扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“赤水牛”(Win32.Troj.AutoRun.204800),这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染,被它入侵的电脑,包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页,阻止用户通过网络求助。
“网游盗号者34304”(Win32.Troj.OnLineGamesT.li.34304),这是一个针对多款网络游戏的盗号木马程序,它将自己的DLL文件注入游戏进程,强行关闭游戏,使得用户不得不重新登录,以便在这一过程中记录用户输入的帐号和密码。
一、“赤水牛”(Win32.Troj.AutoRun.204800) 威胁级别:★★
这只“赤水牛”是一个黑客后门程序,它最早于上月中旬进入毒霸反病毒工程师的视野。刚开始时,此毒造成影响范围并不大,但最近却有扩散的趋势,种种迹象表明,有人正在故意散播该病毒。因此,我们就需要了解一下它的破坏过程,以备防范。
此病毒进入用户电脑后,在系统盘的%WINDOWS%system32目录下释放出病毒文件chiShuiNiu.exe,同时,它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会立即传染上去,借以传播到别的电脑上。
病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%system32dllcache目录与%WINDOWS\%system32drivers目录下的系统驱动文件beep.sys,让系统对自己下一步的破坏“敞开大门”。接着,它修改注册表启动项,实现开机自启动。在这个过程中,病毒会映象劫持包括杀毒软件在内的所有可执行文件。
完成以上步骤后,如果用户试图运行杀毒软件进行查杀,病毒就会强行关闭杀毒软件,并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外,所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后,都会被强行关闭,连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。
而这时,病毒已经在系统中创建了后门,等待黑客非法进入,实施各种他想要的操作,给用户带来无法预料的损失和麻烦。但如果已安装了毒霸,就不必担心了。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-autorun-204800-50519.html
二、“网游盗号者34304”(Win32.Troj.OnLineGamesT.li.34304) 威胁级别:★
这个盗号木马可同时盗取多种网络游戏的帐号,并且具有一定的自我保护能力。
病毒进入电脑系统后,将自己的DLL格式文件注入当前运行着的各个进程中,然后判断注入的进程名称是否为《剑侠情缘2》(so2game)、《魔兽世界》(WOW.exe)、《征途》(zhengtu.dat)、《破天一剑》(china_login.mpr)等热门网游以及“浩方游戏平台”( gameclient.exe)。如果进程名匹配成功后,病毒就根据不同的游戏做出不同的处理,要么是读取内存,要么是键盘记录,总之,就是要达到盗号目的。而如果匹配失败,病毒则退出,潜伏在电脑中继续等待。
病毒作者为了让病毒长久地赖在用户电脑中,给病毒设置了自我保护功能,它阻止用户查杀自己的DLL文件,并每隔五分钟就结束一次匹配成功的游戏进程,提高盗号成功的机率。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-onlinegamest-li-34304-50520.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月9的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
浏览次数:86
此条发布在 星期二, 04月 8th, 2008 at 6:16 pm 安全播报, 病毒预警. 您可以通过 RSS 2.0获得最新评论. 您可以到文章末尾留言。
“04.09病毒预警:“赤水牛”开后门、可执行程序无法运行” 2 条评论
xyz
2008.04.08 9:26 pm
addrCAZT98YA.js 着是个什么病毒啊没事就说发现病毒文件 已被删除 为什么啊
UVW
2008.04.10 3:03 pm
楼上的,看样子是一个嵌在网页里传播的病毒呢,你电脑里面被病毒入侵了,JS格式的文件是用javascript写的。
我想你电脑里是进了一个下载器或广告木马,它隔一段时间就释放一次文件或从网上下载文件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者