“中国黑客”变种 夹带“武器”阻塞网络
　 2002-08-01 15:26:04

　　7月31日上午，瑞星反病毒全球监测网截获“中国黑客”变种版本—中国黑客II，这个新版本增加了可感染PE文件的功能，极大地增强了对染毒机器的危害，并且会导致网络阻塞。
　　
　　被瑞星反病毒全球监测网于6月6日首先截获的“中国黑客”，是一个传染能力极强、极难查杀的“智能型”恶性邮件病毒。据介绍，当时截获的是一个原始版本，它预留了大量程序接口，可以加载各种破坏程序，但本身的危害性并不大。
　　
　　此次截获的新变种在上次遗留的接口上，增加了感染PE文件的功能，也就是说，此病毒已经成为了一个具有系统病毒性质的蠕虫病毒，不但会通过电子邮件进行大面积地传播，还会感染本地所有可执行文件，从而加快了病毒传播速度，扩大了传播面积，甚至会导致局域网的堵塞。
　　
　　“中国黑客”综合了尼姆达（Nimda）病毒的一些传染方式，会生成一个Readme.eml信件文件，此邮件是一个具有自启动的含有病毒体的邮件，而且此病毒也会象尼姆达（Nimda）病毒那样，感染脚本类型的文件，在此类型的文件后面加上一个调用Readme.eml文件的脚本代码，用户一旦双击被感染的脚本文件，病毒邮件Readme.eml便可自动运行。
　　
　　当用户在NT系列操作系统的局域网环境中，该病毒会利用系统的NET功能，在屏幕上自动弹出一个信息框，内容为：“My god! Some one killed ChineseHacker-2 Moniter ”(天哪！竟然有人干掉了中国黑客-2的监控)，扰乱用户计算机的正常使用。
　　
　　在6月6日首次截获这个病毒之后，瑞星的工程师分析认为，“中国黑客”极有可能出现恶性变种，因此一直密切关注“中国黑客”的发展动态，这次被截获的版本可以说是“中国黑客”的第一个变种。
　　
　　据介绍，目前这个版本仍然在代码头部留有一个空函数的调用。因此可以推测，此病毒的编写者还会推出“中国黑客”的更新版本，而且根据病毒的编写逻辑，未来的新版本病毒有可能运用病毒加密、病毒变形等技术。
　　
　　另外可以确定的是，“中国黑客”病毒的这个变种是从国外传入的，因此存在如下两种可能：
　　一、 可能此病毒已经流传到国外，并被国外的病毒制造者“二次加工”；二、可能病毒的作者此次通过国外的网络传播病毒变种。
　　
　　瑞星反病毒小组已经完成对“中国黑客”变种的病毒升级包的制作，正在进行最后的测试，预计7月31日下午将提交到瑞星网站上。为了避免此病毒造成大面积泛滥，请广大用户密切关注瑞星网站的升级预报，及时升级最新版本。