Win32.Troj.AutoRun.204800

2008-08-14 23:07:10  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　赤水牛

　　病毒别名:

　　

　　

　　威胁级别:

　　★★☆☆☆

　　病毒类型:

　　木马程序

　　病毒长度:

　　204800

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染，被它入侵的电脑，包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页，阻止用户通过网络求助。

　　1.程序运行后，生成文件

　　C:\AutoRun.inf

　　C:\chiShuiNiu.exe

　　C:\WINDOWS\system32\chiShuiNiu.exe

　　2.删除病毒自身文件，修改文件：

　　C:\WINDOWS\system32\dllcache\beep.sys

　　C:\WINDOWS\system32\drivers\beep.sys

　　3.在注册表中添加了注册项，如下：

　　HKEY_CURRENT_USER\Software\Microsoft\DsNiu

　　HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-V

　　HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-VPID1"1736"

　　HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-VPID2"252"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　启动项名：CiBsNiu键值："C:\WINDOWS\system32\chiShuiNiu.exe"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\xxxx.exe

　　项名：Debugger键值"C:\WINDOWS\system32\chiShuiNiu.exe"映象劫持掉所有的可执行文件

　　4.该病毒在硬盘与移动硬盘自动复制，制作一个假的chishuiniu.exe病毒文件覆盖后，病毒能自动

　　替换该假文件。运行杀毒软件进行查杀，病毒强行关闭杀毒软件，并且阻止在网页搜寻有关chishuiniu.exe的任何信息。

　　凡牵涉查寻、阻止、隔离chishuiniu.exe的所有程序打开后，全部被强行关闭，注册表不能正常打开，进程治理器运行看

　　不出异常。

 

 

 

病毒名称(中文): 赤水牛 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马程序 病毒长度: 204800 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染，被它入侵的电脑，包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页，阻止用户通过网络求助。 1.程序运行后，生成文件 C:\AutoRun.inf C:\chiShuiNiu.exe C:\WINDOWS\system32\chiShuiNiu.exe 2.删除病毒自身文件，修改文件： C:\WINDOWS\system32\dllcache\beep.sys C:\WINDOWS\system32\drivers\beep.sys 3.在注册表中添加了注册项，如下： HKEY_CURRENT_USER\Software\Microsoft\DsNiu HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-V HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-V PID1 "1736" HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDownV3.5-V PID2 "252" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 启动项名：CiBsNiu 键值："C:\WINDOWS\system32\chiShuiNiu.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\xxxx.exe 项名：Debugger 键值"C:\WINDOWS\system32\chiShuiNiu.exe"映象劫持掉所有的可执行文件 4.该病毒在硬盘与移动硬盘自动复制，制作一个假的chishuiniu.exe病毒文件覆盖后，病毒能自动 替换该假文件。运行杀毒软件进行查杀，病毒强行关闭杀毒软件，并且阻止在网页搜寻有关chishuiniu.exe的任何信息。 凡牵涉查寻、阻止、隔离chishuiniu.exe的所有程序打开后，全部被强行关闭，注册表不能正常打开，进程治理器运行看 不出异常。