日前,对刚刚发现并大量通过邮件传播的“Win32/cnPeace”又称“中国和平”、“中国黑客”病毒进行分析发现;该病毒通过电子邮件大范围传染,目前许多电脑用户已经受其感染。
该病毒采用双线程跟踪保护方式;一个线程监视另一个线程的运行,如果一个进程被结束,但病毒的另一个线程仍旧会再生成新的线程,在内存里起到保护病毒进程的作用。结果是使杀毒软件出现对该病毒怎么杀也杀不死的情况,此病毒能在局域网里快速扩散,传染每一个共享文件夹,威力不小于“尼姆达”与“红色代码”。
实际上该病毒利用的仍然是求职信等前段时间流行的网络蠕虫利用的微软的OUTLOOK系列软件使用的漏洞,该病毒可以在WINDOWS98和WINDOWS2000系统下传播,同时可以自动保护病毒进程不被清除。和求职信病毒一样, 该病毒可以感染局域网上别的文件夹,只要该文件夹有可写属性。然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件,该eml文件是含有病毒体。
该病毒体内含有"ChineseHacker"等字符串, 还有的汉字串:“去他妈的法轮功!”、“反对邪教,崇尚科学!”、 “打倒本拉登!”、“向英雄王伟致意!”、“反对霸权主义!”、“世界需要和平”、“社会主义好!”等内容。
对付此病毒需要立即对杀毒软件进行升级,才能够避免其传播。江民公司于6月6日即可对此病毒进行查杀,KV3000杀毒王的邮件监控发现的提示信息是:Exploit.IFrame.FileDownLoad,以及W32/cnPeace.
|