 |
| 中国黑客病毒 |
简介编辑本段回目录
该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
 |
| 中国黑客病毒 |
在windows 9x 系统中复制自身到 windowssystemrunouce.exe
在windows 2000和 windows NT系统中复制自身到winntsystem32runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。
这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束,则explorer中的病毒线程重新启动病毒进程。
通过以上的方法来起到在内存中保护病毒进程的作用。
传播途径编辑本段回目录
这个病毒通过邮件传染,具备自启动功能,在Outlook中只要被点中就自动启动。病毒把自身拷到Windows//system 32的目录下,命名为Runouce.exe,同时启动这个文件。启动后的病毒建立两个线程,除了普通线程之外,还有一个内核线程。这个内核线程跟踪监控自己的普通线程,一旦普通线程被查杀,就会立刻重新启动再建一个普通线程,因此普通杀毒软件无法彻底查杀。
同时,这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器,就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹,就会生成以被感染机器名开头的.eml文件,因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。
发作现象编辑本段回目录
在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口,若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符,然后病毒在以下的几句话放到发送消息的窗口中。
| 世界需要和平! |
| 反对邪教,崇尚科学! |
| 打倒本拉登! |
| 向英雄王伟致意! |
| 反对霸权主义! |
| 社会主义好! |
当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。
病毒特征编辑本段回目录
“中国黑客”病毒于2002年6月6日被瑞星首次捕获,它有以下特征:
 |
| 中国黑客病毒 |
1. 此病毒可以在Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me等操作系统中运行。
2. 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有操作系统的所有权限,可以为所欲为。在NT系列操作系统下,病毒将自身线程驻留在浏览器体内来运行自身,每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后,感染力会比一般病毒大得多。
3. 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程,一个核心线程,一个用户线程,当用户线程被杀掉时,核心线程便会立刻产生一个新的用户线程,导致一般杀毒软件无法完全将此病毒从内存中清除。
4. 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
病毒邮件的内容为:(注:username是被感染机器的计算机名)
寄件人: @hotmail.com 或者iloveyou@btamail.net.cn标题: Hi, i am
附件: P.exe
以下是中国黑客病毒发送病毒邮件的邮件模板
|
HELO btamail.net.cn --#BOUNDARY# |
5. 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入.eml(注:username是被感染机器的计算机名)的文件,用户不小心点击的话,也同样会使病毒运行,严重时可阻塞网络。
6. 病毒运行时会在WINDOWS安装目录的%system%目录(如果是9X系统则为:system目录,如果是NT系统则为system32目录)下生成一个病毒文件。生成的病毒文件是:runouce.exe(系统自带的文件是:runonce.exe),此文件的属性是:系统、只读、隐藏,目的是防止用户发现。
7. 病毒会修改注册表达到自启动的目的。此病毒会在注册表项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中建立一个Runonce的键值,内容为:C:WinntSystem32Runouce.exe。(此路径随系统不同而有所变化)
解决方法编辑本段回目录
手动清除方法
1 病毒会生成以下信息的病毒邮件:
寄件人:@yahoo.com 或者 imissyou@btamail.net.cn标题: is coming!
附件: PP.exe
如果用户发现有此信息的邮件,则最好删除,值得注意的是,请不要预览此邮件,以防病毒自动运行。
2 在有网页文件的目录下查找,如果存在有Readme.eml的文件,则极可能是病毒,可将此病毒邮件直接删除。
3 在WINDOWS安装目录下查找隐藏文件runouce.exe,如果查找,则可证明有病毒存在,请直接将此文件删除。
4 查看注册表的HKEY_LOCAL_MACHINE SoftWareMicrosoftWindowsCurrentVersionRune项中是否有“runonce”的键值,如果有,看此键值的内容是否有与“runouce.exe”相关的内容(例如此键值的内容为:C:WinntSystem32Runouce.exe),如果有此内容,则将“runouce.exe”键值删除即可。
独创“三线程”结构编辑本段回目录
"中国黑客"病毒在经过金山反病毒应急处理中心的技术人员深入分析后,得出了一个病毒编写史上的新亮点:“中国黑客”发现了全球首创的“三线程”结构,整个病毒采用汇编语言开发,用了非常多的反跟踪技巧,若真为国人开发,这无疑体现了国内的病毒编写水平已经和国际接轨,更为“可贵”的是还带有自己的创新!
它采用了“2 + 1”的三线程结构:病毒体两个线程加上外部一个线程,充分显示病毒作者对系统深入了解的程
 |
| 中国黑客病毒专杀 |
线程1:病毒运行后,启动的主线程会将自己复制到系统目录下命名为runouce.exe,并且开始搜索本地驱动器和网络驱动器,准备对其它文件(*.exe、*.scr)和系统进行感染。同时还通过寻找用户邮件地址薄来向外发病毒邮件。
线程2:为了保证病毒在下次系统启动时能运行,病毒还会创建一个注册表监视的线程,不断监视注册表中的HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,如果一被修改,立即重新写入病毒项,保证自己的控制权,这又是全球第一次采用监视注册表是否被修改的病毒!
