病毒名称:
worm.runoUCe
类别: 蠕虫病毒
病毒资料:
该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到
windows\system\runouce.exe .
在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。
然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。
这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
该病毒在windows 2000操作系统上在eXPlorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束,则explorer中的病毒线程重新启动病毒进程。
该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
该病毒有极强的局域网传染功能。
病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
。并且该eml文件是有自启动漏洞的eml文件。
发作现象:
在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口,若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符,然后病毒在以下的几句话放到发送消息的窗口中。
世界需要和平!
去他妈的法轮功!
反对邪教,崇尚科学!
打倒本拉登!
向英雄王伟致意!
反对霸权主义!
社会主义好!
当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2002-6-12
