小浩蠕虫(xiaohao.exe)分析与解决方案
So��S��[yr 高危小浩横空出世
ny'~pT'00� 一、病毒描述:
Z�GSb&!K�e 今日,DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播,该病毒类似此前曾肆虐网络
的熊猫烧香病毒,破坏性感染系统文件,并在受害者系统上遍历网页/脚本文件,插入带毒的网址。因为病毒的破坏性感染行为,导致被感染文件无法修复,严重被感染系统无法使用,会导致用户无法开机现象。
"X'��s>uM� 感染效果截图:
�@�sav8��]
J1Y��P-:�� 二、病毒基本情况:
L10V�q}W"� 病毒名称:Worm.Win32.Xiaohao.a
�A�?ma5h 病毒别名:小浩
�zC��(DigN 病毒类型:蠕虫
Bbz#$�M!�: 危害级别:4
6
����K�P 感染平台:Windows 平台
,+3l9F�u�Q 编写语言:C/C++
@`�G_6�<.`
B'"C?d
�<7 三、病毒行为:
w�6��+X�{� 1、当病毒体在被感染的系统上激活后,会在磁盘跟目录释放autorun.inf等文件,感染U盘等移动设备:
Q�v(�}*iq] %DRIVE%\autorun.inf 文件属性:H
��8fK�t6�T %DRIVE%\Xiaohao.exe 文件属性:H
FU�kO$jn�O 2、同时在跟目录释放一个名为Jilu.txt文件,记录了相关感染文件列表。
w&j�yi�jk( 3、拷贝自身到系统目录下,全路径: %SystemRoot%\system32\exloroe.exe
B!0�o�6)u' 4、将自动加入到注册表启动项确保自身启动激活:
rC�R?]1*Z
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Active Setup\Installed Components
^�2�%_AP0= 键名:{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
Jw�G$lGN�J 键值:%SystemRoot%\system32\exloroe.exe
(oTtn�Q""+
,<R/j�HZP9 5、将系统时间修改为2005年1月17日,会导致部分杀毒软件和其他正版软件因授权问题无法激活。
9�eO!_
a�^
Z�� Ea�r~�
zU�RxXo/\V 针对此病毒,江民公司已经紧急升级了病毒库,用户只要升级到8月14日的病毒库,就可以有效地拦截此病毒的入侵
RhwqAok|lj
Nqy�K�R�&; 请大家注意防护PC!
�fKE��Zlrw [本文章由斑竹转载,原文版权归原作者所有,
文章出处是……]
