病毒名称(中文):
赤水牛
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
204800
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染,被它入侵的电脑,包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页,阻止用户通过网络求助。
1.程序运行后,生成文件
C:\AutoRun.inf
C:\chiShuiNiu.exe
C:\WINDOWS\system32\chiShuiNiu.exe
2.删除病毒自身文件,修改文件:
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys
3.在注册表中添加了注册项,如下:
HKEY_CURRENT_USER\Software\Microsoft\DsNiu
HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-V
HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-VPID1"1736"
HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-VPID2"252"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
启动项名:CiBsNiu键值:"C:\WINDOWS\system32\chiShuiNiu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\xxxx.exe
项名:Debugger键值"C:\WINDOWS\system32\chiShuiNiu.exe"映象劫持掉所有的可执行文件
4.该病毒在硬盘与移动硬盘自动复制,制作一个假的chishuiniu.exe病毒文件覆盖后,病毒能自动
替换该假文件。运行杀毒软件进行查杀,病毒强行关闭杀毒软件,并且阻止在网页搜寻有关chishuiniu.exe的任何信息。
凡牵涉查寻、阻止、隔离chishuiniu.exe的所有程序打开后,全部被强行关闭,注册表不能正常打开,进程治理器运行看
不出异常。