文/hins88 出处:IT.com.cn(IT世界网)
目前有一新蠕虫病毒“小浩”(Worm/XiaoHao.a)正在互联网上悄悄作案,该病毒与“熊猫烧香”蠕虫病毒极为相似,可以感染*.exe可执行程序,并将所以被感染的可执行文件图标变为一个“浩”字。病毒同时还会感染各种网页脚本程序,将正常网页插入带毒网址,并且可以通过U盘进行传播。值得注意的是该病毒的破坏能力甚至超过了“熊猫烧香”,被感染后的*.exe文件将遭到破坏,并且无法恢复。
江民反病毒专家介绍,“小浩”蠕虫病毒(Worm/XiaoHao.a)感染.exe可执行程序时,用病毒程序覆盖被感染程序,属于覆盖式写入,破坏式感染,因此被感染的文件即使是专业的数据恢复公司也无法完全恢复。从这种意义上来看,“小浩”病毒的破坏力远胜于“熊猫烧香”。
针对此病毒,江民科技已经紧急升级了病毒库,用户只要升级到8月14日的病毒库,就可以有效地拦截此病毒的入侵。
“小浩”病毒发作图如下:
病毒行为:
1、当病毒体在被感染的系统上激活后,会在磁盘跟目录释放autorun.inf等文件,感染U盘等移动设备:
%DRIVE%autorun.inf 文件属性:H
%DRIVE%Xiaohao.exe 文件属性:H
2、同时在跟目录释放一个名为Jilu.txt文件,记录了相关感染文件列表。
3、拷贝自身到系统目录下,全路径: %SystemRoot%
system32exloroe.exe
4、将自动加入到注册表启动项确保自身启动激活:
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components
键名:{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
键值:%SystemRoot%system32exloroe.exe
5、将系统时间修改为2005年1月17日,会导致部分杀毒软件和其他正版软件因授权问题无法激活。
6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件,向其中插入病毒网址。
其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。
7、其它行为:修改注册表使系统无法正常浏览隐藏文件,修改注册表劫持正常的EXE运行,使得运行一些文件会先运行蠕虫自身:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWAL
shellAutocommand=Xiaohao.exe
shellexecute=Xiaohao.exe
open=Xiaohao.exe
当用户打开感染的文件夹时,资源管理器标题会被修改成:已中毒 X14o-H4o's Virus
同时江民反病毒专家建议广大用户:
1. 安装KV2007的杀毒软件,开启每天定时升级病毒库,定时杀毒功能,并开启所有的监控功能。
2. 禁用系统的自动播放功能,防止病毒从U盘、
移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
3. 利用Windows Update 功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
[
本帖最后由 grape0915 于 2007-8-20 07:29 PM 编辑 ]
