蠕虫破坏力超熊猫烧香 江民发布技术报告
日期:2007年8月17日 作者: 查看:[大字体 中字体 小字体]-
8月14日,江民科技反病毒中心监测到,一种名为“小浩”蠕虫病毒出现在网络上,该病毒和“熊猫烧香”蠕虫病毒类似,可以感染 *.exe可执行程序,可以通过U盘传播,还会感染各种网页脚本程序,插入带毒网址,但是与“熊猫烧香”蠕虫病毒不同的是,被感染后的*.exe文件将遭到破坏,无法恢复!
江民反病毒专家分析该病毒详细技术特征如下:
病毒名称:Worm/XiaoHao.a
中 文 名:小浩蠕虫
病毒类型:蠕虫
危害等级:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒运行特征:
Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写,并经过UPX工具加壳处理,病毒运行后,会在每个硬盘跟目录下释放病毒文件:
c:\xiaohao.exe, 402706字节
c:\autorun.inf, 91字节
其中xiaohao.exe 文件为病毒主体,该文件运行后搜索全盘扩展名为*.exe 的文件,将自身病毒体写入到正常文件中,从而使原文件成为新的病毒体,被感染后的文件图标为一个表示有“浩”字的图标,当浏览含有被感染病毒文件的窗口时,窗口的标题栏会有已中毒 X14o-H4o's Virus 的字样。
如下图:
由于该病毒采用的是覆盖式写入,因此被感染后的文件无法恢复。
并且该病毒进程还会创建iexplore.exe 子进程,利用多个系统漏洞下载木马病毒。
另外,在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件,该文件内容如下:
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
这样,该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播,当用户在不知情的情况下,双击已感染该病毒的U盘时,就会将病毒传播到新的系统中。
该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址连接,该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行病毒文件http://xiaohao.yona.biz/***.exe ,该文件为病毒体自身。
该病毒会将系统时间修改为2005年1月17日,使一些杀毒软件的使用授权失效,病毒还会模拟鼠标操作,企图绕过杀毒软件的主动防御功能。
该病毒会将其他未被感染的文件设置成隐藏属性,还会生成文件:c:\Jilu.txt,用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值,使其不能显示隐藏文件,严重影响了电脑的正常使用。
据息,该病毒作者还将病毒源代码公开在互联网中,并且还留下了自己的QQ号和博客地址,称“欢迎各位大牛. 来指导我 或者是交流” ,具有明显的技术炫耀性。
针对此病毒,江民科技已经紧急升级了病毒库,只要升级到8月14日的病毒库,即可拦截此病毒的入侵。
江民反病毒专家建议广大用户:
1. 安装KV2007的杀毒软件,开启每天定时升级病毒库,定时杀毒功能,并开启所有的监控功能。
- [1] [2] 下一页
-
- 蠕虫破坏力超熊猫烧香 江民发布技术报告 相关文章:
- ·MSN蠕虫病毒借助“圣诞照片传播”
- ·江民12月19日病毒播报:蠕虫家族新变种
- ·感染虫下载器感染exe文件下载病毒
- ·拆窗蠕虫关闭许多安软和系统工具
- ·感染虫下载器下载病毒具强扩散性
- ·继珊瑚虫作者被抓 飘云QQ声明退出全文
- ·对珊瑚虫作者被捕事件的四点看法
- ·浏览器存在缺陷 警惕网络 超级蠕虫
- ·珊瑚虫QQ谢幕 作者涉嫌侵权被抓
- ·仿AV禽兽蠕虫衍生大量病毒文件
- 蠕虫破坏力超熊猫烧香 江民发布技术报告 相关软件
- ·《血腥屠虫》爽快射击试玩
- ·《法老的圣甲虫》消除试玩
- ·欢喜虫儿
- ·趣味萤火虫
- ·王道中白描花卉草虫图集 (大图 EXE翻页)
- ·神奇金甲虫
- ·饥饿的毛毛虫(全仿真英文有声)
- ·齐白石绘画作品欣赏(昆虫12幅)
- ·水果虫子
- ·乐高建筑虫
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
精品推荐
热点TOP10
- ·MSN病毒album*.zip疯狂传播 下载专杀
- ·Infostealer.Gampass病毒的手动删除方法
- ·Kvsc3.exe、Kvsc3.dll病毒查杀清除方法
- ·2007年上半年十大网游盗号木马黑榜揭晓
- ·W32.Chir.B@mm
- ·AUTO病毒可导致某些杀毒软件失效
- ·病毒预警:近期危险病毒
- ·病毒清除技巧 ati2evxx.exe 的清除方法
- ·病毒清除技巧u.vbe和u.bat手动清除方法
- ·Trojan.VB.jb
- ·新木马将入侵XP系统 可盗信用卡密码
- ·网络下载多“陷阱” 网友还须多小心
- ·7.26木马播报:网络下载多“陷阱”
- ·综合手段清除流氓软件8749病毒解决方案
- ·流氓软件新技术 8749病毒详细分析报告
- ·小心防范 毒王“ANI病毒”又出新变种
- ·解析U盘病毒,Autorun文件和RavMonE.exe病毒
- ·震惊!首个针对Mac系统的蠕虫病毒出现
- ·暑期来临还须小心 警惕网上被“钓鱼”
- ·挂马网站大行其道 用户浏览千万要小心
特别推荐
- ·U盘(auto病毒)类病毒分析与解决方案
- ·8749流氓软件完全清除方案
- ·流氓软件借尸还魂 广告木马愈演愈烈
- ·病毒Autorun.inf的自动功能详细解说
- ·轻松使用U盘,U盘病毒详细介绍
- ·不输熊猫烧香
- ·解析U盘病毒,Autorun文件和RavMonE.exe病毒
- ·Infostealer.Gampass病毒的手动删除方法
- ·病毒清除技巧u.vbe和u.bat手动清除方法
- ·Kvsc3.exe、Kvsc3.dll病毒查杀清除方法
- ·挂马网站大行其道 用户浏览千万要小心
- ·挂马网站大行其道 用户浏览要小心
- ·Trojan.PSW.700
- ·SCRIPT.NoMercy.A
- ·VBS.Corica
- ·Trojan.VB.jb
- ·Bat.DVL.b
- ·Macro.Word.Makelove
- ·W32.Chir.B@mm
- ·Worm.SdBot.fl