04.09病毒预警：“赤水牛”开后门、可执行程序无法运行

　　“赤水牛”（Win32.Troj.AutoRun.204800），这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染，被它入侵的电脑，包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页，阻止用户通过网络求助。

　　“网游盗号者34304”（Win32.Troj.OnLineGamesT.li.34304），这是一个针对多款网络游戏的盗号木马程序，它将自己的DLL文件注入游戏进程，强行关闭游戏，使得用户不得不重新登录，以便在这一过程中记录用户输入的帐号和密码。

　　一、“赤水牛”（Win32.Troj.AutoRun.204800） 威胁级别：★★

　　这只“赤水牛”是一个黑客后门程序，它最早于上月中旬进入毒霸反病毒工程师的视野。刚开始时，此毒造成影响范围并不大，但最近却有扩散的趋势，种种迹象表明，有人正在故意散播该病毒。因此，我们就需要了解一下它的破坏过程，以备防范。

　　此病毒进入用户电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件chiShuiNiu.exe，同时，它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即传染上去，借以传播到别的电脑上。

　　病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%\system32\dllcache\目录与%WINDOWS\%system32\drivers\目录下的系统驱动文件beep.sys，让系统对自己下一步的破坏“敞开大门”。接着，它修改注册表启动项，实现开机自启动。在这个过程中，病毒会映象劫持包括杀毒软件在内的所有可执行文件。

　　完成以上步骤后，如果用户试图运行杀毒软件进行查杀，病毒就会强行关闭杀毒软件，并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外，所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后，都会被强行关闭，连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。

　　而这时，病毒已经在系统中创建了后门，等待黑客非法进入，实施各种他想要的操作，给用户带来无法预料的损失和麻烦。但如果已安装了毒霸，就不必担心了。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-autorun-204800-50519.html

　　二、“网游盗号者34304”（Win32.Troj.OnLineGamesT.li.34304） 威胁级别：★

　　这个盗号木马可同时盗取多种网络游戏的帐号，并且具有一定的自我保护能力。

　　病毒进入电脑系统后，将自己的DLL格式文件注入当前运行着的各个进程中，然后判断注入的进程名称是否为《剑侠情缘2》（so2game）、《魔兽世界》（WOW.exe）、《征途》（zhengtu.dat）、《破天一剑》（china_login.mpr）等热门网游以及“浩方游戏平台”（ gameclient.exe）。如果进程名匹配成功后，病毒就根据不同的游戏做出不同的处理，要么是读取内存，要么是键盘记录，总之，就是要达到盗号目的。而如果匹配失败，病毒则退出，潜伏在电脑中继续等待。

　　病毒作者为了让病毒长久地赖在用户电脑中，给病毒设置了自我保护功能，它阻止用户查杀自己的DLL文件，并每隔五分钟就结束一次匹配成功的游戏进程，提高盗号成功的机率。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-onlinegamest-li-34304-50520.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年4月9的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　浏览次数:86

　　此条发布在 星期二, 04月 8th, 2008 at 6:16 pm 安全播报, 病毒预警. 您可以通过 RSS 2.0获得最新评论. 您可以到文章末尾留言。

　　“04.09病毒预警：“赤水牛”开后门、可执行程序无法运行” 2 条评论

　　xyz

　　2008.04.08 9:26 pm

　　addrCAZT98YA.js 着是个什么病毒啊没事就说发现病毒文件 已被删除 为什么啊

　　UVW

　　2008.04.10 3:03 pm

　　楼上的，看样子是一个嵌在网页里传播的病毒呢，你电脑里面被病毒入侵了，JS格式的文件是用javascript写的。

　　我想你电脑里是进了一个下载器或广告木马，它隔一段时间就释放一次文件或从网上下载文件。