科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道04.09病毒预警:“赤水牛”开后门、可执行程序无法运行

04.09病毒预警:“赤水牛”开后门、可执行程序无法运行

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“赤水牛”(Win32.Troj.AutoRun.204800),这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染。

作者:金山安全中心 来源:金山安全中心 2008年5月11日

关键字: 病毒预警 金山毒霸 金山毒霸病毒库

  • 评论
  • 分享微博
  • 分享邮件

  “赤水牛”(Win32.Troj.AutoRun.204800),这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染,被它入侵的电脑,包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页,阻止用户通过网络求助。

  “网游盗号者34304”(Win32.Troj.OnLineGamesT.li.34304),这是一个针对多款网络游戏的盗号木马程序,它将自己的DLL文件注入游戏进程,强行关闭游戏,使得用户不得不重新登录,以便在这一过程中记录用户输入的帐号和密码。

  一、“赤水牛”(Win32.Troj.AutoRun.204800) 威胁级别:★★

  这只“赤水牛”是一个黑客后门程序,它最早于上月中旬进入毒霸反病毒工程师的视野。刚开始时,此毒造成影响范围并不大,但最近却有扩散的趋势,种种迹象表明,有人正在故意散播该病毒。因此,我们就需要了解一下它的破坏过程,以备防范。

  此病毒进入用户电脑后,在系统盘的%WINDOWS%system32目录下释放出病毒文件chiShuiNiu.exe,同时,它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会立即传染上去,借以传播到别的电脑上。

  病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%system32dllcache目录与%WINDOWS\%system32drivers目录下的系统驱动文件beep.sys,让系统对自己下一步的破坏“敞开大门”。接着,它修改注册表启动项,实现开机自启动。在这个过程中,病毒会映象劫持包括杀毒软件在内的所有可执行文件。

  完成以上步骤后,如果用户试图运行杀毒软件进行查杀,病毒就会强行关闭杀毒软件,并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外,所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后,都会被强行关闭,连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。

  而这时,病毒已经在系统中创建了后门,等待黑客非法进入,实施各种他想要的操作,给用户带来无法预料的损失和麻烦。但如果已安装了毒霸,就不必担心了。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-autorun-204800-50519.html

  二、“网游盗号者34304”(Win32.Troj.OnLineGamesT.li.34304) 威胁级别:★

  这个盗号木马可同时盗取多种网络游戏的帐号,并且具有一定的自我保护能力。

  病毒进入电脑系统后,将自己的DLL格式文件注入当前运行着的各个进程中,然后判断注入的进程名称是否为《剑侠情缘2》(so2game)、《魔兽世界》(WOW.exe)、《征途》(zhengtu.dat)、《破天一剑》(china_login.mpr)等热门网游以及“浩方游戏平台”( gameclient.exe)。如果进程名匹配成功后,病毒就根据不同的游戏做出不同的处理,要么是读取内存,要么是键盘记录,总之,就是要达到盗号目的。而如果匹配失败,病毒则退出,潜伏在电脑中继续等待。

  病毒作者为了让病毒长久地赖在用户电脑中,给病毒设置了自我保护功能,它阻止用户查杀自己的DLL文件,并每隔五分钟就结束一次匹配成功的游戏进程,提高盗号成功的机率。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-onlinegamest-li-34304-50520.html

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月9的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

  浏览次数:86

  此条发布在 星期二, 04月 8th, 2008 at 6:16 pm 安全播报, 病毒预警. 您可以通过 RSS 2.0获得最新评论. 您可以到文章末尾留言。

  “04.09病毒预警:“赤水牛”开后门、可执行程序无法运行” 2 条评论

  xyz

  2008.04.08 9:26 pm

  addrCAZT98YA.js 着是个什么病毒啊没事就说发现病毒文件 已被删除 为什么啊

  UVW

  2008.04.10 3:03 pm

  楼上的,看样子是一个嵌在网页里传播的病毒呢,你电脑里面被病毒入侵了,JS格式的文件是用javascript写的。

  我想你电脑里是进了一个下载器或广告木马,它隔一段时间就释放一次文件或从网上下载文件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章