该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到 windows\system\runouce.exe .
在windows 2000 和 windows NT 系统中复制自身到 winnt\system32\runouce.exe .然后运行该程序。
并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x 系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到 kernel32.dll 的地址空间中。(在windows 98 与 windows 95 的系统中的偏移地址是 bff70400处。
然后通过 CreateKernelThread 函数建立一个 内核线程。该线程的入口地址就是bff70400. 这个内核线程调用了WaitForSingleObject 函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束, 则该内核线程立即被唤醒。内核线程马上调用了 WinExec 函数,来重新启动病毒进程。
这样在杀毒软件杀掉内存中的病毒进程后,病毒马上又被激活,结果造成杀不掉内存中的病毒。
该病毒在 windows 2000 操作系统上在 explorer 中注入线程。在 explorer 中的线程用来保护病毒进程。如果病毒进程结束。则explorer 中的病毒线程重新启动病毒进程。
该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
该病毒有极强的局域网传染功能。
病毒通过搜索网上邻居中的可写文件夹。然后在每个可写文件夹中都生成一个以计算机器名命名的 eml 文件。并且该 eml 文件是有自启动漏洞的 eml 文件。
发作现象:
在用户系统中若装有oicq聊天软件。则病毒进程每 5 个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口,若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符,然后病毒在以下的几句话放到发送消息的窗口中。
世界需要和平!
去他妈的法轮功!
反对邪教,崇尚科学!
打倒本拉登!
向英雄王伟致意!
反对霸权主义!
社会主义好!
当用户点击发送按钮时就会被发送出去。输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容
由于病毒的特殊机理建议用户在杀毒时打开实时监控与内存监控。
|
