我的电脑一下就出现十几个runonce.exe进程,正常吗
来源:百度知道 编辑:UC知道 时间:2024/09/21 02:39:30
中毒了,
runonce.exe
“中文求职信”是国人编写的第一个重大恶意蠕虫,前不久还在疯狂作恶。最近又出现一个名为“中国黑客”(又名“中国和平”)的病毒,此病毒较前者更具“中国特色”,所以人们均怀疑这是又一个国产的新恶意蠕虫。
这个病毒以独创的“三线程”结构来传播并保护自己。
病毒运行后,会先将自己拷贝到windows\system\目录下,并取名为runouce.exe,然后开始搜索本地驱动器及网络驱动器,感染.exe、.scr和系统文件。对于windows\sys tem\目录,它也会先进行查找。接着在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System\RunOuce.exe,这样,每次启动系统,病毒即随之运行。
对于添加的注册表项,病毒还会创建一个注册表监视的线程,对之不断监视,如果被修改,将立即重新写入病毒项,以保证自己的控制权。
病毒还有一个外部线程保证自己不断地取得对系统的控制权,使得病毒的清除更加困难!
在Win9x系统下,病毒学习CIH病毒进入核心层,将自身的部分代码复制到另外一个正在运行的程序内部,通过创建内核线程的方式,远程启动监视线程运行,监视自己的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。
在WinNT系统下,病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序(一般会找到Ex plorer.exe程序),之后病毒将这个进程打开并分配了一块内存,将自己的监视线程代码复制到该进程中,并在远程启动监视线程,监视病毒的进程是否存在,如果不存在则将系统目录下的runouce.exe再次加载。
中国黑客(worm.runouce)病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到 windows\sys