小浩病毒

一個類似“熊貓燒香”的“小浩”蠕蟲病毒,引來眾多網友的憤怒聲討.製造病毒的15歲少年黑客迫於壓力,終於在其部落格上公開道歉,並承諾今後不再製作病毒.小浩在部落格中表示,因能力有限,無法編寫專殺程式,只有刪除所有相關病毒原始碼下載.並坦言不想和"熊貓燒香"病毒作者李俊一樣,最終進監獄.

8月14日，江民反病毒中心監測到，目前有一新蠕蟲病毒“小浩”（Worm/XiaoHao.a）正在網際網路上悄悄作案，該病毒與“熊貓燒香”蠕蟲病毒極為相似，可以感染*.exe可執行程式，並將所以被感染的執行檔圖示變為一個“浩”字。病毒同時還會感染各種網頁腳本程式，將正常網頁插入帶毒網址，並且可以通過隨身碟進行傳播。值得注意的是該病毒的破壞能力甚至超過了“熊貓燒香”，被感染後的*.exe檔案將遭到破壞，並且無法恢復。

江民反病毒專家介紹，“小浩”蠕蟲病毒（Worm/XiaoHao.a）感染.exe可執行程式時，用病毒程式覆蓋被感染程式，屬於覆蓋式寫入，破壞式感染，因此被感染的檔案即使是專業的數據恢復公司也無法完全恢復。從這種意義上來看，“小浩”的破壞性遠遠大於了熊貓燒香.

今日，DSW Lab Avert小組監測到一個具備較強破壞力的名為小浩的蠕蟲病毒開始傳播，該病毒類似此前曾肆虐網路的熊貓燒香病毒，破壞性感染系統檔案，並在受害者系統上遍歷網頁/腳本檔案，插入帶毒的網址。因為病毒的破壞性感染行為，導致被感染檔案無法修復，嚴重被感染系統無法使用，會導致用戶無法開機現象。

病毒名稱：WorWorm.Win32.Xiaohao.am.Win32.Xiaohao.a

病毒別名：小浩

病毒類型：蠕蟲

危害級別：4

感染平台：Windows 平台

編寫語言：C/C++

1、當病毒體在被感染的系統上激活後，會在磁碟跟目錄釋放autorun.inf等檔案，感染隨身碟等移動設備：

%DRIVE%\autorun.inf 檔案屬性：H

%DRIVE%\Xiaohao.exe 檔案屬性：H

2、同時在跟目錄釋放一個名為Jilu.txt檔案，記錄了相關感染檔案列表。

3、拷貝自身到系統目錄下，全路徑： %SystemRoot%\system32\exloroe.exe

4、將自動加入到註冊表啟動項確保自身啟動激活：

鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Active Setup\Installed Components