全面解读“小浩”病毒新变种“卡通耗子”

作者：网盾编辑日期：2008年5月7日点击：次

阅读提示： “小浩”变种Worm.Win32.XiaoHao.b图标为卡通耗子形象，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

“小浩”变种Worm.Win32.XiaoHao.b图标为卡通耗子形象，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒名称

Worm.Win32.XiaoHao.b

捕获时间

2008-04-29

病毒症状

该程序是使用VC编写的蠕虫程序，由微点主动防御软件自动捕获，程序未加壳，长度为19,456字节，图标为图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒分析

该蠕虫程序被执行后，创建名为“HACK”的互斥体，防止系统中有多个病毒进程存在；拷贝自身到目录％systemroot％\system32下，重命名为exloroe.com，修改文件属性为隐藏；将exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下，重命名为word.com；

修改如下注册表键值实现修改.exe文件关联，当用户运行.exe文件时运行病毒本身、修改注册表自启动项以随系统一起启动、限制使用【Internet选项】命令、禁用CMD、禁用Windows自动更新、自动关闭停止相应程序、禁用任务管理器、禁用注册表编辑器、隐藏病毒文件；删除安全模式所对应的注册表键值，使用户不能通过安全模式修复系统；修改系统时间使部分杀毒软件不能正常使用；

枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时，在文件内插入

<iframe ></iframe>

解密后为http://www.158dm.cn/a1.htm；查找杀毒软件主程序文件

avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe

试图进行感染；之后访问网站，解密后为http://www.***dm.cn/bd.htm；遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.com和autorun.inf,使用Windows自动播放功能来传播病毒。

病毒修改的注册表项：

项:HKCR\exefile\shell\open\command\
健值:默认
指向数据:病毒原程序当前所在路径 "%1" %*"

项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
健值：exloroe
指向数据：％systemroot％\system32\exloroe.com

项：HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
健值：NoBrowserOptions
指向数据：01

项：HKCU\Software\Policies\Microsoft\Windows\System\
健值：DisableCMD
指向数据：02

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
健值：NoCommon Groups
指向数据：01

项：HKCU\Control Panel\Desktop\
健值：AutoEndTasks
指向数据：01

项：HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
健值：CheckedValue
指向数据：01

项：HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\
健值：NoFolderOptions
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableTaskMgr
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableRegistryTools
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值：ShowSuperHidden
指向数据：00

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

autorun.inf文件内容如下：

[Autorun]
open=Xiaohao.com
shell\open=打开(&O)
shell\open\Command=Xiaohao.com
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=Xiaohao.com
shellexecute=Xiaohao.com
shell\Auto\command=Xiaohao.com

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

来源：赛迪编辑：yangzhenxing88

【投稿】【打印】【关闭】