中國黑客病毒:簡介,傳播途徑,發作現象,病毒特徵,解決方法,獨創“三執行緒”結構,

據瑞星公司的反病毒工程師介紹，病毒的編寫者技術十分高明，病毒的“功能”設定也非常巧妙，它通過種種方法使得這個病毒不光傳染能力極強、速度極快，而且能繞過防毒軟體的層層關卡進入機器記憶體，更厲害的是，普通防毒軟體即使發現這個病毒，也無法“幹掉它”

基本介紹

中文名：中國黑客病毒
分類：蠕蟲病毒
傳播途徑：郵件
特點：自身複製

簡介,傳播途徑,發作現象,病毒特徵,解決方法,獨創“三執行緒”結構,介紹,執行緒1,執行緒2,外部執行緒,中國黑客Ⅱ,簡介,新特徵,作者相關報導,

簡介

該病毒是一個蠕蟲病毒。不會感染執行檔。

病毒在被激活的過程中會把病毒體自身複製到 windows 的系統目錄中。

在windows 9x 系統中複製自身到 windows\system\runouce.exe

在windows 2000和 windows NT系統中複製自身到winnt\system32\runouce.exe。然後運行該程式。並且在註冊表中加入成自啟動。使病毒體每次開機時都被激活。

在Windows 9x系統上該病毒利用了CIH病毒相同的手法切換到零環，使自己進到系統級。然後複製78個位元組到kernel32.dll的地址空間中。（在windows 98 與windows 95的系統中的偏移地址是 bff70400處。然後通過CreateKernelThread函式建立一個核心執行緒。該執行緒的入口地址就是bff70400。這個核心執行緒調用了WaitForSingleObject函式使自身進入等待狀態，來等待父進程的結束信號。如果父進程被結束，則該核心執行緒立即被喚醒。核心執行緒馬上調用了WinExec函式，來重新啟動病毒進程。

這樣，在防毒軟體殺掉記憶體中的病毒進程後。病毒馬上又被激活。這樣造成殺不掉記憶體中的病毒。

在windows 2000作業系統上在explorer中注入執行緒。在explorer中的執行緒用來保護病毒進程。如果病毒進程結束，則explorer中的病毒執行緒重新啟動病毒進程。

通過以上的方法來起到在記憶體中保護病毒進程的作用。

傳播途徑

這個病毒通過郵件傳染，具備自啟動功能，在Outlook中只要被點中就自動啟動。病毒把自身拷到Windows\system 32的目錄下，命名為Runouce.exe，同時啟動這個檔案。啟動後的病毒建立兩個執行緒，除了普通執行緒之外，還有一個核心執行緒。這個核心執行緒跟蹤監控自己的普通執行緒，一旦普通執行緒被查殺，就會立刻重新啟動再建一個普通執行緒，因此普通防毒軟體無法徹底查殺。

同時，這個病毒十分有效地利用區域網路進行傳播。一旦它進入區域網路中的某台機器，就會立刻在“網上鄰居”中搜尋已分享檔案夾。只要搜尋到某個可寫已分享檔案夾，就會生成以被感染機器名開頭的.eml檔案，因此最後導致區域網路的所有機器都成為病毒郵件的“傳送基地”。

發作現象

在用戶系統中若裝有oicq聊天軟體。則病毒進程每5個小時發作一次。發作時啟動一個發作執行緒。這個發作執行緒會搜尋名字為“傳送訊息”的視窗，若正在用oicq傳送訊息時。病毒先會在傳送視窗中輸入12個回車換行符，然後病毒在以下的幾句話放到傳送訊息的視窗中。

世界需要和平！

反對邪教，崇尚科學！

打倒賓拉登！

向英雄王偉致意！

反對霸權主義！

社會主義好！

當用戶點擊傳送按鈕時就會被傳送出去。輸入的12個回車換行符作用是使病毒加入的文字信息超出視窗的可見區域。用來防止用戶看到被加入文字內容。

病毒特徵

“中國黑客”病毒於2002年6月6日被瑞星首次捕獲，它有以下特徵：

中國黑客病毒

⒈ 此病毒可以在Windows 95,Windows 98,Windows NT,Windows 2000,Windows XP,Windows Me等作業系統中運行。

⒉ 病毒採用兩套不同技術來分別感染9X系列和NT系列系統的記憶體。在9X系列作業系統下，病毒是利用CIH病毒的技術直接進入系統的核心級，擁有作業系統的所有許可權，可以為所欲為。在NT系列作業系統下，病毒將自身執行緒駐留在瀏覽器體內來運行自身，每當用戶瀏覽檔案時病毒便可取得控制權。病毒駐留記憶體後，感染力會比一般病毒大得多。

