电脑病毒：蠕虫！急！！！

Runouce.exe 名称: worm.runoUCe 类别： 蠕虫病毒
病毒资料：
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到
windows\system\runouce.exe .
在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。
然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。
这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
该病毒在windows 2000操作系统上以独创的“三线程”结构来传播并保护自己。
病毒运行后，会先将自己拷贝到windows\system\目录下，并取名为runouce.exe，然后开始搜索本地驱动器及网络驱动器，感染.exe、.scr和系统文件。对于windows\system32\目录，它也会先进行查找。接着在注册表项HKEY＿LOCAL＿MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加：RunOuce：System32\RunOuce．exe，这样，每次启动系统，病毒即随之运行。
对于添加的注册表项，病毒还会创建一个注册表监视的