　　以下是对大水牛下载者木马的详细分析：

　　大水牛v3.5X 分析报告(建议中文名，就叫“大水牛”吧，这个东西一直有，这个版本只不过是它的最新变种）

　　一．执行流程

　　1．病毒在系统中释放出以下病毒。

　　%SystemRoot%\system32\nwizs.exe

　　%SystemRoot%\system32\hook_nwizs.dll

　　%UserProfile%\Local Settings\Temp\nwizs

　　%SystemRoot%\system32\nwizs.txt

　　%SystemRoot%\system32\svchost.exe

　　%SystemRoot%\system32\drivers\Beep.sys

　　2.修改系统注册表，将病毒主文件nwizs.exe添加到启动项，实现开机启动，但病毒会隐藏自身文件和注册表启动项目，使用户用一般软件无法看见其文件和注册表键值。

　　另外，nwizs.exe 还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块，但经测试，在本样本中并没有用到。

　　3．创建2 个svchost.exe，在里面运行自己，由于在正常系统中，也会同时存在多个svchost.exe，这就对用户产生了一定迷惑，使普通用户无法判断该终止哪个进程。

　　4.在所有的驱动器下创建AUTO病毒autorun.inf 和nwizs.exe

　　5. 病毒加载之前生成的hook_nwizs.dll ，利用它来隐藏自己的文件和注册表键值。

　　6．病毒运行后删除自身文件，使得用户不易发现系统已被动过手脚。

　　7．在%UserProfile%\Local Settings\Temp\ 目录下，释放一个5 位字符组成的随机名的.tmp文件（xxxxx.tmp），利用它来替换加载%SystemRoot%\system32\drivers\Beep.sys，这样可以在无系统提示的情况下，悄悄恢复SSDT 表，令电脑中具有主动防御的杀毒软件失效。

　　8．注入系统桌面进程iexplore.exe ，查找并关闭杀毒软件进程，经测试，该病毒能顺利结束毒霸kavstart.exe, 而在结束kwatch.exe 时，会造成电脑蓝屏重起。

　　9．关闭带有指定字样的窗口，如nwizs.exe，金山毒霸，专杀，江民等等，采用直接发送关闭命令和模拟用户发送鼠标消息的方法，关闭它们。经测试，病毒并不能关闭毒霸窗口。

　　10．下载病毒列表到%SystemRoot%\system32\nwizs.txt ，通过此列表下载的病毒会被藏在%UserProfile%\Local Settings\Temp\ 目录下。

　　病毒下载列表的下载地址：http://520sb.cn/dir/ind??_pic/list.txt

　　列表里面包含：

　　microsoft.exe （机器狗，专杀能清除）

　　hosts.exe (是hosts 文件里面免疫了好多网址)

　　arp.exe（大水牛V2.1，不过里面下载地址失效）

　　cq.exe （里面包含黑客木马fei.exe和传奇盗号器lj.exe）

　　wow.exe （魔兽盗号木马）

　　ddos.exe （DDOS 工具，会攻击文件中自带的config.txt 里指向的所有地址）

　　二．删除方法

　　1.病毒自带卸载功能，在断网的前提下开始菜单-运行输入nwizs.exe -clear，等一分钟左右，你的杀毒软件就可以开起杀毒了(本病毒为下载器,不排除下载的其他病毒禁用你的杀毒软件，如果其它病毒导致杀毒软件不可用，推荐下载金山毒霸的磁碟机专杀工具预先处理)

　　2在开始运行里输入regedit打开注册表,搜索dsniu,在HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V中，查看

　　"PID1"= ，"PID2"=。

　　PID1和2分别对应的伪造的svchost.exe的PID,2个进程为单守护状态,按照一定顺序是可以结束掉的,(就是说PID1=123,PID2=456,要是你先结束123,在结束456,马上进程又重新运行了，那么你马上按照先结束456,再结束123一定能结束掉,当2个伪造的svchost.exe结束掉后,HOOK_nwizs.dll会自动卸载,当然你有工具能同时结束掉最好不过了，金山清理专家自带的进程管理器可同时结束病毒的两个进程。）

　　这个时候,nwizs.exe你也能看见了,删除%systemroot%\ system32\Hook_nwizs.dll，%systemroot%\system32\nwizs.exe以及各个分区下的nwizs.exe 和autorun.inf文件。

　　重新使用金山清理专家，将残留的病毒加载项彻底清除。

　　三．小结

　　这个版本的大水牛是一个很强大的病毒下载器，在对抗杀毒软件方面做得好。它能导致金山毒霸用户系统蓝屏，解除具有主动防御功能杀软的武装，并阻止用户通过网络进行求助。病毒作者处心积虑地针对多款病毒软件给病毒装备了对抗能力，并且开始在网上贩卖这个下载器，为盗号木马作者提供VIP服务。

[1] [2] 下一页

上一篇:天生丽质桥本丽香经典壁纸欣赏

下一篇:认识映象劫持技术原理与解决办法

大水牛下载者分析及手工清除办法相关文章：

·全部DLL下载

·卡巴斯基6.0下载卡巴斯基6.0key激活码

·电子书籍下载大放送

·Windows Vista Ultimate中文旗舰版下载+简单破解（支持迅雷HTTP & BT)

·DirectX 10 for Windows XP修改版下载

·jsp Smart Upload上传下载全攻略

·设好eMule电驴两项关键配置提高下载速度

·推荐：漂亮的手机上使用的墙纸图片分享下载

·怎样清除硬盘及系统垃圾文件？

·清除垃圾文件DIY

大水牛下载者分析及手工清除办法相关软件：

·万能声卡驱动下载适用于VIA芯片声卡

·瑞星杀毒软件2008下载版（完全免费）V20.36.32

·海量免费毕业论文打包下载

·各大MP3搜索网站前十名下载曲目

·瑞星个人防火墙2008下载版（完全免费）v20.35

·QQ显IP 显隐身超级版 2款不同功能最新QQ版本友情下载

·Dubbing　情歌教父（周传雄）1987-2003 新歌+经典专辑全部MP3下载！

·电影美女海报下载

·acca教材下载

·《东邪西毒》电影音乐原声下载

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn