“小浩”蠕虫病毒特征详细技术分析报告

Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写，并经过UPX工具加壳处理，病毒运行后，会在每个硬盘跟目录下释放病毒文件：

病毒名称：Worm/XiaoHao.a

中 文 名：小浩蠕虫

病毒类型：蠕虫

危害等级：★★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒运行特征：

Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写，并经过UPX工具加壳处理，病毒运行后，会在每个硬盘跟目录下释放病毒文件：

c:\xiaohao.exe, 402706字节
c:\autorun.inf, 91字节

其中xiaohao.exe 文件为病毒主体，该文件运行后搜索全盘扩展名为*.exe 的文件，将自身病毒体写入到正常文件中，从而使原文件成为新的病毒体，被感染后的文件图标为一个表示有“浩”字的图标，当浏览含有被感染病毒文件的窗口时，窗口的标题栏会有已中毒 X14o-H4o's Virus 的字样。

由于该病毒采用的是覆盖式写入，因此被感染后的文件无法恢复。

并且该病毒进程还会创建iexplore.exe 子进程，利用多个系统漏洞下载木马病毒。

另外，在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件，该文件内容如下：

[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe

这样，该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播，当用户在不知情的情况下，双击已感染该病毒的U盘时，就会将病毒传播到新的系统中。

该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件，向其中插入恶意网址连接，该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行病毒文件http://xiaohao.yona.biz/***.exe ，该文件为病毒体自身。

该病毒会将系统时间修改为2005年1月17日，使一些杀毒软件的使用授权失效，病毒还会模拟鼠标操作，企图绕过杀毒软件的主动防御功能。

该病毒会将其他未被感染的文件设置成隐藏属性，还会生成文件：c:\Jilu.txt，用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值，使其不能显示隐藏文件，严重影响了电脑的正常使用。

据息，该病毒作者还将病毒源代码公开在互联网中，并且还留下了自己的QQ号和博客地址，称“欢迎各位大牛. 来指导我 或者是交流”，具有明显的技术炫耀性。