“小浩”变种Worm.Win32.XiaoHao.b图标为卡通耗子形象,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播。
病毒名称
Worm.Win32.XiaoHao.b
捕获时间
2008-04-29
病毒症状
该程序是使用VC编写的蠕虫程序,由微点主动防御软件自动捕获,程序未加壳,长度为19,456字节,图标为图标,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播。
病毒分析
该蠕虫程序被执行后,创建名为“HACK”的互斥体,防止系统中有多个病毒进程存在;拷贝自身到目录%systemroot%\system32下,重命名为exloroe.com,修改文件属性为隐藏;将exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下,重命名为word.com;
修改如下注册表键值实现修改.exe文件关联,当用户运行.exe文件时运行病毒本身、修改注册表自启动项以随系统一起启动、限制使用【Internet选项】命令、禁用CMD、禁用Windows自动更新、自动关闭停止相应程序、禁用任务管理器、禁用注册表编辑器、隐藏病毒文件;删除安全模式所对应的注册表键值,使用户不能通过安全模式修复系统;修改系统时间使部分杀毒软件不能正常使用;
枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时,在文件内插入
<iframe ></iframe>
avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe
试图进行感染;之后访问网站,解密后为http://www.***dm.cn/bd.htm;遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.com和autorun.inf,使用Windows自动播放功能来传播病毒。
病毒修改的注册表项:
项:HKCR\exefile\shell\open\command\ 健值:默认 指向数据:病毒原程序当前所在路径 "%1" %*" 项:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 健值:exloroe 指向数据:%systemroot%\system32\exloroe.com 项:HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\ 健值:NoBrowserOptions 指向数据:01 项:HKCU\Software\Policies\Microsoft\Windows\System\ 健值:DisableCMD 指向数据:02 项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 健值:NoCommon Groups 指向数据:01 项:HKCU\Control Panel\Desktop\ 健值:AutoEndTasks 指向数据:01 项:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 健值:CheckedValue 指向数据:01 项:HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\ 健值:NoFolderOptions 指向数据:01 项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ 健值:DisableTaskMgr 指向数据:01 项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ 健值:DisableRegistryTools 指向数据:01 项:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 健值:ShowSuperHidden 指向数据:00 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
autorun.inf文件内容如下:
[Autorun] open=Xiaohao.com shell\open=打开(&O) shell\open\Command=Xiaohao.com shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=Xiaohao.com shellexecute=Xiaohao.com shell\Auto\command=Xiaohao.com
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名