新鲜登场的"中国黑客"病毒，经过金山反病毒应急处理中心的技术人员深入分析后，得出了一个病毒编写史上的新亮点：“中国黑客”发现了全球首创的“三线程”结构，整个病毒采用汇编语言开发，用了非常多的反跟踪技巧，若真为国人开发，这无疑体现了国内的病毒编写水平已经和国际接轨，更为“可贵”的是还带有自己的创新！　　

　　它采用了“2 + 1”的三线程结构：病毒体两个线程加上外部一个线程，充分显示病毒作者对系统深入了解的程度。　　　

　　线程1：病毒运行后，启动的主线程会将自己复制到系统目录下命名为runouce.exe，并且开始搜索本地驱动器和网络驱动器，准备对其它文件(*.exe、*.scr)和系统进行感染。同时还通过寻找用户邮件地址薄来向外发病毒邮件。　　

　　线程2：为了保证病毒在下次系统启动时能运行，病毒还会创建一个注册表监视的线程，不断监视注册表中的HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，如果一被修改，立即重新写入病毒项，保证自己的控制权，这又是全球第一次采用监视注册表是否被修改的病毒！　　

　　外部线程：(分为两种情况)

　　a.在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的runouce.exe再次加载。保证自己的不断取得对系统的控制权。

　　b.在WinNT系统下，与Win9x系统略有不同，病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序(一般会找到Explorer.exe程序)，之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce.exe再次加载。因此，用户在Win2000等系统下，用户虽然能用任务管理器看到并中止病毒进程，但马上新的病毒进程又会加载，使得清除很困难！　　

　　金山毒霸根据此病毒的特色，专门全新算法，全面清除“中国黑客”病毒，有关该病毒的最新资讯，请关注www.iduba.net，若您不幸已中招，请下载金山毒霸的专杀工具(www.iduba.net/download/other/Duba_RunOuce.htm)进行查杀。

   世界杯新闻订阅：精彩进球，一个不容错过！
      15秒快速订短信 精彩资讯尽在“掌”握