|
 | 作者: yiyiyaya [zk0071502]
 论坛用户 |
登录 |
| 最近放假,原以为可以好好放松一下的,可是不知道怎么搞的,染上了病毒,现将病毒资料以及我手工杀毒的方法,登出来,希望朋友们能提供一些好的意见和方法。 病毒名称: I-Worm.Runouce.b 别名: I-Worm.Runouce.b Win32.Runonce.6652 Win32/cnPeace.b Worm.ChineseHacker-2 病毒体大小: 危害程度: 严重 传播途径: 邮件网络 感染对象: 文件 说明: 该病毒是一个可传染PE文件的病毒。同时有具有了蠕虫的特征. 病毒在被激活的过程中会把病毒体自身复制到windows的系统目录中。 在windows9x系统中复制自身到windowssystem unouce.exe. 在windows2000和windows系统中复制自身到winntsystem unouce.exe.然后运行该程序。会感染硬盘上的EXE文件。 并且在注册表中加入成自启动。使病毒体每次开机时都被激活。 该病毒在windows98操作系统上进入0环。在0环通过CreateKernelThread函数建立一个 内核线程。该内核线程用来监控病毒进程是否在运行。如果病毒进程被杀掉,则该线程从新启动 病毒进程。 该病毒在windows2000操作系统上在随机的注入线程。 我在98下把病毒进程杀掉,可是又加进来一个.再杀就死机了。在2000下对98的分区杀毒,并且在注册表里头删除了所有关于rononce的键,MSCONFIG里头的也把给删的,再重起,原以为可以好了的,可是……哎~~~~~~ 大家有什么好一点的手工除去的方法吗??除了FORMAT和杀毒软件…… |
| 地主 发表时间: 04-06-27 22:32 |
 | 回复: sex [sex] 论坛用户 |
登录 |
|
好像在哪见过,从哪抄的呢.......????? |
| B1层 发表时间: 04-06-28 08:39 |
 | 回复: z7 [skyzz]  论坛用户 |
登录 |
|
这是一个邮件传播形式的病毒。 那个带有病毒的文件要首先解决阿 好像还有IE的漏洞 |
| B2层 发表时间: 04-06-28 09:16 |
 | 回复: lijingxi [lijingxi]  见习版主 |
登录 |
|
��病毒利用了IRAME及MIME漏洞,因此只要预览邮件时即会感染。运行后,它会: ����1.创建C:%system%Runouce.exe(注意Runouce中的字母"U")文件。之后,它的属性会被设置成隐藏、系统及只读。这使得用户无法在Windows Explorer(若是默认设置的话)中看到此文件。 ���� ����2.添加Runonce C:WindowsSystemRunouce.exe至注册表 ����HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得Windows启动时病毒会自动运行。 ���� ����3.利用自带的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送附件为PP.exe的邮件。病毒使用的SMTP服务器是静态的,也就是指定的SMTP服务器没有运行时,病毒就无法传播。该SMTP服务器(btamail.net.cn)与以前W32.Chir@mm使用的是同一台。 ���� ����此病毒感染HTML文件的方式与尼姆达的类似。首先在与HTML文件相同目录下创建一个Readme.eml。此文件是是病毒的MIME编码部分。之后,病毒会修改此HTML文件,使得HTML文件预览时会打开Readme.eml。此修改功能只有在启用JavaScript情况下有效。 ���� ����病毒还会感染PE文件,它将自身依附在主文件的尾部,将尾部设置成可写并修改病毒体的入口点。从而,任何被感染文件执行时,此病毒会试图装载病毒副本、启动邮件程序。 病毒会感染HTM HTML 等文件! 计算机经常调用这些文件 比如一些帮助文件等等! 用手工清楚文件的可能行不大!除非一手动一个一个去删除HTM里面原代码! 所以建议用杀毒软件! |
| B3层 发表时间: 04-06-28 10:37 |
| 回复: yiyiyaya [zk0071502] 论坛用户 |
登录 |
|
那么这种病毒会感染哪些文件呢? |
| B4层 发表时间: 04-06-28 15:09 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
该病毒既是一个网络共享、电子邮件蠕虫,又是一个文件感染型病毒,会利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件。它同时会搜索所有本地及网络驱动器,并感染后缀为.htm, .html, .exe及.scr的文件。 |
| B5层 发表时间: 04-06-29 09:28 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 拿什么拯救你,我的电脑……