”小浩”蠕虫样本作者年仅15 [B50ED0]

显示全部楼层 · 发表于 2007-8-14 22:05:45

http://hi.baidu.com/xh%5Fhook

http://hi.baidu.com/xh%5Fhook/blog/item/ee7ece2fa834723a1f308925.html

以上是作者的博客

卡巴主动防御三步解决

8月14日，江民反病毒中心监测到，目前有一新蠕虫病毒“小浩”(Worm/XiaoHao.a)正在互联网上悄悄作案，该病毒与“熊猫烧香”蠕虫病毒极为相似，可以感染*.exe可执行程序，并将所以被感染的可执行文件图标变为一个“浩”字。　　病毒同时还会感染各种网页脚本程序，将正常网页插入带毒网址，并且可以通过U盘进行传播。
　　值得注意的是该病毒的破坏能力甚至超过了“熊猫烧香”，被感染后的*.exe文件将遭到破坏，并且无法恢复。
　　据江民反病毒专家介绍，“小浩”蠕虫病毒(Worm/XiaoHao.a)感染.exe可执行程序时，用病毒程序覆盖被感染程序，属于覆盖式写入，破坏式感染，因此被感染的文件即使是专业的数据恢复公司也无法完全恢复。从这种意义上来看，“小浩”病毒的破坏力远胜于“熊猫烧香”。
　　据了解，针对此病毒，江民科技已经紧急升级了病毒库，用户只要升级到8月14日的病毒库，就可以有效地拦截此病毒的入侵。
　　

小浩病毒发作图江民反病毒专家建议广大用户：
　　1.安装KV2007的杀毒软件，开启每天定时升级病毒库，定时杀毒功能，并开启所有的监控功能。
　　2.禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
　　禁用Windows系统的自动播放功能的方法：在运行中输入gpedit.msc后回车，打开组策略编辑器，依次点击：计算机配置-＞管理模板-＞系统-＞关闭自动播放-＞已启用-＞所有驱动器-＞确定。
　　3.利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。

[ 本帖最后由 promised 于 2007-8-16 10:17 编辑 ]

显示全部楼层 · 发表于 2007-8-14 22:06:55

Start of the scan: 2007年8月14日  22:06

Starting the file scan:

Begin scan in 'H:\AV-TEST'
H:\AV-TEST\xiaohao.rar
  [0] Archive type: RAR
  --> xiaohao.exe
   [DETECTION] Contains suspicious code HEUR/Crypted
   [INFO]    The file was deleted!

End of the scan: 2007年8月14日  22:06
Used time: 00:10 min

The scan has been done completely.

   1 Scanning directories
   2 Files were scanned
   1 viruses and/or unwanted programs were found
   1 classified as suspicious:
   1 files were deleted
   0 files were repaired
   0 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   0 Files not concerned
   1 Archives were scanned
   0 Warnings
   0 Notes
   0 Hidden objects were found

显示全部楼层 · 发表于 2007-8-14 22:07:15

微点：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\EXLOROE.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2007-8-14 22:10:13

江民怎么没有查到

显示全部楼层 · 发表于 2007-8-14 22:10:33

检测到一个应用程序尝试访问一个受保护的文件对象
文件路径: C:\WINDOWS\system32\exloroe.exe

检测到一个应用程序尝试写入到受保护的注册表区域
键路径: CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

检测到一个应用程序尝试创建一个进程
命令行: C:\Program Files\Internet Explorer\iexplore.exe

显示全部楼层 · 发表于 2007-8-14 22:12:07

原帖由 sb 于 2007-8-14 22:10 发表
江民怎么没有查到

你升级下试试
这个病毒就是江民说先发现的

http://www.jiangmin.com/News/jiangmin/index/important/2007814163748.htm

显示全部楼层 · 发表于 2007-8-14 22:12:26

A-Squared	3.0.0.123	2007.08.13	2007-08-13	Found nothing	3.704
AntiVir	7.4.0.60	6.39.0.240	2007-08-14	HEUR/Crypted	2.203
Arcavir	1.0.4	200708131728	2007-08-13	Found nothing	1.183
Avast	1.0.8	000765-1	2007-08-13	Found nothing	1.535
AVG	7.5.48.442	269.11.17/951	2007-08-13	Found nothing	1.345
BitDefender	7.60825.766880	7.14354	2007-08-14	Found nothing	2.760
CA (VET)	8.4.0.24	31.1.5058	2007-08-14	Found nothing	0.855
ClamAV	0.91.1	3957	2007-08-14	Found nothing	0.049
Dr.Web	4.33	2007.08.14	2007-08-14	BACKDOOR.Trojan	5.656
Ewido	4.0.0.2	2007.08.14	2007-08-14	Found nothing	2.069
F-Prot	3.16.16	2007.08.13	2007-08-13	Found nothing	0.392
F-Secure	5.51.6100	2007.08.14.03	2007-08-14	Found nothing	2.422
Ikarus	T3.1.1.12	2007.08.14.69347	2007-08-14	Found nothing	1.317
JiangMin	10.00.650	2007.08.14	2007-08-13	Worm/XiaoHao.a	0.737
Kaspersky	5.5.10	2007.08.14	2007-08-14	Found nothing	0.078
KingSoft	2007.6.20.249	2007.8.14	2007-08-14	Found nothing	0.911
McAfee	5.1.00	5096	2007-08-13	Found nothing	0.945
mks_vir	2.01	2007.08.13	2007-08-13	Found nothing	2.211
NOD32	2.70.7	2459	2007-08-14	Found nothing	1.428
Norman	5.91.04	5.90	2007-08-14	Found nothing	3.739
nProtect	2007-08-13.00	35879	2007-08-13	Found nothing	6.768
Panda	9.00.00	2007.08.13	2007-08-13	Found nothing	3.958
Rising	19.0	19.36.12.00	2007-08-14	Virus.Win32.Agent.o	1.872
Sophos	2.47.0	4.19	2007-08-14	Found nothing	2.774
Symantec	1.3.0.24	20070813.025	2007-08-13	Found nothing	0.211
Trend Micro	8.500-1001	4.651.00	2007-08-13	Found nothing	0.063
VBA32	3.12.2.2	20070813.1327	2007-08-13	Found nothing	0.680
VirusBuster	4.3.19:9	9.097.2/11.0	2007-08-14	Found nothing	0.980

可以替换掉exe，修复不了的，很厉害的病毒，跟以前的rabbit（玉兔）一样。

显示全部楼层 · 发表于 2007-8-14 22:13:00

有意思。把我桌面删了。

显示全部楼层 · 发表于 2007-8-14 22:21:13

郁闷..我的已经升级到最新版本了,为什么在线扫描都可以查出我的KV2007却不能

显示全部楼层 · 发表于 2007-8-14 22:22:37

avast成功拦截，但是拒绝点到手发麻

[病毒样本] ”小浩”蠕虫样本作者年仅15 [B50ED0]

本帖子中包含更多资源

d:\病毒库\xiaohao\xiaohao.exe

浏览过的版块

[病毒样本] ”小浩”蠕虫样本 作者年仅15 [B50ED0]

本帖子中包含更多资源

d:\病毒库\xiaohao\xiaohao.exe

浏览过的版块

[病毒样本] ”小浩”蠕虫样本作者年仅15 [B50ED0]