解密-官方黑客网-0基础攻防自学

解密-官方黑客网-0基础攻防自学

基本信息播报

编辑

该病毒是一个蠕虫病毒。不会感染可执行文件。

中国黑客病毒

病毒在被激活的过程中会把病毒体自身复制到 的系统目录中。

在 9x 系统中复制自身到 \\.exe

在 2000和 NT系统中复制自身到winnt\\.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。

在 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到.dll的地址空间中。在 98 与 95的系统中的偏移地址是 处。然后通过函数建立一个内核线程。该线程的入口地址就是。这个内核线程调用了函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了函数，来重新启动病毒进程。

中国黑客Ⅱ病毒

这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。

在 2000操作系统上在中注入线程。在中的线程用来保护病毒进程。如果病毒进程结束，则中的病毒线程重新启动病毒进程。

通过以上的方法来起到在内存中保护病毒进程的作用。

传播途径播报

编辑

这个病毒通过邮件传染，具备自启动功能，在中只要被点中就自动启动。病毒把自身拷到\ 32的目录下，命名为.exe，同时启动这个文件。启动后的病毒建立两个线程，除了普通线程之外，还有一个内核线程。这个内核线程跟踪监控自己的普通线程，一旦普通线程被查杀，就会立刻重新启动再建一个普通线程，因此普通杀毒软件无法彻底查杀。

同时，这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器，就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹，就会生成以被感染机器名开头的.eml文件，因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。

发作现象播报

编辑

中国黑客病毒

在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口，若正在用oicq发送消息时。病毒先会在发送窗口中输入12个回车换行符，然后病毒在以下的几句话放到发送消息的窗口中。

世界需要和平！

反对邪教，崇尚科学！

打倒本拉登！

向英雄王伟致意！

反对霸权主义！

社会主义好！

当用户点击发送按钮时就会被发送出去。输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。

病毒特征播报

编辑

“中国黑客”病毒于2002年6月6日被瑞星首次捕获，它有以下特征：

中国黑客病毒

⒈ 此病毒可以在 95, 98, NT, 2000, XP, Me等操作系统中运行。

⒉ 病毒采用两套不同技术来分别感染9X系列和NT系列系统的内存。在9X系列操作系统下，病毒是利用CIH病毒的技术直接进入系统的核心级，拥有操作系统的所有权限，可以为所欲为。在NT系列操作系统下，病毒将自身线程驻留在浏览器体内来运行自身，每当用户浏览文件时病毒便可取得控制权。病毒驻留内存后，感染力会比一般病毒大得多。

⒊ 此病毒内存驻留方面首次采用多线程守护的技术来保护自己。病毒进入内存后会产生两个线程，一个核心线程，一个用户线程，当用户线程被杀掉时，核心线程便会立刻产生一个新的用户线程，导致一般杀毒软件无法完全将此病毒从内存中清除。

⒋ 此病毒会利用邮件系统进行传播。病毒自身内置有SMTP引擎，主动查找用户的地址薄，向外大量发送带毒邮件。病毒还利用IFRAM邮件漏洞，只要用户预病邮件病毒便可自动运行。

病毒邮件的内容为：（注：是被感染机器的计算机名）

寄件人： 或者标题： Hi,i am

附件： P.exe

以下是中国黑客病毒发送病毒邮件的邮件模板

HELO RCPT TO: %s

DATA

FROM：TO: %s

: Hi,i am %s

MIME-: 1.0

-type: /mixed; =\\\"##\\\"

--##

-Type: text/html

--: -

--##

MIME-: 1.0

-Type: audio/x-wav; name=\\\"p.exe\\\"

--:

-id: THE-CID

⒌ 病毒具有极强的局域网传播特性。病毒在所有网络邻居的共享文件夹中写入.eml（注：是被感染机器的计算机名）的文件，用户不小心点击的话，也同样会使病毒运行，严重时可阻塞网络。

⒍ 病毒运行时会在安装目录的%%目录（如果是9X系统则为：目录，如果是NT系统则为目录）下生成一个病毒文件。生成的病毒文件是：.exe（系统自带的文件是：.exe），此文件的属性是：系统、只读、隐藏，目的是防止用户发现。

⒎ 病毒会修改注册表达到自启动的目的。此病毒会在注册表项：

\\\\\Run中建立一个的键值，内容为：C:\Winnt\\.exe。（此路径随系统不同而有所变化）

解决方法播报

编辑

手动清除方法

1 病毒会生成以下信息的病毒邮件：

寄件人或者 标题： is !

附件： PP.exe

如果用户发现有此信息的邮件，则最好删除，值得注意的是，请不要预览此邮件，以防病毒自动运行。

2 在有网页文件的目录下查找，如果存在有.eml的文件，则极可能是病毒，可将此病毒邮件直接删除。

3 在安装目录下查找隐藏文件.exe，如果查找，则可证明有病毒存在，请直接将此文件删除。

4 查看注册表的\ \\\\Run\e项中是否有“”的键值，如果有，看此键值的内容是否有与“.exe”相关的内容（例如此键值的内容为：C:\Winnt\\.exe），如果有此内容，则将“.exe”键值删除即可。

“三线程”结构播报

编辑

基本介绍

"中国黑客"病毒在经过金山反病毒应急处理中心的技术人员深入分析后，得出了一个病毒编写史上的新亮点：“中国黑客”发现了全球首创的“三线程”结构，整个病毒采用汇编语言开发，用了非常多的反跟踪技巧，若真为国人开发，这无疑体现了国内的病毒编写水平已经和国际接轨，更为“可贵”的是还带有自己的创新！

