病毒信息

病毒资料

解决方法

病毒信息

名称: worm.runoUCe 类别： 蠕虫病毒

病毒资料

病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。

在windows 9x 系统中复制自身到

windows\\system\\runouce.exe .

在windows 2000和 windows NT系统中复制自身到winnt\\system32\\runouce.exe。

然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。

在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。

这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。

该病毒在windows 2000操作系统上以独创的“三线程”结构来传播并保护自己。

病毒运行后，会先将自己拷贝到windows\\system\\目录下，并取名为runouce.exe，然后开始搜索本地驱动器及网络驱动器，感染.exe、.scr和系统文件。对于windows\\system32\\目录，它也会先进行查找。接着在注册表项HKEY＿LOCAL＿MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加：RunOuce：System32\\RunOuce．exe，这样，每次启动系统，病毒即随之运行。

对于添加的注册表项，病毒还会创建一个注册表监视的线程，对之不断监视，如果被修改，将立即重新写入病毒项，以保证自己的控制权。

病毒还有一个外部线程保证自己不断地取得对系统的控制权，使得病毒的清除更加困难！ 该病毒通过以上的方法来起到在内存中保护病毒进程的作用。

该病毒有极强的局域网传染功能。

病毒通过搜索网上邻居中的可写文件夹，然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件

。并且该eml文件是有自启动漏洞的eml文件。

解决方法

1、下载金山的专杀工具："中国黑客"专杀工具

（h t t p : / / w w w . d u b a . n e t / z h u a n s h a / 1 7 . s h t m l）.

2、开机按F8启动到安全模式，把C:\\WINDOWS\\system32下的runouce.exe 删除，运行专杀工具.

3、开始-运行，输入regedit打开注册表编辑器，在HKEY＿LOCAL＿MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中关于runouce.exe 的注册表项全部删除。并搜索整个注册表中的runouce.exe 查找并删除。

4、搜索整个硬盘中readme.eml、readme.html文件，删除。

5、XP记得关闭系统还原。