作者: han 时间: 2007-8-16 10:38

Quote:

Originally posted by pcjuju at 2007-8-16 09:02:
　　哈哈，有微点，小浩还不是成了狗屎！

是耗（耗子）屎

作者: jobcreep 时间: 2007-8-16 15:40
微点可以防住啊？没有装微点，已经中毒，该怎么办

作者: qq2008444 时间: 2007-8-16 15:45

Quote:

Originally posted by jobcreep at 2007-8-16 15:40:
微点可以防住啊？没有装微点，已经中毒，该怎么办

等死喽...
他直接覆盖所有EXE文件...

作者: qq2008444 时间: 2007-8-16 15:55

Quote:

Originally posted by qq2008444 at 2007-8-16 15:38:
http://hi.baidu.com/xh%5Fhook
大家来看看这个小浩病毒作者的BLOG吧

从他身上吸取教训

研究是好事
不要把他用在歪道上

我已经明白了
中国网民都十分无知
中毒只会在那里瞎骂
根本不从自己身上找原因

作者: pcjuju 时间: 2007-8-16 19:46
　　已经给网民造成危害，虽然他不是成年人，但是他是学生，应该有最起码的道德观念；虽然他已经道歉，但是，他还是要对自己的行为负责。

作者: jobcreep 时间: 2007-8-17 08:04

Quote:

Originally posted by jobcreep at 2007-8-16 15:40:
微点可以防住啊？没有装微点，已经中毒，该怎么办

哇，这么爽？

作者: 微点专家 时间: 2007-8-17 08:05

Quote:

Originally posted by jobcreep at 2007-8-16 15:40:
微点可以防住啊？没有装微点，已经中毒，该怎么办

安装微点啊，这么简单

作者: pcjuju 时间: 2007-8-17 08:24
　　没安装微点就已经中毒，那只有重装系统了。

作者: qq2008444 时间: 2007-8-17 09:30

Quote:

Originally posted by 微点专家 at 2007-8-17 08:05:

安装微点啊，这么简单

他会覆盖所有EXE文件
你怎么装?

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn