中国黑客病毒
据瑞星公司的反病毒工程师介绍,病毒的编写者技术十分高明,病毒的“功能”设置也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、速度极快,而且能绕过杀毒软件的层层关卡进入机器内存,更厉害的是,普通杀毒软件即使发现这个病毒,也无法“干掉它” ...
中国黑客与中国黑客II分析比较报告
“中国黑客”病毒于2002年6月6日被瑞星首次捕获,它有以下特征:
1. 此病毒可以在Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me等操作系统中运行。
2. 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有操作系统的所有权限,可以为所欲为。在NT系列操作系统下,病毒将自身线程驻留在浏览器体内来运行自身,每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后,感染力会比一般病毒大得多。
3. 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程,一个核心线程,一个用户线程,当用户线程被杀掉时,核心线程便会立刻产生一个新的用户线程,导致一般杀毒软件无法完全将此病毒从内存中清除。
4. 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
病毒邮件的内容为:(注:username是被感染机器的计算机名)
寄件人: @hotmail.com 或者iloveyou@btamail.net.cn
标题: Hi, i am
附件: P.exe
5. 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入.eml(注:username是被感染机器的计算机名)的文件,用户不小心点击的话,也同样会使病毒运行,严重时可阻塞网络。
6. 病毒运行时会在WINDOWS安装目录的%system%目录(如果是9X系统则为:system目录,如果是NT系统则为system32目录)下生成一个病毒文件。生成的病毒文件是:runouce.exe(系统自带的文件是:runonce.exe),此文件的属性是:系统、只读、隐藏,目的是防止用户发现。
7. 病毒会修改注册表达到自启动的目的。此病毒会在注册表项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中建立一个Runonce的键值,内容为:C:WinntSystem32Runouce.exe。(此路径随系统不同而有所变化)
“中国黑客II”病毒于2002年7月31日被瑞星首次捕获,它相当于是 “中国黑客”病毒的一个增强版,在“中国黑客”病毒体内预留的编程接口在“中国黑客II”病毒中已有部分实现。
此病毒除了具有“中国黑客”病毒的全部特征以外,还具有以下新特征:
1. 此病毒进行邮件传播时,支持更多的邮件地址列表。它不仅支持OUTLOOK的地址薄格式(.wab),还支持.adc, .doc, .xls等其它格式。
2. 此病毒生成的病毒邮件也有一些不同。
病毒邮件内容是:
寄件人:@yahoo.com 或者 imissyou@btamail.net.cn
标题: is coming!
附件: PP.exe
3. 具有感染系统可执行文件的功能。此病毒已经不再是一个单纯的蠕虫病毒,而有了系统病毒的特性,病毒驻留内存后便可以感染所有后缀为:.exe,.scr的文件,造成病毒在计算机中大量繁殖。
4. 此病毒在内存驻留技术上,采用“互斥量”技术,不重复感染内存。
5. 此病毒还可以感染后缀为.htm,.html的脚本类型文件。此病毒综合了尼姆达(Nimda)病毒的一些传染方式,会生成一个Readme.eml信件文件,此邮件是一个具有自启动的含有病毒体的邮件,而且此病毒也会象尼姆达(Nimda)病毒那样,感染脚本类型的文件,在此类型的文件后面加上一个调用Readme.eml文件的脚本代码,用户一旦浏览被感染的脚本文件,病毒便可自动运行。
6. 此病毒还可以利用局域网发作。当用户在NT系列操作系统的局域网环境中时,病毒会在屏幕上弹出一个信息框,内容为:“My god! Some one killed ChineseHacker-2 Moniter ”(天哪!竟然有人干掉了中国黑客-2的监控),扰乱用户正常使用计算机。
7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函数的调用,这证明此病毒还有进一步的升级计划。
======================================================================
“中国黑客II”携重镑武器重返网络,欲再掀波澜
不好的“预言”终于实现了,“中国黑客”病毒新变种“中国黑客II”病毒,经过改装,挟带“新型武器”重返用户网络,欲再掀波澜。
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/文件
感染对象:网络/文件
警惕程度:★★★★★
病毒介绍:
此病毒具有第一版本病毒的特性:用两套感染机制感染不同的操作系统平台;用多线程守护技术造成很多杀毒软件无法杀掉内存病毒;利用邮件的OUTLOOK地址簿传播自身;在局域网中的可写目录中写入病毒邮件进行局域网传播。
除此之外,此病毒还添加了以下新特性:具有系统病毒的特性,可以感染系统的.exe、.scr类型的文件,使被感染的文件尺寸增大;可以通过更多的邮件列表进行邮件传播(支持.wab,.adc, .doc, .xls式);具有更强的局域网传播特性,严重阻塞网络;此病毒还可以象Nimda病毒那样感染脚本文件,通过脚本文件来执行病毒程序,并在被感染的脚本文件的目录下生成Readme.eml的病毒邮件;病毒会生成:“<用户名> is coming!”标题的病毒邮件;当用户在局域网的环境时,会出现“My god! Some one killed ChineseHacker-2 Moniter ”的信息框。
解决方案:
要想查杀此病毒,可以用瑞星杀毒软件2002增强版,不但可以查杀此病毒而且它的邮件监控系统还可以防止此病毒更新变种的泛滥。如果用户手头上没有此杀毒软件,没有关系,下面我就手把手教您清除此病毒。
(1) 病毒会生成以下信息的病毒邮件:
寄件人:@yahoo.com 或者 imissyou@btamail.net.cn
标题: is coming!
附件: PP.exe
如果用户发现有此信息的邮件,则最好删除,值得注意的是,请不要预览此邮件,以防病毒自动运行。
(2) 在有网页文件的目录下查找,如果存在有Readme.eml的文件,则极可能是病毒,可将此病毒邮件直接删除。
(3) 在WINDOWS安装目录下查找隐藏文件runouce.exe,如果查找,则可证明有病毒存在,请直接将此文件删除。
(4) 查看注册表的HKEY_LOCAL_MACHINE SoftWareMicrosoftWindowsCurrentVersionRune项中是否有“runonce”的键值,如果有,看此键值的内容是否有与“runouce.exe”相关的内容(例如此键值的内容为:C:WinntSystem32Runouce.exe),如果有此内容,则将“runouce.exe”键值删除即可。