中国黑客与中国黑客II病毒分析比较档案
“中国黑客”病毒于2002年6月6日被瑞星首次捕获,它有以下特征:
1. 此病毒可以在Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me等操作系统中运行。
2. 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有操作系统的所有权限,可以为所欲为。在NT系列操作系统下,病毒将自身线程驻留在浏览器体内来运行自身,每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后,感染力会比一般病毒大得多。
3. 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程,一个核心线程,一个用户线程,当用户线程被杀掉时,核心线程便会立刻产生一个新的用户线程,导致一般杀毒软件无法完全将此病毒从内存中清除。
4. 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
病毒邮件的内容为:(注:username是被感染机器的计算机名)
“中国黑客II”病毒于2002年7月31日被瑞星首次捕获,它相当于是 “中国黑客”病毒的一个增强版,在“中国黑客”病毒体内预留的编程接口在“中国黑客II”病毒中已有部分实现。
此病毒除了具有“中国黑客”病毒的全部特征以外,还具有以下新特征: 病毒邮件内容是:
寄件人:
标题: Hi, i am
附件: P.exe
5. 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入
6. 病毒运行时会在WINDOWS安装目录的%system%目录(如果是9X系统则为:system目录,如果是NT系统则为system32目录)下生成一个病毒文件。生成的病毒文件是:runouce.exe(系统自带的文件是:runonce.exe),此文件的属性是:系统、只读、隐藏,目的是防止用户发现。
7. 病毒会修改注册表达到自启动的目的。此病毒会在注册表项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中建立一个Runonce的键值,内容为:C:WinntSystem32Runouce.exe。(此路径随系统不同而有所变化)
1. 此病毒进行邮件传播时,支持更多的邮件地址列表。它不仅支持OUTLOOK的地址薄格式(.wab),还支持.adc, .doc, .xls等其它格式。
2. 此病毒生成的病毒邮件也有一些不同。
寄件人:
标题:
附件: PP.exe
3. 具有感染系统可执行文件的功能。此病毒已经不再是一个单纯的蠕虫病毒,而有了系统病毒的特性,病毒驻留内存后便可以感染所有后缀为:.exe,.scr的文件,造成病毒在计算机中大量繁殖。
4. 此病毒在内存驻留技术上,采用“互斥量”技术,不重复感染内存。
5. 此病毒还可以感染后缀为.htm,.html的脚本类型文件。此病毒综合了尼姆达(Nimda)病毒的一些传染方式,会生成一个Readme.eml信件文件,此邮件是一个具有自启动的含有病毒体的邮件,而且此病毒也会象尼姆达(Nimda)病毒那样,感染脚本类型的文件,在此类型的文件后面加上一个调用Readme.eml文件的脚本代码,用户一旦浏览被感染的脚本文件,病毒便可自动运行。
6. 此病毒还可以利用局域网发作。当用户在NT系列操作系统的局域网环境中时,病毒会在屏幕上弹出一个信息框,内容为:“My god! Some one killed ChineseHacker-2 Moniter ”(天哪!竟然有人干掉了中国黑客-2的监控),扰乱用户正常使用计算机。
7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函数的调用,这证明此病毒还有进一步的升级计划。
相关文章
推荐阅读