据瑞星公司的反病毒工程师介绍,病毒的编写者技术十分高明,病毒的“功能”设定也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、速度极快,而且能绕过防毒软体的层层关卡进入机器记忆体,更厉害的是,普通防毒软体即使发现这个病毒,也无法“干掉它”
基本介绍
- 中文名:中国黑客病毒
- 分类:蠕虫病毒
- 传播途径:邮件
- 特点:自身複製
简介
该病毒是一个蠕虫病毒。不会感染执行档。
病毒在被激活的过程中会把病毒体自身複製到 windows 的系统目录中。
中国黑客病毒
中国黑客病毒在windows 9x 系统中複製自身到 windows\system\runouce.exe
在windows 2000和 windows NT系统中複製自身到winnt\system32\runouce.exe。然后运行该程式。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后複製78个位元组到kernel32.dll的地址空间中。(在windows 98 与windows 95的系统中的偏移地址是 bff70400处。然后通过CreateKernelThread函式建立一个核心执行绪。该执行绪的入口地址就是bff70400。这个核心执行绪调用了WaitForSingleObject函式使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该核心执行绪立即被唤醒。核心执行绪马上调用了WinExec函式,来重新启动病毒进程。
这样,在防毒软体杀掉记忆体中的病毒进程后。病毒马上又被激活。这样造成杀不掉记忆体中的病毒。
中国黑客Ⅱ病毒
中国黑客Ⅱ病毒在windows 2000作业系统上在explorer中注入执行绪。在explorer中的执行绪用来保护病毒进程。如果病毒进程结束,则explorer中的病毒执行绪重新启动病毒进程。
通过以上的方法来起到在记忆体中保护病毒进程的作用。
传播途径
这个病毒通过邮件传染,具备自启动功能,在Outlook中只要被点中就自动启动。病毒把自身拷到Windows\system 32的目录下,命名为Runouce.exe,同时启动这个档案。启动后的病毒建立两个执行绪,除了普通执行绪之外,还有一个核心执行绪。这个核心执行绪跟蹤监控自己的普通执行绪,一旦普通执行绪被查杀,就会立刻重新启动再建一个普通执行绪,因此普通防毒软体无法彻底查杀。
同时,这个病毒十分有效地利用区域网路进行传播。一旦它进入区域网路中的某台机器,就会立刻在“网上邻居”中搜寻已分享档案夹。只要搜寻到某个可写已分享档案夹,就会生成以被感染机器名开头的.eml档案,因此最后导致区域网路的所有机器都成为病毒邮件的“传送基地”。
发作现象
在用户系统中若装有oicq聊天软体。则病毒进程每5个小时发作一次。发作时启动一个发作执行绪。这个发作执行绪会搜寻名字为“传送讯息”的视窗,若正在用oicq传送讯息时。病毒先会在传送视窗中输入12个回车换行符,然后病毒在以下的几句话放到传送讯息的视窗中。
中国黑客病毒
中国黑客病毒世界需要和平! |
反对邪教,崇尚科学! |
打倒宾拉登! |
向英雄王伟致意! |
反对霸权主义! |
社会主义好! |
当用户点击传送按钮时就会被传送出去。输入的12个回车换行符作用是使病毒加入的文字信息超出视窗的可见区域。用来防止用户看到被加入文字内容。
病毒特徵
“中国黑客”病毒于2002年6月6日被瑞星首次捕获,它有以下特徵:
中国黑客病毒
⒈ 此病毒可以在Windows 95,Windows 98,Windows NT,Windows 2000,Windows XP,Windows Me等作业系统中运行。
⒉ 病毒採用两套不同技术来分别感染9X系列和NT系列系统的记忆体。在9X系列作业系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有作业系统的所有许可权,可以为所欲为。在NT系列作业系统下,病毒将自身执行绪驻留在浏览器体内来运行自身,每当用户浏览档案时病毒便可取得控制权。病毒驻留记忆体后,感染力会比一般病毒大得多。
⒊ 此病毒记忆体驻留方面首次採用多执行绪守护的技术来保护自己。病毒进入记忆体后会产生两个执行绪,一个核心执行绪,一个用户执行绪,当用户执行绪被杀掉时,核心执行绪便会立刻产生一个新的用户执行绪,导致一般防毒软体无法完全将此病毒从记忆体中清除。
⒋ 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量传送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
病毒邮件的内容为:(注:username是被感染机器的计算机名)
寄件人: 或者标题: Hi,i am
附属档案: P.exe
以下是中国黑客病毒传送病毒邮件的邮件模板
