Runouce.exe

名稱: worm.runoUCe 類別: 蠕蟲病毒。

病毒在被激活的過程中會把病毒體自身複製到 windows 的系統目錄中。在windows 9x 系統中複製自身到windows\system\runouce.exe .在windows 2000和 windows NT系統中複製winnt\system32\runouce.exe。然後運行該程式。並且在註冊表中加入成自啟動。使病毒體每次開機時都被激活。

基本介紹

  • 中文名:Runouce.exe
  • 外文名:Runouce.exe
  • 類別:: 蠕蟲病毒
  • 領域:計算機
病毒資料,解決方法,

病毒資料

在Windows 9x系統上該病毒利用了CIH病毒相同的手法切換到零環,使自己進到系統級。然後複製78個位元組到kernel32.dll的地址空間中。(在Windows 98 與windows 95的系統中的偏移地址是 bff70400處。 然後通過CreateKernelThread函式建立一個核心執行緒。 該執行緒的入口地址就是bff70400。這個核心執行緒調用了WaitForSingleObject函式使自身進入等待狀態,來等待父進程的結束信號。如果父進程被結束,則該核心執行緒立即被喚醒。核心執行緒馬上調用了WinExec函式,來重新啟動病毒進程。
這樣,在防毒軟體殺掉記憶體中的病毒進程後。病毒馬上又被激活。這樣造成殺不掉記憶體中的病毒。
該病毒在windows 2000作業系統上以獨創的“三執行緒”結構來傳播並保護自己。
病毒運行後,會先將自己拷貝到windows\system\目錄下,並取名為runouce.exe,然後開始搜尋本地驅動器及網路驅動器,感染.exe、.scr和系統檔案。對於windows\system32\目錄,它也會先進行查找。接著在註冊表項HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System32\RunOuce.exe,這樣,每次啟動系統,病毒即隨之運行。
對於添加的註冊表項,病毒還會創建一個註冊表監視的執行緒,對之不斷監視,如果被修改,將立即重新寫入病毒項,以保證自己的控制權。
病毒還有一個外部執行緒保證自己不斷地取得對系統的控制權,使得病毒的清除更加困難! 該病毒通過以上的方法來起到在記憶體中保護病毒進程的作用。
該病毒有極強的區域網路傳染功能。
病毒通過搜尋網上鄰居中的可寫資料夾,然後在每個可寫資料夾中都生成一個以計算機器名命名的eml檔案
。並且該eml檔案是有自啟動漏洞的eml檔案。

解決方法

1、下載金山的專殺工具:"中國黑客"專殺工具
(h t t p : / / w w w . d u b a . n e t / z h u a n s h a / 1 7 . s h t m l).
2、開機按F8啟動到安全模式,把C:\WINDOWS\system32下的runouce.exe 刪除,運行專殺工具.
3、開始-運行,輸入regedit打開註冊表編輯器,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中關於runouce.exe 的註冊表項全部刪除。並搜尋整個註冊表中的runouce.exe 查找並刪除。
4、搜尋整個硬碟中readme.eml、readme.html檔案,刪除。
5、XP記得關閉系統還原。

相關詞條

熱門詞條

聯絡我們