| 病毒分类 |
WINDOWS |
病毒名称 |
Worm.ChineseHacker-2 |
| 别
名 |
中国黑客2 |
病毒长度 |
|
| 危害程度 |
重 |
传播途径 |
网络/文件 |
| 传播程度 |
广 |
感
染 |
网络/文件 |
| 病毒发作 |
|
|
|
该病毒是一个可传染PE 文件的病毒。同时有具有了蠕虫的特征.
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到 windows\system\runouce.exe .
在windows 2000 和 windows 系统中复制自身到 winnt\system\runouce.exe .然后运行该程序。
并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
该病毒在 windows 98 操作系统上进入 0环。在0 环通过 CreateKernelThread 函数建立一个
内核线程。该内核线程用来监控病毒进程是否在运行。如果病毒进程被杀掉,则该线程从新启动
病毒进程。
该病毒在 windows 2000 操作系统上在 随机的注入线程。在 被注入的线程用来保护
病毒进程。如果病毒进程结束。
该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
该病毒有急强的局域网传染功能。
病毒通过搜索网上邻居中的可写文件夹。然后在每个可写文件夹中都生成一个以计算机器名命名的 eml 文件。
并且该 eml 文件是有自启动漏洞的 eml 文件。
由于病毒的特殊机理解建议用户在杀毒时打开适时监控与文件监控。
|
|
| 档案导语 |
|
不好的“预言”终于实现了,“中国黑客”病毒新变种“中国黑客II”病毒,经过改装,挟带“新型武器”重返用户网络,欲再掀波澜。
|
|
| 解决方案 |
|
(1) 病毒会生成以下信息的病毒邮件:
寄件人:@yahoo.com 或者 imissyou@btamail.net.cn
标题: is coming!
附件: PP.exe
如果用户发现有此信息的邮件,则最好删除,值得注意的是,请不要预览此邮件,以防病毒自动运行。
(2) 在有网页文件的目录下查找,如果存在有Readme.eml的文件,则极可能是病毒,可将此病毒邮件直接删除。
(3) 在WINDOWS安装目录下查找隐藏文件runouce.exe,如果查找,则可证明有病毒存在,请直接将此文件删除。
(4) 查看注册表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e项中是否有“runonce”的键值,如果有,看此键值的内容是否有与“runouce.exe”相关的内容(例如此键值的内容为:C:\Winnt\System32\Runouce.exe),如果有此内容,则将“runouce.exe”键值删除即可。
|
|
| 瑞星建议 |
|
为避免用户遭受损失,瑞星公司已经进行了软件升级,瑞星杀毒软件14.20及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底查杀“中国黑客II”病毒。
如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-86243236或登陆瑞星反病毒网http://www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!
|
|
| 备
注 |
|
中国黑客病毒专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/Worm.htm
|
|
