据瑞星公司的反病毒工程师介绍，病毒的编写者技术十分高明，病毒的“功能”设置也非常巧妙，它通过种种方法使得这个病毒不光传染能力极强、速度极快，而且能绕过杀毒软件的层层关卡进入机器内存，更厉害的是，普通杀毒软件即使发现这个病毒，也无法“干掉它”

简介

传播途径

发作现象

病毒特征

解决方法

独创“三线程”结构(介绍 线程1 线程2 外部线程)

中国黑客II(简介 新特征)

作者相关报道

简介

该病毒是一个蠕虫病毒。不会感染可执行文件。

病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。

在windows 9x 系统中复制自身到 windows\\system\\runouce.exe

在windows 2000和 windows NT系统中复制自身到winnt\\system32\\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。

在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。

这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。

在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束，则explorer中的病毒线程重新启动病毒进程。

通过以上的方法来起到在内存中保护病毒进程的作用。

传播途径

这个病毒通过邮件传染，具备自启动功能，在Outlook中只要被点中就自动启动。病毒把自身拷到Windows\\system 32的目录下，命名为Runouce.exe，同时启动这个文件。启动后的病毒建立两个线程，除了普通线程之外，还有一个内核线程。这个内核线程跟踪监控自己的普通线程，一旦普通线程被查杀，就会立刻重新启动再建一个普通线程，因此普通杀毒软件无法彻底查杀。

同时，这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器，就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹，就会生成以被感染机器名开头的.eml文件，因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。

发作现象

在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口，若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符，然后病毒在以下的几句话放到发送消息的窗口中。

世界需要和平!

反对邪教,崇尚科学!

打倒本拉登!

向英雄王伟致意!

反对霸权主义!

社会主义好!　当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。

病毒特征

“中国黑客”病毒于2002年6月6日被瑞星首次捕获，它有以下特征:

中国黑客病毒

1. 此病毒可以在Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me等操作系统中运行。

2. 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下，病毒是利用CIH病毒的技术直接进入系统的核心级，拥有操作系统的所有权限，可以为所欲为。在NT系列操作系统下，病毒将自身线程驻留在浏览器体内来运行自身，每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后，感染力会比一般病毒大得多。

3. 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程，一个核心线程，一个用户线程，当用户线程被杀掉时，核心线程便会立刻产生一个新的用户线程，导致一般杀毒软件无法完全将此病毒从内存中清除。

4. 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎，主动查找用户的OUTLOOK地址薄，向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞，只要用户预病邮件病毒便可自动运行。

病毒邮件的内容为：（注：username是被感染机器的计算机名）

寄件人: 或者标题: Hi, i am

附件: P.exe

以下是中国黑客病毒发送病毒邮件的邮件模板

HELO RCPT TO: %s
DATA
FROM:　TO: %s
SUBJECT: Hi,i am %s
MIME-Version: 1.0
Content-type: multipart/mixed; boundary=\\\\\\"#BOUNDARY#\\\\\\"
--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name=\\\\\\"p.exe\\\\\\"
Content-Transfer-Encoding: base64
Content-id: THE-CID 　5. 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入.eml（注：username是被感染机器的计算机名）的文件，用户不小心点击的话，也同样会使病毒运行，严重时可阻塞网络。

6. 病毒运行时会在WINDOWS安装目录的%system%目录（如果是9X系统则为：system目录，如果是NT系统则为system32目录）下生成一个病毒文件。生成的病毒文件是：runouce.exe(系统自带的文件是：runonce.exe),此文件的属性是：系统、只读、隐藏，目的是防止用户发现。

7. 病毒会修改注册表达到自启动的目的。此病毒会在注册表项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中建立一个Runonce的键值，内容为：C:\\Winnt\\System32\\Runouce.exe。（此路径随系统不同而有所变化）

解决方法

手动清除方法

1 病毒会生成以下信息的病毒邮件：

寄件人或者 标题: is coming!

附件: PP.exe

如果用户发现有此信息的邮件，则最好删除，值得注意的是，请不要预览此邮件，以防病毒自动运行。

2 在有网页文件的目录下查找，如果存在有Readme.eml的文件，则极可能是病毒，可将此病毒邮件直接删除。

3 在WINDOWS安装目录下查找隐藏文件runouce.exe，如果查找，则可证明有病毒存在，请直接将此文件删除。

4 查看注册表的HKEY_LOCAL_MACHINE\\ SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\e项中是否有“runonce”的键值，如果有，看此键值的内容是否有与“runouce.exe”相关的内容（例如此键值的内容为：C:\\Winnt\\System32\\Runouce.exe），如果有此内容，则将“runouce.exe”键值删除即可。

独创“三线程”结构

介绍

"中国黑客"病毒在经过金山反病毒应急处理中心的技术人员深入分析后，得出了一个病毒编写史上的新亮点：“中国黑客”发现了全球首创的“三线程”结构，整个病毒采用汇编语言开发，用了非常多的反跟踪技巧，若真为国人开发，这无疑体现了国内的病毒编写水平已经和国际接轨，更为“可贵”的是还带有自己的创新！