它采用了“2 + 1”的三线程结构：病毒体两个线程加上外部一个线程，充分显示病毒作者对系统深入了解的程度。

线程1

病毒运行后，启动的主线程会将自己复制到系统目录下命名为.exe，并且开始搜索本地驱动器和网络驱动器，准备对其它文件（*.exe、*.scr）和系统进行感染。同时还通过寻找用户邮件地址薄来向外发病毒邮件。

线程2

为了保证病毒在下次系统启动时能运行，病毒还会创建一个注册表监视的线程，不断监视注册表中的HLM\\\\\\\\\\Run，如果一被修改，立即重新写入病毒项，保证自己的控制权，这又是全球第一次采用监视注册表是否被修改的病毒！

外部线程

分为两种情况

a.在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的.exe再次加载。保证自己的不断取得对系统的控制权。

b.在WinNT系统下，与Win9x系统略有不同，病毒是利用系统的函数寻找一个可被注入线程的运行程序（一般会找到.exe程序），之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的.exe再次加载。因此，用户在等系统下，用户虽然能用任务管理器看到并中止病毒进程，但马上新的病毒进程又会加载，使得清除很困难！

中国黑客Ⅱ播报

编辑

简介

中国黑客Ⅱ病毒

不好的“预言”终于实现了，“中国黑客”病毒新变种“中国黑客Ⅱ”病毒，经过改装，挟带“新型武器”重返用户网络，欲再掀波澜。

病毒类型：蠕虫病毒

发作时间：随机

传播方式：网络/文件

感染对象：网络/文件

警惕程度：★★★★★

“中国黑客Ⅱ”病毒于2002年7月31日被瑞星首次捕获，它相当于是 “中国黑客”病毒的一个增强版，在“中国黑客”病毒体内预留的编程接口在“中国黑客Ⅱ”病毒中已有部分实现。

新特征

⒈ 此病毒进行邮件传播时，支持更多的邮件地址列表。它不仅支持的地址薄格式（.wab），还支持.adc,.doc,.xls等其它格式。

⒉ 此病毒生成的病毒邮件也有一些不同。病毒邮件

病毒邮件内容

寄件人标题： is !

附件： PP.exe

中国黑客Ⅱ病毒

⒊ 具有感染系统可执行文件的功能。此病毒已经不再是一个单纯的蠕虫病毒，而有了系统病毒的特性，病毒驻留内存后便可以感染所有后缀为：.exe,.scr的文件，造成病毒在计算机中大量繁殖。

⒋ 此病毒在内存驻留技术上，采用“互斥量”技术，不重复感染内存。

⒌ 此病毒还可以感染后缀为.htm,.html的脚本类型文件。此病毒综合了尼姆达病毒的一些传染方式，会生成一个.eml信件文件，此邮件是一个具有自启动的含有病毒体的邮件，而且此病毒也会象尼姆达（Nimda）病毒那样，感染脚本类型的文件，在此类型的文件后面加上一个调用.eml文件的脚本代码，用户一旦浏览被感染的脚本文件，病毒便可自动运行。

⒍ 此病毒还可以利用局域网发作。当用户在NT系列操作系统的局域网环境中时，病毒会在屏幕上弹出一个信息框，内容为：“My god! Some one -2 ”（天哪！竟然有人干掉了中国黑客-2的监控），扰乱用户正常使用计算机。7. 此病毒在代码体内仍然留有编程接口。病毒在代码首部留有一个空函数的调用，这证明此病毒还有进一步的升级计划。

相关报道播报

编辑

瑞星截获“中国黑客”病毒 智能化特征疑为国人所为

2002年6月6日下午2点，金山毒霸2008全球计算机病毒监测网截获一个传染能力极强的恶性邮件病毒，根据邮件内容暂命名为“中国黑客”！

据金山毒霸2008公司的反病毒工程师介绍，该病毒的编写者技术十分高明，病毒的“功能”设置也非常巧妙，它通过种种方法使得这个病毒不光传染能力极强、传播速度极快，而且能绕过杀毒软件的层层关卡进入电脑内存，更厉害的是，普通杀毒软件即使发现这个病毒，也无法“干掉它”，而本次对该病毒的拦截，是通过金山毒霸2008杀毒软件2002增强版的“内存监控”功能实现的！

该病毒通过邮件传染，具备自启动功能，在中只要预览邮件就会自动启动，并进入操作系统的核心区域，然后开始发作！“中国黑客”病毒具有极强的“反杀毒软件”能力！除了生成负责“搞破坏”的程序之外，它还能同时生成另外一个辅助程序，实时跟踪并监控这个“破坏”程序的活动！一旦“破坏”程序被杀毒软件查杀，辅助程序就会重新启动、再建一个“破坏”程序！因此，普通杀毒软件无法彻底查杀！

同时，这个病毒十分有效地利用局域网进行传播！一旦它进入局域网中的某台机器，就会立刻在“网上邻居”中搜索共享文件夹！只要搜索到某个可写共享文件夹，就会生成以被感染机器名开头的.eml文件，因此最后导致局域网的所有电脑都成为病毒邮件的“发送基地”！

根据邮件本身的中文信息，金山毒霸2008反病毒小组初步判定，这是继“中文版求职信”之后的又一个国内病毒编写者制造的“高级”病毒，足以和“尼姆达”、“红色代码”这些舶来品相“媲美”；通过对病毒的分析表明，如果不严加防范，极有可能出现威力更强的病毒变种!

~

网络安全学习，我们一起交流

~