[求助]runonce.exe让人恼火!病的不轻
那玩意儿太狠了,删都删不掉~~居然感染全盘,害得我原来不知道这病毒得厉害,装了好几次系统,刚装完还没把全部驱动程序装上,又在进程里看到里runonce.exe 太郁闷里。所有的EXE文件都感染了这个病毒,极难清除:Worm.Win32.Runouce.b
===================
病毒名称:中国黑客(Worm.runouce)
发作时间:随机
病毒类型:蠕虫病毒
传播方式:网络
警惕程度:★★★★★
病毒介绍:
此病毒拷贝自身到系统目录下,命名为runouce.exe,并修改注册表。它首先准备了两套不同的感染机制来适应9X与NT系列操作系统平台,这样它的感染力就会比一般病毒大得多,而且它首次采用多线程互相守护的技术,使得多数杀毒软件无法彻底将它从内存中清除。它还可以通过OUTLOOK的邮件系统与局域网共享文件夹进行扩散,通过在局域网共享文件夹生成以被感染机器名开头的.eml病毒体文件,导致局域网的所有机器都成为病毒邮件的“发送基地”。另外此病毒还可通过用户的oicq等聊天软件传播病毒指定信息。瑞星反病毒专家提醒用户:目前被截获的此病毒还只是初级版本,该病毒不久还将出现破坏性更大的变种,请用户提高警惕,及时防范。
发作现象及解决方案:
病毒会探测已经感染病毒的用户的计算机名和邮件地址本,如果用户的计算机名为:ZhaoDong,则病毒会生成标题为:“Hi,i am zhaodong”,原始的邮件发送地址会写成:“[url=mailto:zhaodong@hotmail.com]zhaodong@hotmail.com[/url]” ,并且将病毒体以附件p.exe的形式加入邮件,当用户收到如此的邮件时,一定不要预览和查看,否则病毒就会运行。
病毒还会通过局域网进行扩散,在所有网络邻居的共享文件夹中写入类似zhaodong.eml的文件,用户如果觉得好奇而不小点击的话,也同样会造成病毒泛滥。
病毒在感染时会在windows\system或winnt\system32的目录下写入一个名为runouce.exe的隐藏病毒文件,并将自身的路径写入注册表的:“HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”路径中,如果用户发现自己的机器中有这个文件而且注册表中也有病毒的路径项,则也表明病毒已经运行,这时候用户是无法单纯地通过删除病毒文件来达到清毒的目的,由于病毒是用多线程守护技术,高级用户也无法通过手工的方式杀死病毒的线程,只能用可以完全内存查杀的杀毒软件来实现。
另外,此病毒还会通过QQ等聊天软件来发送诸如:“世界需要和平!、反对邪教,崇尚科学! xxx本xxx!、向英雄王伟致意!、反对霸权主义!、社会主义好!”之类的语句,而且病毒在发送这些句子的时侯有意地产生了十几个换行符,目的是让用户无法发现自己发送了这些句子。喜欢上网聊天的朋友如果收到此类莫名其妙的信息时,请赶快提醒对方杀毒,以免造成不必要的损失。
鉴于此病毒的特殊性,瑞星反病毒专家建议用户采用内存查杀技术比较优秀的杀毒软件来清除此病毒,并且将内存监控时刻打开,已免病毒再次泛滥。
为避免用户遭受损失,瑞星公司在截获此病毒当天的第一时间内就进行了紧急升级,瑞星杀毒软件14.12及以上的版本可以自动截获并清除此病毒,目前最新版本为:14.13,望广大用户及时升级。瑞星用户只需及时升级手中的软件即可彻底查杀“中国黑客”病毒。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)
