6月6号新鲜登场的“中国黑客”病毒，经过金山反病毒应急处理中心的技术人员深入分析后，发现一个病毒编写史上的新亮点：“中国黑客”发现了全球首创的“三线程”结构，整个病毒采用汇编语言开发，用了非常多的反跟踪技巧，若真为国人开发，这无疑体现了国内的病毒编写水平已经和国际接轨甚至超越了国外同类水平，更为“可贵”的是还带有自己的创新！

　　”中国黑客”采用的独特三线程架构，这个新颖的架构导致传统杀毒软件的内存杀毒技术失效，充分显示了病毒作者对系统深入了解的程度。这里有必要说明一下内存清毒的过程：一般病毒只有一个线程，病毒被加载到机器内存后都会不断地往硬盘写入病毒文件或感染其它执行文件，因此在清除机器中硬盘等介质上的病毒前必须先将内存中的病毒清除，消灭传播源。而“中国黑客”病毒具有三个线程,分为主病毒体和两个监视器, 将其中一个监视器注入到正常程序之中，并远程启动后监视主病毒体并保证主病毒体的运行,一旦主病毒体被清除，此监视器就将主病毒体再次调入。这样就使传统的内存杀毒失效。

　　为了保证病毒在下次系统启动时能运行，另外一个注册表监视器会不断监视注册表中病毒随系统加载的项目，如果一被人工或反病毒软件修改，立即重新写入病毒项，保证自己的控制权。病毒对注册表进行监视也是以前从来没有过的，杀毒软件对注册表的实时保护现在几乎还是一个空白。这一次在注册表实时保护方面，大多数杀毒软件又落在了病毒的后面。

　　在windows95/98/Me系统下，”中国黑客”病毒学习了臭名着著的CIH病毒，使用了VXD(虚拟设备驱动)技术进入到了系统核心层(ring 0)取得了系统的最高权限，也代表病毒这时已经可以为所欲为，一旦加上破坏代码，毁坏BIOS，毁坏硬盘数据都可以轻易做到。可想象一下：一个病毒具有求职信病毒的强传播力同时又具有CIH的强破坏力,它的出现将对网络及计算机安全构成多么巨大的威胁。

　　“中国黑客”利用了流行的QQ即时聊天工具散播政治言论，当病毒运行5个小时后会去寻找用户的QQ发送消息窗口，找到后他会把以下的短句“去他妈的法轮功!”、“反对邪教,崇尚科学!”、“打倒本拉登!”、“向英雄王伟致意!”、“反对霸权主义!”、“社会主义好!” 自动输入到QQ的发送消息窗口中并发送出去，十分钟循环一次，每次选择一个短语，参见附图。如果病毒作者想进一步的话完全可以利用QQ的传送文件功能来传播病毒，这样病毒传播又可以多一个途径。

　　在传播方式上中国黑客寻找用户邮件地址薄来向外发病毒邮件传播与局域网传播。这一点与求职信病毒非常相似，令其快速传播。金山公司仅在6月6号已经收到”中国黑客”病毒主动发来的带毒信件500多封。

　　此外”中国黑客”病毒还预留了接口，很多破坏功能与传播方式只要作者愿意的话很快就可以加上。此外病毒体内的感染开关没有打开，所以目前此病毒还不能感染文件，但实际上病毒体内的感染代码已经比较完整，一旦加上几行代码就可以实现感染WINDOWS下的.EXE、.DLL、.SCR等PE文件。

　　针对这一病毒，国内几大厂商金山、江民、走到了国外厂商的前面已纷纷推出升级包来清除这一新型病毒，金山公司还在发现病毒的当天就提供了免费的第二代专杀“中国黑客“病毒工具提供下载。下载链接：http://www.iduba.net/download/othertools/Duba_RunOuce.EXE