外部线程:(分为两种情况)
a.在Win9x系统下,病毒学习CIH病毒进入核心层,将自身的部分代码复制到另外一个正在运行的程序内部,通过创建内核线程的方式,远程启动监视线程运行,监视自己的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。保证自己的不断取得对系统的控制权。
b.在WinNT系统下,与Win9x系统略有不同,病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序(一般会找到Explorer.exe程序),之后病毒将这个进程打开并分配了一块内存,将自己的监视线程代码复制到该进程中,并在远程启动监视线程,监视病毒的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。因此,用户在Win2000等系统下,用户虽然能用任务管理器看到并中止病毒进程,但马上新的病毒进程又会加载,使得清除很困难!
病毒变种介绍——中国黑客II编辑本段回目录
不好的“预言”终于实现了,“中国黑客”病毒新变种“中国黑客II”病毒,经过改装,挟带“新型武器”重返用户网络,欲再掀波澜。
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/文件
感染对象:网络/文件
警惕程度:★★★★★
“中国黑客II”病毒于2002年7月31日被瑞星首次捕获,它相当于是 “中国黑客”病毒的一个增强版,在“中国黑客”病毒体内预留的编程接口在“中国黑客II”病毒中已有部分实现。
此病毒除了具有“中国黑客”病毒的全部特征以外,还具有以下新特征:
1. 此病毒进行邮件传播时,支持更多的邮件地址列表。它不仅支持OUTLOOK的地址薄格式(.wab),还支持.adc, .doc, .xls等其它格式。
2. 此病毒生成的病毒邮件也有一些不同。
 |
| 中国黑客II病毒 |
病毒邮件内容是:
寄件人:@yahoo.com 或者 imissyou@btamail.net.cn标题: is coming!
附件: PP.exe
3. 具有感染系统可执行文件的功能。此病毒已经不再是一个单纯的蠕虫病毒,而有了系统病毒的特性,病毒驻留内存后便可以感染所有后缀为:.exe,.scr的文件,造成病毒在计算机中大量繁殖。
4. 此病毒在内存驻留技术上,采用“互斥量”技术,不重复感染内存。
5. 此病毒还可以感染后缀为.htm,.html的脚本类型文件。此病毒综合了尼姆达病毒的一些传染方式,会生成一个Readme.eml信件文件,此邮件是一个具有自启动的含有病毒体的邮件,而且此病毒也会象尼姆达(Nimda)病毒那样,感染脚本类型的文件,在此类型的文件后面加上一个调用Readme.eml文件的脚本代码,用户一旦浏览被感染的脚本文件,病毒便可自动运行。
6. 此病毒还可以利用局域网发作。当用户在NT系列操作系统的局域网环境中时,病毒会在屏幕上弹出一个信息框,内容为:“My god! Some one killed ChineseHacker-2 Moniter ”(天哪!竟然有人干掉了中国黑客-2的监控),扰乱用户正常使用计算机。
7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函数的调用,这证明此病毒还有进一步的升级计划。
作者相关报道编辑本段回目录
瑞星截获“中国黑客”病毒 智能化特征疑为国人所为
2002年6月6日下午2点,金山毒霸2008全球计算机病毒监测网截获一个传染能力极强的恶性邮件病毒,根据邮件内容暂命名为“中国黑客”!
据金山毒霸2008公司的反病毒工程师介绍,该病毒的编写者技术十分高明,病毒的“功能”设置也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、传播速度极快,而且能绕过杀毒软件的层层关卡进入电脑内存,更厉害的是,普通杀毒软件即使发现这个病毒,也无法“干掉它”,而本次对该病毒的拦截,是通过金山毒霸2008杀毒软件2002增强版的“内存监控”功能实现的!
 |
| 中国黑客病毒 |
该病毒通过邮件传染,具备自启动功能,在Outlook中只要预览邮件就会自动启动,并进入操作系统的核心区域,然后开始发作!“中国黑客”病毒具有极强的“反杀毒软件”能力!除了生成负责“搞破坏”的程序之外,它还能同时生成另外一个辅助程序,实时跟踪并监控这个“破坏”程序的活动!一旦“破坏”程序被杀毒软件查杀,辅助程序就会重新启动、再建一个“破坏”程序!因此,普通杀毒软件无法彻底查杀!
同时,这个病毒十分有效地利用局域网进行传播!一旦它进入局域网中的某台机器,就会立刻在“网上邻居”中搜索共享文件夹!只要搜索到某个可写共享文件夹,就会生成以被感染机器名开头的.eml文件,因此最后导致局域网的所有电脑都成为病毒邮件的“发送基地”!
根据邮件本身的中文信息,金山毒霸2008反病毒小组初步判定,这是继“中文版求职信”之后的又一个国内病毒编写者制造的“高级”病毒,足以和“尼姆达”、“红色代码”这些舶来品相“媲美”;通过对病毒的分析表明,如果不严加防范,极有可能出现威力更强的病毒变种!
相关下载编辑本段回目录
“中国黑客”病毒专杀工具 http://zhuansha.duba.net/17.shtml
金山“中国黑客”病毒专杀工具v2002.6.7.2 http://coolersky.com/download/security/dissertation/kingsoft/2005/0509/259.html