它采用了“2 + 1”的三线程结构：病毒体两个线程加上外部一个线程，充分显示病毒作者对系统深入了解的程度。

线程1

病毒运行后，启动的主线程会将自己复制到系统目录下命名为runouce.exe，并且开始搜索本地驱动器和网络驱动器，准备对其它文件（*.exe、*.scr）和系统进行感染。同时还通过寻找用户邮件地址薄来向外发病毒邮件。

线程2

为了保证病毒在下次系统启动时能运行，病毒还会创建一个注册表监视的线程，不断监视注册表中的HLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run，如果一被修改，立即重新写入病毒项，保证自己的控制权，这又是全球第一次采用监视注册表是否被修改的病毒！

外部线程

分为两种情况

a.在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的runouce.exe再次加载。保证自己的不断取得对系统的控制权。

b.在WinNT系统下，与Win9x系统略有不同，病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序（一般会找到Explorer.exe程序），之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce.exe再次加载。因此，用户在Win2000等系统下，用户虽然能用任务管理器看到并中止病毒进程，但马上新的病毒进程又会加载，使得清除很困难！

中国黑客II

简介

不好的“预言”终于实现了，“中国黑客”病毒新变种“中国黑客II”病毒，经过改装，挟带“新型武器”重返用户网络，欲再掀波澜。

病毒类型：蠕虫病毒

发作时间：随机

传播方式：网络/文件

感染对象：网络/文件

警惕程度：★★★★★

“中国黑客II”病毒于2002年7月31日被瑞星首次捕获，它相当于是 “中国黑客”病毒的一个增强版，在“中国黑客”病毒体内预留的编程接口在“中国黑客II”病毒中已有部分实现。

新特征

1. 此病毒进行邮件传播时，支持更多的邮件地址列表。它不仅支持OUTLOOK的地址薄格式(.wab)，还支持.adc, .doc, .xls等其它格式。

2. 此病毒生成的病毒邮件也有一些不同。 病毒邮件

病毒邮件内容

寄件人标题: is coming!

附件: PP.exe

3. 具有感染系统可执行文件的功能。此病毒已经不再是一个单纯的蠕虫病毒，而有了系统病毒的特性，病毒驻留内存后便可以感染所有后缀为：.exe,.scr的文件，造成病毒在计算机中大量繁殖。

4. 此病毒在内存驻留技术上，采用“互斥量”技术，不重复感染内存。

5. 此病毒还可以感染后缀为.htm,.html的脚本类型文件。此病毒综合了尼姆达病毒的一些传染方式，会生成一个Readme.eml信件文件，此邮件是一个具有自启动的含有病毒体的邮件，而且此病毒也会象尼姆达（Nimda）病毒那样，感染脚本类型的文件，在此类型的文件后面加上一个调用Readme.eml文件的脚本代码，用户一旦浏览被感染的脚本文件，病毒便可自动运行。

6. 此病毒还可以利用局域网发作。当用户在NT系列操作系统的局域网环境中时，病毒会在屏幕上弹出一个信息框，内容为：“My god! Some one killed ChineseHacker-2 Moniter ”(天哪！竟然有人干掉了中国黑客-2的监控)，扰乱用户正常使用计算机。 7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函数的调用，这证明此病毒还有进一步的升级计划。

作者相关报道

瑞星截获“中国黑客”病毒 智能化特征疑为国人所为

2002年6月6日下午2点,金山毒霸2008全球计算机病毒监测网截获一个传染能力极强的恶性邮件病毒,根据邮件内容暂命名为“中国黑客”!

据金山毒霸2008公司的反病毒工程师介绍,该病毒的编写者技术十分高明,病毒的“功能”设置也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、传播速度极快,而且能绕过杀毒软件的层层关卡进入电脑内存,更厉害的是,普通杀毒软件即使发现这个病毒,也无法“干掉它”,而本次对该病毒的拦截,是通过金山毒霸2008杀毒软件2002增强版的“内存监控”功能实现的!

该病毒通过邮件传染,具备自启动功能,在Outlook中只要预览邮件就会自动启动,并进入操作系统的核心区域,然后开始发作!“中国黑客”病毒具有极强的“反杀毒软件”能力!除了生成负责“搞破坏”的程序之外,它还能同时生成另外一个辅助程序,实时跟踪并监控这个“破坏”程序的活动!一旦“破坏”程序被杀毒软件查杀,辅助程序就会重新启动、再建一个“破坏”程序!因此,普通杀毒软件无法彻底查杀!

同时,这个病毒十分有效地利用局域网进行传播!一旦它进入局域网中的某台机器,就会立刻在“网上邻居”中搜索共享文件夹!只要搜索到某个可写共享文件夹,就会生成以被感染机器名开头的.eml文件,因此最后导致局域网的所有电脑都成为病毒邮件的“发送基地”!

根据邮件本身的中文信息,金山毒霸2008反病毒小组初步判定,这是继“中文版求职信”之后的又一个国内病毒编写者制造的“高级”病毒,足以和“尼姆达”、“红色代码”这些舶来品相“媲美”；通过对病毒的分析表明,如果不严加防范,极有可能出现威力更强的病毒变种!