⒊ 此病毒記憶體駐留方面首次採用多執行緒守護的技術來保護自己。病毒進入記憶體後會產生兩個執行緒，一個核心執行緒，一個用戶執行緒，當用戶執行緒被殺掉時，核心執行緒便會立刻產生一個新的用戶執行緒，導致一般防毒軟體無法完全將此病毒從記憶體中清除。

⒋ 此病毒會利用郵件系統進行傳播。病毒自身內置有SMTP引擎，主動查找用戶的OUTLOOK地址薄，向外大量傳送帶毒郵件。病毒還利用IFRAM郵件漏洞，只要用戶預病郵件病毒便可自動運行。

病毒郵件的內容為：（註：username是被感染機器的計算機名）

寄件人：或者標題： Hi,i am

附屬檔案： P.exe

以下是中國黑客病毒傳送病毒郵件的郵件模板

HELO 　RCPT TO: %s
DATA
FROM：　TO: %s
SUBJECT: Hi,i am %s
MIME-Version: 1.0
Content-type: multipart/mixed; boundary=\\\"#BOUNDARY#\\\"
--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name=\\\"p.exe\\\"
Content-Transfer-Encoding: base64
Content-id: THE-CID

⒌ 病毒具有極強的區域網路傳播特性。病毒在所有網路鄰居的已分享檔案夾中寫入.eml（註：username是被感染機器的計算機名）的檔案，用戶不小心點擊的話，也同樣會使病毒運行，嚴重時可阻塞網路。

⒍ 病毒運行時會在WINDOWS安裝目錄的%system%目錄（如果是9X系統則為：system目錄，如果是NT系統則為system32目錄）下生成一個病毒檔案。生成的病毒檔案是：runouce.exe（系統自帶的檔案是：runonce.exe），此檔案的屬性是：系統、唯讀、隱藏，目的是防止用戶發現。

⒎ 病毒會修改註冊表達到自啟動的目的。此病毒會在註冊表項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中建立一個Runonce的鍵值，內容為：C:\Winnt\System32\Runouce.exe。（此路徑隨系統不同而有所變化）

解決方法

手動清除方法

1 病毒會生成以下信息的病毒郵件：

寄件人或者標題： is coming!

附屬檔案： PP.exe

如果用戶發現有此信息的郵件，則最好刪除，值得注意的是，請不要預覽此郵件，以防病毒自動運行。

2 在有網頁檔案的目錄下查找，如果存在有Readme.eml的檔案，則極可能是病毒，可將此病毒郵件直接刪除。

3 在WINDOWS安裝目錄下查找隱藏檔案runouce.exe，如果查找，則可證明有病毒存在，請直接將此檔案刪除。

4 查看註冊表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e項中是否有“runonce”的鍵值，如果有，看此鍵值的內容是否有與“runouce.exe”相關的內容（例如此鍵值的內容為：C:\Winnt\System32\Runouce.exe），如果有此內容，則將“runouce.exe”鍵值刪除即可。

獨創“三執行緒”結構

介紹

"中國黑客"病毒在經過金山反病毒應急處理中心的技術人員深入分析後，得出了一個病毒編寫史上的新亮點：“中國黑客”發現了全球首創的“三執行緒”結構，整個病毒採用彙編語言開發，用了非常多的反跟蹤技巧，若真為國人開發，這無疑體現了國內的病毒編寫水平已經和國際接軌，更為“可貴”的是還帶有自己的創新！

它採用了“2 + 1”的三執行緒結構：病毒體兩個執行緒加上外部一個執行緒，充分顯示病毒作者對系統深入了解的程度。

執行緒1

病毒運行後，啟動的主執行緒會將自己複製到系統目錄下命名為runouce.exe，並且開始搜尋本地驅動器和網路驅動器，準備對其它檔案（*.exe、*.scr）和系統進行感染。同時還通過尋找用戶郵件地址薄來向外發病毒郵件。

執行緒2

為了保證病毒在下次系統啟動時能運行，病毒還會創建一個註冊表監視的執行緒，不斷監視註冊表中的HLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run，如果一被修改，立即重新寫入病毒項，保證自己的控制權，這又是全球第一次採用監視註冊表是否被修改的病毒！

外部執行緒

分為兩種情況

a.在Win9x系統下，病毒學習CIH病毒進入核心層，將自身的部分代碼複製到另外一個正在運行的程式內部，通過創建核心執行緒的方式，遠程啟動監視執行緒運行，監視自己的進程是否存在，如果不存在則將系統目錄下的runouce.exe再次載入。保證自己的不斷取得對系統的控制權。

b.在WinNT系統下，與Win9x系統略有不同，病毒是利用系統的FindWindows函式尋找一個可被注入執行緒的運行程式（一般會找到Explorer.exe程式），之後病毒將這個進程打開並分配了一塊記憶體，將自己的監視執行緒代碼複製到該進程中，並在遠程啟動監視執行緒，監視病毒的進程是否存在，如果不存在則將系統目錄下的runouce.exe再次載入。因此，用戶在Win2000等系統下，用戶雖然能用任務管理器看到並中止病毒進程，但馬上新的病毒進程又會載入，使得清除很困難！

