Xiaohao.exe查找可用的磁碟,在其目錄下生成:Xiaohao.exe和Autorun.inf
如雙擊磁碟,則激活病毒。
基本介紹
病毒簡介,病毒分析,病毒作者,
病毒簡介
檔案名稱稱:Xiaohao.exe
檔案大小:12288 位元組
AV命名:Virus.Win32.Agent.o(瑞星)
加殼方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
編寫語言:Microsoft Visual C++ 6.0
病毒類型:蠕蟲
檔案MD5:B50ED06B61CDCF060D0136784999E50C
檔案SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
傳播方式:隨身碟等移動.介尋雄辣質、網頁漏洞。
所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003
病毒分析
1、釋放病毒檔案:
%Systemroot%\system32\dllcache\dvdplay.exe
%Systemroot%\system32\OLDA.tmp
%Systemroot%\system32\exloroe.exe
其中主體Xiaohao.exe常駐進程。
2、嘗試啟動C:\Program Files\Internet Explorer\iexplore.exe,不過未見其他行為。
3、Xiaohao.exe查找可用的磁碟,在其目錄下道良全生成:Xiaohao.exe和Autorun.inf
如雙擊磁碟,則激活病毒。
(如果在插入隨身碟情況下,運行被感染的病毒,那么隨身碟目錄會生成Xiaohao.exe和Autorun.inf)
4、遍歷磁碟所有檔案,如遇到.exe檔案則覆蓋,並在檔案尾增加感染標記“ygr”
覆蓋檔案頭部,導致執行檔結構被破壞。檔案全部變成一個“浩”字。
由於無判斷路徑,系統檔案也.被破壞坑鴉元了,重啟後可能無法開機。
並且一些系統設定和配置失效,例如系統時間會被修改。
5、查找擴展名為*.jsp、*.php、*.aspx、*.asp、*.html、*.htm檔案。插入一段代碼:
代碼:
由作業系統版本判斷,決定跳轉的網頁。
首先檢測是否存在MS06-014漏洞,若有,則跳至h**p://xiaohao.yona.biz/zhu3.htm
如無意外,可獲樣本:h**p://xiaohao.yona.biz/xiaohao.exe
若無MS06-014漏洞,則跳至h**p://xiaohao.yona.biz/baobao.htm.
代碼以十進制射凳櫻灑加密,戒墓解密後得一個0day木馬。
7、修改進程視窗標.題,為:已中毒 X14o-H4o''s Virus
8、如病毒在進程全蜜棄,在進入一個目錄後,所有檔案(被感染檔案除外)屬性皆被設定為隱藏!
9、破壞顯示隱藏檔案,設定為“不顯示”。
10、寫入註冊表,開機自啟:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
指向%SystemRoot%\system32\exloroe.exe(這一步使系統啟動不了!)
11、保存被感染的檔案列表C:\Jilu.txt
病毒作者
網名:X14oH4o
百度空間:/xh_hook
住址:江西南昌
9、破壞顯示隱藏檔案,設定為“不顯示”。
10、寫入註冊表,開機自啟:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
指向%SystemRoot%\system32\exloroe.exe(這一步使系統啟動不了!)
11、保存被感染的檔案列表C:\Jilu.txt
病毒作者
網名:X14oH4o
百度空間:/xh_hook
住址:江西南昌
