文档介绍:病毒运行后,会先将自己拷贝到 windows \ system \目录下,并取名为 runouce . exe ,然后开始搜索本地驱动器及网络驱动器,感染. exe 、. scr 和系统文件。对于 windows \ sys tem \目录,它也会先进行查找。接着在注册表项 HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 下添加: RunOuce : System \ RunOuce . exe ,这样,每次启动系统,病毒即随之运行。注册表命令: regedit 对于添加的注册表项,病毒还会创建一个注册表监视的线程,对之不断监视,如果被修改, 将立即重新写入病毒项,以保证自己的控制权。病毒还有一个外部线程保证自己不断地取得对系统的控制权,使得病毒的清除更加困难! 在 Win9x 系统下,病毒学****CIH 病毒进入核心层,将自身的部分代码复制到另外一个正在运行的程序内部, 通过创建内核线程的方式, 远程启动监视线程运行, 监视自己的进程是否存在,如果不存在则将系统目录下的 runouce . exe 再次加载。在 WinNT 系统下, 病毒是利用系统的 FindWindows 函数寻找一个可被注入线程的运行程序(一般会找到 Ex plorer . exe 程序) ,之后病毒将这个进程打开并分配了一块内存,将自己的监视线程代码复制到该进程中, 并在远程启动监视线程, 监视病毒的进程是否存在, 如果不存在则将系统目录下的 runouce . exe 再次加载。中国黑客() 病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。在 windows 9x 系统中复制自身到 windows\system\ . 在 windows 2000 和 windows NT 系统中复制自身到 winnt\system32\ 。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。在 Windows 9x 系统上该病毒利用了 CIH 病毒相同的手法切换到零环, 使自己进到系统级。然后复制 78 个字节到 的地址空间中。(在 windows 98与 windows 95 的系统中的偏移地址是 bff70400 处。然后通过 CreateKernelThread 函数建立一个内核线程。该线程的入口地址就是 bff70400 。这个内核线程调用了 WaitForSingleObject 函数使自身进入等待状态, 来等待父进程的结束信号。如果父进程被结束, 则该内核线程立即被唤醒。内核线程马上调用了 WinExec 函数,来重新启动病毒进程。这样, 在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。该病毒在 windows 2000 操作系统上在 explorer 中注入线程。在 explorer 中的线程用来保护病毒进程。如果病毒进程结束,则 explorer 中的病毒线程重新启动病毒进程。该病毒通过以上的方法来起到在内存中保护病毒进程的作用。该病毒有极强的局域网传