中國黑客Ⅱ

簡介

不好的“預言”終於實現了，“中國黑客”病毒新變種“中國黑客Ⅱ”病毒，經過改裝，挾帶“新型武器”重返用戶網路，欲再掀波瀾。

病毒類型：蠕蟲病毒

發作時間：隨機

傳播方式：網路/檔案

感染對象：網路/檔案

警惕程度：★★★★★

“中國黑客Ⅱ”病毒於2002年7月31日被瑞星首次捕獲，它相當於是 “中國黑客”病毒的一個增強版，在“中國黑客”病毒體內預留的編程接口在“中國黑客Ⅱ”病毒中已有部分實現。

新特徵

⒈ 此病毒進行郵件傳播時，支持更多的郵件地址列表。它不僅支持OUTLOOK的地址薄格式（.wab），還支持.adc,.doc,.xls等其它格式。

⒉ 此病毒生成的病毒郵件也有一些不同。病毒郵件

病毒郵件內容

寄件人標題： is coming!

附屬檔案： PP.exe

⒊ 具有感染系統執行檔的功能。此病毒已經不再是一個單純的蠕蟲病毒，而有了系統病毒的特性，病毒駐留記憶體後便可以感染所有後綴為：.exe,.scr的檔案，造成病毒在計算機中大量繁殖。

⒋ 此病毒在記憶體駐留技術上，採用“互斥量”技術，不重複感染記憶體。

⒌ 此病毒還可以感染後綴為.htm,.html的腳本類型檔案。此病毒綜合了尼姆達病毒的一些傳染方式，會生成一個Readme.eml信件檔案，此郵件是一個具有自啟動的含有病毒體的郵件，而且此病毒也會象尼姆達（Nimda）病毒那樣，感染腳本類型的檔案，在此類型的檔案後面加上一個調用Readme.eml檔案的腳本代碼，用戶一旦瀏覽被感染的腳本檔案，病毒便可自動運行。

⒍ 此病毒還可以利用區域網路發作。當用戶在NT系列作業系統的區域網路環境中時，病毒會在螢幕上彈出一個信息框，內容為：“My god! Some one killed ChineseHacker-2 Moniter ”（天哪！竟然有人幹掉了中國黑客-2的監控），擾亂用戶正常使用計算機。7. 此病毒在代碼體內仍然留有編程接口。病毒在代碼首部留有一個空函式的調用，這證明此病毒還有進一步的升級計畫。

作者相關報導

瑞星截獲“中國黑客”病毒智慧型化特徵疑為國人所為

2002年6月6日下午2點，金山毒霸2008全球計算機病毒監測網截獲一個傳染能力極強的惡性郵件病毒，根據郵件內容暫命名為“中國黑客”！

據金山毒霸2008公司的反病毒工程師介紹，該病毒的編寫者技術十分高明，病毒的“功能”設定也非常巧妙，它通過種種方法使得這個病毒不光傳染能力極強、傳播速度極快，而且能繞過防毒軟體的層層關卡進入電腦記憶體，更厲害的是，普通防毒軟體即使發現這個病毒，也無法“幹掉它”，而本次對該病毒的攔截，是通過金山毒霸2008防毒軟體2002增強版的“記憶體監控”功能實現的！

該病毒通過郵件傳染，具備自啟動功能，在Outlook中只要預覽郵件就會自動啟動，並進入作業系統的核心區域，然後開始發作！“中國黑客”病毒具有極強的“反防毒軟體”能力！除了生成負責“搞破壞”的程式之外，它還能同時生成另外一個輔助程式，實時跟蹤並監控這個“破壞”程式的活動！一旦“破壞”程式被防毒軟體查殺，輔助程式就會重新啟動、再建一個“破壞”程式！因此，普通防毒軟體無法徹底查殺！

同時，這個病毒十分有效地利用區域網路進行傳播！一旦它進入區域網路中的某台機器，就會立刻在“網上鄰居”中搜尋已分享檔案夾！只要搜尋到某個可寫已分享檔案夾，就會生成以被感染機器名開頭的.eml檔案，因此最後導致區域網路的所有電腦都成為病毒郵件的“傳送基地”！

根據郵件本身的中文信息，金山毒霸2008反病毒小組初步判定，這是繼“中文版求職信”之後的又一個國內病毒編寫者製造的“高級”病毒，足以和“尼姆達”、“紅色代碼”這些舶來品相“媲美”；通過對病毒的分析表明，如果不嚴加防範，極有可能出現威力更強的病毒變種!