病毒名称

　　Worm.Win32.XiaoHao.b

　　捕获时间

　　2008-04-29

　　病毒症状

　　该程序是使用VC编写的蠕虫程序，由微点主动防御软件自动捕获，程序未加壳，长度为19,456字节，图标为

　　图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

　　病毒分析

　　该蠕虫程序被执行后，创建名为“HACK”的互斥体，防止系统中有多个病毒进程存在；拷贝自身到目录％systemroot％\system32下,重命名为exloroe.com，修改文件属性为隐藏；将exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下，重命名为word.com；

　　修改如下注册表键值实现修改.exe文件关联，当用户运行.exe文件时运行病毒本身、修改注册表自启动项以随系统一起启动、限制使用【Internet选项】命令、禁用CMD、禁用Windows自动更新、自动关闭停止相应程序、禁用任务管理器、禁用注册表编辑器、隐藏病毒文件；删除安全模式所对应的注册表键值，使用户不能通过安全模式修复系统；修改系统时间使部分杀毒软件不能正常使用；

　　枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时，在文件内插入<iframe ></iframe>，解密后为http://www.158dm.cn/a1.htm；查找杀毒软件主程序文件avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe试图进行感染；之后访问网站，解密后为http://www.***dm.cn/bd.htm；遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.com和autorun.inf,使用Windows自动播放功能来传播病毒。

　　Quote:

　　病毒修改的注册表项：

　　项:HKCR\exefile\shell\open\command\

　　健值:默认

　　指向数据:病毒原程序当前所在路径 "%1" %*"

　　项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　健值：exloroe

　　指向数据：％systemroot％\system32\exloroe.com

　　项：HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\

　　健值：NoBrowserOptions

　　指向数据：01

　　项：HKCU\Software\Policies\Microsoft\Windows\System\

　　健值：DisableCMD

　　指向数据：02

　　项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

　　健值：NoCommon Groups

　　指向数据：01

　　项：HKCU\Control Panel\Desktop\

　　健值：AutoEndTasks

　　指向数据：01

　　项：HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

　　健值：CheckedValue

　　指向数据：01

　　项：HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\

　　健值：NoFolderOptions

　　指向数据：01

　　项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

　　健值：DisableTaskMgr

　　指向数据：01

　　项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

　　健值：DisableRegistryTools

　　指向数据：01

　　项：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

　　健值：ShowSuperHidden

　　指向数据：00

　　HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　Quote:

　　autorun.inf文件内容如下：

　　[Autorun]

　　open=Xiaohao.com

　　shell\open=打开(&O)

　　shell\open\Command=Xiaohao.com

　　shell\open\Default=1

　　shell\explore=资源管理器(&X)

　　shell\explore\Command=Xiaohao.com

　　shellexecute=Xiaohao.com

　　shell\Auto\command=Xiaohao.com

　　感染对象

　　Windows 2000/Windows XP/Windows 2003

　　传播途径

　　网页木马、文件捆绑、移动存储介质

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.XiaoHao.b”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　4、开启windows自动更新，及时打好漏洞补丁。