“赤水牛”（Win32.Troj.AutoRun.204800），这是一个能够自动传播的黑客后门程序。它可在移动存储设备之间进行自动传染，被它入侵的电脑，包括杀毒软件在内的所有可执行程序都将无法正常运行。并且该病毒会屏蔽一切与其有关的网页，阻止用户通过网络求助。

　　这只“赤水牛”是一个黑客后门程序，它最早于上月中旬进入毒霸反病毒工程师的视野。刚开始时，此毒造成影响范围并不大，但最近却有扩散的趋势，种种迹象表明，有人正在故意散播该病毒。因此，我们就需要了解一下它的破坏过程，以备防范。

　　此病毒进入用户电脑后，在系统盘的%WINDOWS%\system32\目录下释放出病毒文件chiShuiNiu.exe，同时，它将该文件的同名副本与一个AutoRun.inf文件隐藏在系统盘根目录下。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即传染上去，借以传播到别的电脑上。

　　病毒的破坏行动在它释放完文件后立即开始。它首先会修改%WINDOWS%\system32\dllcache\目录与%WINDOWS\%system32\drivers\目录下的系统驱动文件beep.sys，让系统对自己下一步的破坏“敞开大门”。接着，它修改注册表启动项，实现开机自启动。在这个过程中，病毒会映象劫持包括杀毒软件在内的所有可执行文件。

　　完成以上步骤后，如果用户试图运行杀毒软件进行查杀，病毒就会强行关闭杀毒软件，并且阻止用户上网搜寻有关chishuiniu.exe的任何信息。此外，所有牵涉到查寻、阻止、隔离chishuiniu.exe的程序被打开后，都会被强行关闭，连注册表也不能正常打开。可是用户在进程管理器中却看不出任何异常。

　　而这时，病毒已经在系统中创建了后门，等待黑客非法进入，实施各种他想要的操作，给用户带来无法预料的损失和麻烦。但如果已安装了毒霸，就不必担心了。