“赤水牛”开后门、可执行程序无法运行
04月 9th, 2008 -
这只“赤水牛”是一个黑客后门程序,它最早于上月中旬进入毒霸反病毒工程师的视野。刚开始时,此毒造成影响范围并不大,但最近却有扩散的趋势,种种迹象表明,有人正在故意散播该病毒。因此,我们就需要了解一下它的破坏过程,以备防范。 此病毒进入用户电脑后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件chiShuiNiu.exe,同时,它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会立即传染上去,借以传播到别的电脑上。
病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%\system32\dllcache\目录与%WINDOWS\%system32\drivers\目录下的系统驱动文件beep.sys,让系统对自己下一步的破坏“敞开大门”。接着,它修改注册表启动项,实现开机自启动。在这个过程中,病毒会映象劫持包括杀毒软件在内的所有可执行文件。
完成以上步骤后,如果用户试图运行杀毒软件进行查杀,病毒就会强行关闭杀毒软件,并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外,所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后,都会被强行关闭,连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。
而这时,病毒已经在系统中创建了后门,等待黑客非法进入,实施各种他想要的操作,给用户带来无法预料的损失和麻烦。但如果已安装了金山毒霸,就不必担心了。