决战中国黑客

网络与通信

AWP

近期闹得沸沸扬扬的中国黑客(Worm.Runouce)病毒是否已经光顾了你的机器？是否已经对你造成了不小的麻烦？不管怎样，你都应该先看看这篇文章，这样你才有决战中国黑客的能力，才能在关键时刻保护你的正常工作不受干扰。
中国黑客病毒于2002年6月6日首次在中国爆发。此病毒是继中文求职信病毒以来又一个新亮点，虽然已经发现的这个版本据有关专家分析只是一个初级版本，但病毒的编写技术与感染规模已经超过了中文求职信。有理由相信，如果此病毒有后继版本出现的话，它一定会是数种病毒的综合体，势必又会在病毒史上涂上重重的一笔。
下面我们就来全面分析中国黑客病毒。

1.病毒体的判断与清除

该病毒采用智能感染的方式分别感染Win9X内核与WinNT内核的操作系统。我们知道，内存型病毒的特征是感染力强，清除起来麻烦。为了描述问题的方便，我假定用户的Win9X系统与WinNT系统分别安装在C:\Windows与C:\WinNT中。病毒在感染时会在C:\Windows\System或C:\WinNT\System32的目录下写入名为runouce.exe的病毒文件，并在注册表[HKEY_LOCAL_MACHINE\Software\Mcrosoft\Windows\CurrentVersion\Run]中建一个名为“RunOuce”键值，其内容为“C:\Windows\System\runouce.exe”或“C:\WinNT\System32\runouce.exe”。
用户可以用A盘启动进入DOS方式，将此病毒文件删除，然后启动到Windows再将注册表中的病毒项删除。

2.邮件病毒体的判断与清除

该病毒会探测已经感染病毒用户的计算机名和邮件地址簿，如果用户的计算机名为“jianghai”，则病毒会生成名为“Hi,i am jianghai”的标题，原始的邮件发送地址会写成“jianghai@hotmail.com”，并且将病毒体以附件“p.exe”的形式加入邮件，当用户收到这样的邮件时，一定不要预览和查看，否则病毒就会自动运行。要想防止病毒自动运行，只能升级到IE6.0或下载IE补丁。

3.局域网病毒体的判断与清除

该病毒还会通过局域网进行扩散，往所有网络邻居的共享文件夹中写入类似“jinghai.eml”的文件，如果用户在自己的共享文件夹中发现此类文件，则可以确定它是病毒邮件，直接删除即可.

4.通过QQ进行病毒的判断与清除

此病毒还会通过QQ等聊天软件来发送诸如“世界需要和平！”、“反对霸权主义！”、“社会主义好！”之类的语句，而且病毒在发送这些句子的时候有意地产生了十几个换行符，目的是让用户无法发现自己发送了这些句子。如果用户怀疑自己中了中国黑客病毒，请赶快看一下自己的聊天记录，看是否有以上所说的句子，如果用户收到了此类句子，则可以确定对方已经中了中国黑客病毒，也请赶快提醒对方进行清毒处理。具体清除方法请参照前面所述办法进行。
总结：手工清除只能是权宜之计，是亡羊补牢的做法，对于病毒的入侵最重要的还是防患于未然，所以在这里笔者建议普通的用户还是要购买杀毒软件，平时打开监控，让病毒“无处藏身”。