HELO RCPT TO: %s DATA FROM: TO: %s SUBJECT: Hi,i am %s MIME-Version: 1.0 Content-type: multipart/mixed; boundary=\\\"#BOUNDARY#\\\" --#BOUNDARY# Content-Type: text/html Content-Transfer-Encoding: quoted-printable <html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html> --#BOUNDARY# MIME-Version: 1.0 Content-Type: audio/x-wav; name=\\\"p.exe\\\" Content-Transfer-Encoding: base64 Content-id: THE-CID |
⒌ 病毒具有极强的区域网路传播特性。病毒在所有网路邻居的已分享档案夹中写入.eml(注:username是被感染机器的计算机名)的档案,用户不小心点击的话,也同样会使病毒运行,严重时可阻塞网路。
⒍ 病毒运行时会在WINDOWS安装目录的%system%目录(如果是9X系统则为:system目录,如果是NT系统则为system32目录)下生成一个病毒档案。生成的病毒档案是:runouce.exe(系统自带的档案是:runonce.exe),此档案的属性是:系统、唯读、隐藏,目的是防止用户发现。
⒎ 病毒会修改注册表达到自启动的目的。此病毒会在注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中建立一个Runonce的键值,内容为:C:\Winnt\System32\Runouce.exe。(此路径随系统不同而有所变化)
解决方法
手动清除方法
1 病毒会生成以下信息的病毒邮件:
寄件人或者 标题: is coming!
附属档案: PP.exe
如果用户发现有此信息的邮件,则最好删除,值得注意的是,请不要预览此邮件,以防病毒自动运行。
2 在有网页档案的目录下查找,如果存在有Readme.eml的档案,则极可能是病毒,可将此病毒邮件直接删除。
3 在WINDOWS安装目录下查找隐藏档案runouce.exe,如果查找,则可证明有病毒存在,请直接将此档案删除。
4 查看注册表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e项中是否有“runonce”的键值,如果有,看此键值的内容是否有与“runouce.exe”相关的内容(例如此键值的内容为:C:\Winnt\System32\Runouce.exe),如果有此内容,则将“runouce.exe”键值删除即可。
独创“三执行绪”结构
介绍
"中国黑客"病毒在经过金山反病毒应急处理中心的技术人员深入分析后,得出了一个病毒编写史上的新亮点:“中国黑客”发现了全球首创的“三执行绪”结构,整个病毒採用彙编语言开发,用了非常多的反跟蹤技巧,若真为国人开发,这无疑体现了国内的病毒编写水平已经和国际接轨,更为“可贵”的是还带有自己的创新!
它採用了“2 + 1”的三执行绪结构:病毒体两个执行绪加上外部一个执行绪,充分显示病毒作者对系统深入了解的程度。
执行绪1
病毒运行后,启动的主执行绪会将自己複製到系统目录下命名为runouce.exe,并且开始搜寻本地驱动器和网路驱动器,準备对其它档案(*.exe、*.scr)和系统进行感染。同时还通过寻找用户邮件地址薄来向外发病毒邮件。
执行绪2
为了保证病毒在下次系统启动时能运行,病毒还会创建一个注册表监视的执行绪,不断监视注册表中的HLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run,如果一被修改,立即重新写入病毒项,保证自己的控制权,这又是全球第一次採用监视注册表是否被修改的病毒!
外部执行绪
分为两种情况
a.在Win9x系统下,病毒学习CIH病毒进入核心层,将自身的部分代码複製到另外一个正在运行的程式内部,通过创建核心执行绪的方式,远程启动监视执行绪运行,监视自己的进程是否存在,如果不存在则将系统目录下的runouce.exe再次载入。保证自己的不断取得对系统的控制权。
b.在WinNT系统下,与Win9x系统略有不同,病毒是利用系统的FindWindows函式寻找一个可被注入执行绪的运行程式(一般会找到Explorer.exe程式),之后病毒将这个进程打开并分配了一块记忆体,将自己的监视执行绪代码複製到该进程中,并在远程启动监视执行绪,监视病毒的进程是否存在,如果不存在则将系统目录下的runouce.exe再次载入。因此,用户在Win2000等系统下,用户虽然能用任务管理器看到并中止病毒进程,但马上新的病毒进程又会载入,使得清除很困难!
