病毒資料
在Windows 9x系統上該病毒利用了CIH病毒相同的手法切換到零環,使自己進到系統級。然後複製78個位元組到kernel32.dll的
地址空間中。在Windows 98 與windows 95的系統中的偏移地址是 bff70400處。 然後通過CreateKernelThread函式建立一個
核心執行緒。 該執行緒的入口地址就是bff70400。這個
核心執行緒調用了WaitForSingleObject函式使自身進入等待狀態,來等待
父進程的結束信號。如果
父進程被結束,則該
核心執行緒立即被喚醒。
核心執行緒馬上調用了WinExec函式,來重新啟動病毒進程。
這樣,在
防毒軟體殺掉記憶體中的病毒進程後。病毒馬上又被激活。這樣造成殺不掉記憶體中的病毒。
該病毒在windows 2000作業系統上以獨創的“三執行緒”結構來傳播並保護自己。
病毒運行後,會先將自己拷貝到windows\system\目錄下,並取名為runouce.exe,然後開始搜尋本地驅動器及
網路驅動器,感染.exe、.scr和
系統檔案。對於windows\system32\目錄,它也會先進行查找。接著在
註冊表項HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System32\RunOuce.exe,這樣,每次啟動系統,病毒即隨之運行。
對於添加的
註冊表項,病毒還會創建一個註冊表監視的執行緒,對之不斷監視,如果被修改,將立即重新寫入病毒項,以保證自己的控制權。
病毒還有一個外部執行緒保證自己不斷地取得對系統的控制權,使得病毒的清除更加困難! 該病毒通過以上的方法來起到在記憶體中保護病毒進程的作用。
該病毒有極強的區域網路傳染功能。
病毒通過搜尋
網上鄰居中的可寫資料夾,然後在每個可寫資料夾中都生成一個以計算機器名命名的eml檔案
解決方法
1、下載金山的專殺工具:"中國黑客"專殺工具
(h t t p : / / w w w . d u b a . n e t / z h u a n s h a / 1 7 . s h t m l).
2、開機按F8啟動到安全模式,把C:\WINDOWS\system32下的runouce.exe 刪除,運行
專殺工具.
3、開始-運行,輸入regedit打開
註冊表編輯器,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中關於runouce.exe 的
註冊表項全部刪除。並搜尋整個註冊表中的runouce.exe 查找並刪除。
4、搜尋整個硬碟中readme.eml、readme.
html檔案,刪除。