Xiaohao.exe查找可用的磁碟,在其目錄下生成:Xiaohao.exe和Autorun.inf
如雙擊磁碟,則激活病毒。
基本介紹
病毒簡介,病毒分析,病毒作者,
病毒簡介
檔案名稱稱:Xiaohao.exe
檔案大小:12288 位元組
AV命名:Virus.Win32.Agent.o(瑞星)
Xiaohao.exe
加殼方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
編寫語言:Microsoft Visual C++ 6.0
病毒類型:蠕蟲
檔案MD5:B50ED06B61CDCF060D0136784999E50C
檔案SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
傳播方式:隨身碟等移動.介質、網頁漏洞。
所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003
病毒分析
1、釋放病毒檔案:
%Systemroot%\system32\dllcache\dvdplay.exe
%Systemroot%\system32\OLDA.tmp
%Systemroot%\system32\exloroe.exe
其中主體Xiaohao.exe常駐進程。
2、嘗試啟動C:\Program Files\Internet Explorer\iexplore.exe,不過未見其他行為。
3、Xiaohao.exe查找可用的磁碟,在其目錄下生成:Xiaohao.exe和Autorun.inf
如雙擊磁碟,則激活病毒。
(如果在插入隨身碟情況下,運行被感染的病毒,那么隨身碟目錄會生成Xiaohao.exe和Autorun.inf)
4、遍歷磁碟所有檔案,如遇到.exe檔案則覆蓋,並在檔案尾增加感染標記“ygr”
覆蓋檔案頭部,導致執行檔結構被破壞。檔案全部變成一個“浩”字。
由於無判斷路徑,系統檔案也.被破壞了,重啟後可能無法開機。
並且一些系統設定和配置失效,例如系統時間會被修改。
5、查找擴展名為*.jsp、*.php、*.aspx、*.asp、*.html、*.htm檔案。插入一段代碼:
代碼:
由作業系統版本判斷,決定跳轉的網頁。
首先檢測是否存在MS06-014漏洞,若有,則跳至h**p://xiaohao.yona.biz/zhu3.htm
如無意外,可獲樣本:h**p://xiaohao.yona.biz/xiaohao.exe
若無MS06-014漏洞,則跳至h**p://xiaohao.yona.biz/baobao.htm.
代碼以十進制加密,解密後得一個0day木馬。