中国黑客Ⅱ
简介
不好的“预言”终于实现了,“中国黑客”病毒新变种“中国黑客Ⅱ”病毒,经过改装,挟带“新型武器”重返用户网路,欲再掀波澜。
中国黑客Ⅱ病毒
中国黑客Ⅱ病毒病毒类型:蠕虫病毒
发作时间:随机
传播方式:网路/档案
感染对象:网路/档案
警惕程度:★★★★★
“中国黑客Ⅱ”病毒于2002年7月31日被瑞星首次捕获,它相当于是 “中国黑客”病毒的一个增强版,在“中国黑客”病毒体内预留的编程接口在“中国黑客Ⅱ”病毒中已有部分实现。
新特徵
⒈ 此病毒进行邮件传播时,支持更多的邮件地址列表。它不仅支持OUTLOOK的地址薄格式(.wab),还支持.adc,.doc,.xls等其它格式。
⒉ 此病毒生成的病毒邮件也有一些不同。病毒邮件
病毒邮件内容
寄件人标题: is coming!
附属档案: PP.exe
⒊ 具有感染系统执行档的功能。此病毒已经不再是一个单纯的蠕虫病毒,而有了系统病毒的特性,病毒驻留记忆体后便可以感染所有后缀为:.exe,.scr的档案,造成病毒在计算机中大量繁殖。
中国黑客Ⅱ病毒
中国黑客Ⅱ病毒⒋ 此病毒在记忆体驻留技术上,採用“互斥量”技术,不重複感染记忆体。
⒌ 此病毒还可以感染后缀为.htm,.html的脚本类型档案。此病毒综合了尼姆达病毒的一些传染方式,会生成一个Readme.eml信件档案,此邮件是一个具有自启动的含有病毒体的邮件,而且此病毒也会象尼姆达(Nimda)病毒那样,感染脚本类型的档案,在此类型的档案后面加上一个调用Readme.eml档案的脚本代码,用户一旦浏览被感染的脚本档案,病毒便可自动运行。
⒍ 此病毒还可以利用区域网路发作。当用户在NT系列作业系统的区域网路环境中时,病毒会在萤幕上弹出一个信息框,内容为:“My god! Some one killed ChineseHacker-2 Moniter ”(天哪!竟然有人干掉了中国黑客-2的监控),扰乱用户正常使用计算机。7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函式的调用,这证明此病毒还有进一步的升级计画。
作者相关报导
瑞星截获“中国黑客”病毒 智慧型化特徵疑为国人所为
2002年6月6日下午2点,金山毒霸2008全球计算机病毒监测网截获一个传染能力极强的恶性邮件病毒,根据邮件内容暂命名为“中国黑客”!
据金山毒霸2008公司的反病毒工程师介绍,该病毒的编写者技术十分高明,病毒的“功能”设定也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、传播速度极快,而且能绕过防毒软体的层层关卡进入电脑记忆体,更厉害的是,普通防毒软体即使发现这个病毒,也无法“干掉它”,而本次对该病毒的拦截,是通过金山毒霸2008防毒软体2002增强版的“记忆体监控”功能实现的!
该病毒通过邮件传染,具备自启动功能,在Outlook中只要预览邮件就会自动启动,并进入作业系统的核心区域,然后开始发作!“中国黑客”病毒具有极强的“反防毒软体”能力!除了生成负责“搞破坏”的程式之外,它还能同时生成另外一个辅助程式,实时跟蹤并监控这个“破坏”程式的活动!一旦“破坏”程式被防毒软体查杀,辅助程式就会重新启动、再建一个“破坏”程式!因此,普通防毒软体无法彻底查杀!
同时,这个病毒十分有效地利用区域网路进行传播!一旦它进入区域网路中的某台机器,就会立刻在“网上邻居”中搜寻已分享档案夹!只要搜寻到某个可写已分享档案夹,就会生成以被感染机器名开头的.eml档案,因此最后导致区域网路的所有电脑都成为病毒邮件的“传送基地”!
根据邮件本身的中文信息,金山毒霸2008反病毒小组初步判定,这是继“中文版求职信”之后的又一个国内病毒编写者製造的“高级”病毒,足以和“尼姆达”、“红色代码”这些舶来品相“媲美”;通过对病毒的分析表明,如果不严加防範,极有可能出现威力更强的病毒变种!