電腦黑客病毒

　　電腦黑客病毒是指那些專門利用電腦網(wǎng)絡和系統(tǒng)安全漏洞對網(wǎng)絡進行攻擊破壞或竊取資料的人通過編寫程序代碼來破壞計算機軟硬件，黑客們通過種種方法使得這個病毒不光傳染能力極強、速度極快，下面就由學習啦小編為你詳細的技術電腦黑客病毒吧!

　　電腦黑客病毒基本簡介

　　病毒是一個蠕蟲病毒，不會感染可執(zhí)行文件，病毒在被激活的過程中會把病毒體自身復制到 windows 的系統(tǒng)目錄中。在windows 9x 系統(tǒng)中復制自身到 windows\system\runouce.exe，在windows 2000和 windows NT系統(tǒng)中復制自身到winnt\system32\runouce.exe。然后運行該程序。并且在注冊表中加入成自啟動。使病毒體每次開機時都被激活。在Windows 9x系統(tǒng)上該病毒利用了CIH病毒相同的手法切換到零環(huán)，使自己進到系統(tǒng)級。然后復制78個字節(jié)到kernel32.dll的地址空間中。(在windows 98 與windows 95的系統(tǒng)中的偏移地址是 bff70400處。 然后通過CreateKernelThread函數(shù)建立一個內(nèi)核線程。 該線程的入口地址就是bff70400。這個內(nèi)核線程調(diào)用了WaitForSingleObject函數(shù)使自身進入等待狀態(tài)，來等待父進程的結(jié)束信號。如果父進程被結(jié)束，則該內(nèi)核線程立即被喚醒。內(nèi)核線程馬上調(diào)用了WinExec函數(shù)，來重新啟動病毒進程。這樣，在殺毒軟件殺掉內(nèi)存中的病毒進程后。病毒馬上又被激活。這樣造成殺不掉內(nèi)存中的病毒。在windows 2000操作系統(tǒng)上在explorer中注入線程。在explorer中的線程用來保護病毒進程。 如果病毒進程結(jié)束，則explorer中的病毒線程重新啟動病毒進程。

　　基本特征

　　1. 此病毒可以在Windows 95,Windows 98,Windows NT, Windows 2000,Windows XP,Windows Me等操作系統(tǒng)中運行。

　　2. 病毒采用兩套不同技術來分別感染9X系列和NT系列系統(tǒng)的內(nèi)存。在9X系列操作系統(tǒng)下，病毒是利用CIH病毒的技術直接進入系統(tǒng)的核心級，擁有操作系統(tǒng)的所有權(quán)限，可以為所欲為。在NT系列操作系統(tǒng)下，病毒將自身線程駐留在瀏覽器體內(nèi)來運行自身，每當用戶瀏覽文件時病毒便可取得控制權(quán)。病毒駐留內(nèi)存后，感染力會比一般病毒大得多。

　　3. 此病毒內(nèi)存駐留方面首次采用多線程守護的技術來保護自己。病毒進入內(nèi)存后會產(chǎn)生兩個線程，一個核心線程，一個用戶線程，當用戶線程被殺掉時，核心線程便會立刻產(chǎn)生一個新的用戶線程，導致一般殺毒軟件無法完全將此病毒從內(nèi)存中清除。

　　4. 此病毒會利用郵件系統(tǒng)進行傳播。病毒自身內(nèi)置有SMTP引擎，主動查找用戶的OUTLOOK地址薄，向外大量發(fā)送帶毒郵件。病毒還利用IFRAM郵件漏洞，只要用戶預病郵件病毒便可自動運行。

　　解決方法

　　手動清除

　　1、病毒會生成以下信息的病毒郵件：寄件人：@yahoo.com 或者imissyou@btamail.net.cn標題: is coming!

　　附件: PP.exe，如果用戶發(fā)現(xiàn)有此信息的郵件，則最好刪除，值得注意的是，請不要預覽此郵件，以防病毒自動運行。

　　2、 在有網(wǎng)頁文件的目錄下查找，如果存在有Readme.eml的文件，則極可能是病毒，可將此病毒郵件直接刪除。

　　3 、在WINDOWS安裝目錄下查找隱藏文件runouce.exe，如果查找，則可證明有病毒存在，請直接將此文件刪除。

　　4 、查看注冊表的HKEY_LOCAL_MACHINE\ SoftWare\Microsoft\Windows\CurrentVersion\Run\e項中是否有“runonce”的鍵值，如果有，看此鍵值的內(nèi)容是否有與“runouce.exe”相關的內(nèi)容(例如此鍵值的內(nèi)容為：C:\Winnt\System32\Runouce.exe)，如果有此內(nèi)容，則將“runouce.exe”鍵值刪除即可。

　　殺毒軟件查殺