电脑黑客病毒
电脑黑客病毒是指那些专门利用电脑网络和系统安全漏洞对网络进行攻击破坏或窃取资料的人通过编写程序代码来破坏计算机软硬件,黑客们通过种种方法使得这个病毒不光传染能力极强、速度极快,下面就由学习啦小编为你详细的技术电脑黑客病毒吧!
电脑黑客病毒基本简介
病毒是一个蠕虫病毒,不会感染可执行文件,病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。在windows 9x 系统中复制自身到 windows\system\runouce.exe,在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束,则explorer中的病毒线程重新启动病毒进程。
基本特征
1. 此病毒可以在Windows 95,Windows 98,Windows NT, Windows 2000,Windows XP,Windows Me等操作系统中运行。
2. 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下,病毒是利用CIH病毒的技术直接进入系统的核心级,拥有操作系统的所有权限,可以为所欲为。在NT系列操作系统下,病毒将自身线程驻留在浏览器体内来运行自身,每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后,感染力会比一般病毒大得多。
3. 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程,一个核心线程,一个用户线程,当用户线程被杀掉时,核心线程便会立刻产生一个新的用户线程,导致一般杀毒软件无法完全将此病毒从内存中清除。
4. 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎,主动查找用户的OUTLOOK地址薄,向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞,只要用户预病邮件病毒便可自动运行。
解决方法
手动清除
1、病毒会生成以下信息的病毒邮件:寄件人:@yahoo.com 或者imissyou@btamail.net.cn标题: is coming!
附件: PP.exe,如果用户发现有此信息的邮件,则最好删除,值得注意的是,请不要预览此邮件,以防病毒自动运行。
2、 在有网页文件的目录下查找,如果存在有Readme.eml的文件,则极可能是病毒,可将此病毒邮件直接删除。
3 、在WINDOWS安装目录下查找隐藏文件runouce.exe,如果查找,则可证明有病毒存在,请直接将此文件删除。
4 、查看注册表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e项中是否有“runonce”的键值,如果有,看此键值的内容是否有与“runouce.exe”相关的内容(例如此键值的内容为:C:\Winnt\System32\Runouce.exe),如果有此内容,则将“runouce.exe”键值删除即可。
杀毒软件查杀