worm.runouce

2008-02-23 09:20:29来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: worm.runoUCe 类别: 蠕虫病毒 病毒资料: 该病毒是一个蠕虫病毒。不会感染可执行文件。

病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。

在windows 9x 系统中复制自身到
windows\system\runouce.exe .

在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。
然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。

在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。

这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。

该病毒在windows 2000操作系统上在eXPlorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束,则explorer中的病毒线程重新启动病毒进程。

该病毒通过以上的方法来起到在内存中保护病毒进程的作用。

该病毒有极强的局域网传染功能。

病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
。并且该eml文件是有自启动漏洞的eml文件。

发作现象:

在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口,若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符,然后病毒在以下的几句话放到发送消息的窗口中。

世界需要和平!
去他妈的法轮功!

反对邪教,崇尚科学!
打倒本拉登!
向英雄王伟致意!
反对霸权主义!
社会主义好!

当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2002-6-12

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:I-Worm.Alcaul.al

下一篇:Worm.archivera