全面解讀「小浩」病毒新變種「卡通耗子」

News

全面解讀「小浩」病毒新變種「卡通耗子」

【賽迪網-IT技術報道】「小浩」變種Worm.Win32.XiaoHao.b圖標為卡通耗子形象，病毒擴展名為exe，主要通過網頁木馬、文件捆綁、移動儲存介質方式傳播。

病毒名稱

Worm.Win32.XiaoHao.b

捕獲時間

2008-04-29

病毒症狀

該程序是使用VC編寫的蠕蟲程序，由微點主動防禦軟體自動捕獲，程序未加殼，長度為19,456字節，圖標為圖標，病毒擴展名為exe，主要通過網頁木馬、文件捆綁、移動儲存介質方式傳播。

病毒分析

該蠕蟲程序被執行後，創建名為「HACK」的互斥體，防止系統中有多個病毒進程存在；拷貝自身到目錄％systemroot％/system32下，重命名為exloroe.com，修改文件屬性為隱藏；將exloroe.com拷貝到目錄C:/Documents and Settings/All Users/「開始」菜單/程序/啟動下，重命名為word.com；

修改如下註冊表鍵值實現修改.exe文件關聯，當用戶運行.exe文件時運行病毒本身、修改註冊表自啟動項以隨系統一起啟動、限制使用【Internet選項】命令、禁用CMD、禁用Windows自動更新、自動關閉停止相應程序、禁用任務管理器、禁用註冊表編輯器、隱藏病毒文件；刪除安全模式所對應的註冊表鍵值，使用戶不能通過安全模式修復系統；修改系統時間使部分殺毒軟體不能正常使用；

枚舉硬碟查找所有文件類型判斷擴展名為htm、html、asp、aspx、php、jsp的文件時，在文件內插入

<iframe ></iframe>

解密後為http://www.158dm.cn/a1.htm；查找殺毒軟體主程序文件

avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe

試圖進行感染；之後訪問網站，解密後為http://www.***dm.cn/bd.htm；遍歷盤符在各分區和移動儲存介質中釋放病毒文件Xiaohao.com和autorun.inf,使用Windows自動播放功能來傳播病毒。

病毒修改的註冊表項：

項:HKCR/exefile/shell/open/command/健值:默認指向資料:病毒原程序當前所在路徑 "%1" %*"項：HKLM/Software/Microsoft/Windows/CurrentVersion/Run/健值：exloroe指向資料：％systemroot％/system32/exloroe.com項：HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions/健值：NoBrowserOptions指向資料：01項：HKCU/Software/Policies/Microsoft/Windows/System/健值：DisableCMD指向資料：02項：HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/健值：NoCommon Groups指向資料：01項：HKCU/Control Panel/Desktop/健值：AutoEndTasks指向資料：01項：HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/健值：CheckedValue指向資料：01項：HKCU/Software/Microsoft/Windows/Current Version/Policies/Explorer/健值：NoFolderOptions指向資料：01項：HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/健值：DisableTaskMgr指向資料：01項：HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/健值：DisableRegistryTools指向資料：01項：HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/健值：ShowSuperHidden指向資料：00HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}

autorun.inf文件內容如下：

[Autorun]open=Xiaohao.comshell/open=打開(&O)shell/open/Command=Xiaohao.comshell/open/Default=1shell/explore=資源管理器(&X)shell/explore/Command=Xiaohao.comshellexecute=Xiaohao.comshell/Auto/command=Xiaohao.com

感染對像

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、移動儲存介質

(

回上頁回首頁

免費客服專線

0800-600-386

【直營地點】
台北資料救援：115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援：300新竹市東區光復路二段156號
新竹科學園區資料救援：新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援：700台南市中西區北門路一段57號 TEL:06-505-0005