中国黑客病毒的病毒特征
发布网友
发布时间:2022-04-23 07:30
共2个回答
热心网友
时间:2022-06-17 17:25
“中国黑客”病毒于2002年6月6日被瑞星首次捕获,它有以下特征:
中国黑客病毒
⒈ 此病毒可以在Windows 95,Windows 98,Windows NT,Windows 2000,Windows XP,Windows Me等操作系统中运行。
⒉ 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有操作系统的所有权限,可以为所欲为。在NT系列操作系统下,病毒将自身线程驻留在浏览器体内来运行自身,每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后,感染力会比一般病毒大得多。
⒊ 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程,一个核心线程,一个用户线程,当用户线程被杀掉时,核心线程便会立刻产生一个新的用户线程,导致一般杀毒软件无法完全将此病毒从内存中清除。
⒋ 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
病毒邮件的内容为:(注:username是被感染机器的计算机名)
寄件人: 或者标题: Hi,i am
附件: P.exe
以下是中国黑客病毒发送病毒邮件的邮件模板 HELO RCPT TO: %s
DATA
FROM: TO: %s
SUBJECT: Hi,i am %s
MIME-Version: 1.0
Content-type: multipart/mixed; boundary=\\\#BOUNDARY#\\\
--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name=\\\p.exe\\\
Content-Transfer-Encoding: base64
Content-id: THE-CID ⒌ 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入.eml(注:username是被感染机器的计算机名)的文件,用户不小心点击的话,也同样会使病毒运行,严重时可阻塞网络。
⒍ 病毒运行时会在WINDOWS安装目录的%system%目录(如果是9X系统则为:system目录,如果是NT系统则为system32目录)下生成一个病毒文件。生成的病毒文件是:runouce.exe(系统自带的文件是:runonce.exe),此文件的属性是:系统、只读、隐藏,目的是防止用户发现。
⒎ 病毒会修改注册表达到自启动的目的。此病毒会在注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中建立一个Runonce的键值,内容为:C:\Winnt\System32\Runouce.exe。(此路径随系统不同而有所变化)
热心网友
时间:2022-06-17 17:26
