打印本文 打印本文  关闭窗口 关闭窗口  
大水牛下载者分析及手工清除办法
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:26:41  文章录入:陈鹏  责任编辑:陈鹏

以下是对大水牛下载者木马的详细分析:

  大水牛v3.5X 分析报告(建议中文名,就叫“大水牛”吧,这个东西一直有,这个版本只不过是它的最新变种)

  一.执行流程

  1. 病毒在系统中释放出以下病毒。

  %SystemRoot%\system32\nwizs.exe

  %SystemRoot%\system32\hook_nwizs.dll

  %UserProfile%\Local Settings\Temp\nwizs

  %SystemRoot%\system32\nwizs.txt

  %SystemRoot%\system32\svchost.exe

  %SystemRoot%\system32\drivers\Beep.sys

  2.修改系统注册表,将病毒主文件nwizs.exe添加到启动项,实现开机启动,但病毒会隐藏自身文件和注册表启动项目,使用户用一般软件无法看见其文件和注册表键值。

  另外,nwizs.exe 还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块,但经测试,在本样本中并没有用到。

  3.创建2 个svchost.exe,在里面运行自己,由于在正常系统中,也会同时存在多个svchost.exe,这就对用户产生了一定迷惑,使普通用户无法判断该终止哪个进程 。

  4.在所有的驱动器下创建AUTO病毒autorun.inf 和nwizs.exe

  5. 病毒加载之前生成的hook_nwizs.dll ,利用它来隐藏自己的文件和注册表键值。

  6.病毒运行后删除自身文件,使得用户不易发现系统已被动过手脚。

  7.在%UserProfile%\Local Settings\Temp\ 目录下,释放一个5 位字符组成的随机名的.tmp文件(xxxxx.tmp),利用它来替换加载%SystemRoot%\system32\drivers\Beep.sys,这样可以在无系统提示的情况下,悄悄恢复SSDT 表,令电脑中具有主动防御的杀毒软件失效。

  8. 注入系统桌面进程iexplore.exe ,查找并关闭杀毒软件进程,经测试,该病毒能顺利结束毒霸kavstart.exe, 而在结束kwatch.exe 时,会造成电脑蓝屏重起。

  9. 关闭带有指定字样的窗口,如nwizs.exe,金山毒霸,专杀,江民等等,采用直接发送关闭命令和模拟用户发送鼠标消息的方法,关闭它们。经测试,病毒并不能关闭毒霸窗口。

  10. 下载病毒列表到%SystemRoot%\system32\nwizs.txt ,通过此列表下载的病毒会被藏在%UserProfile%\Local Settings\Temp\ 目录下。

  病毒下载列表的下载地址:http://520sb.cn/dir/ind??_pic/list.txt

  列表里面包含:

  microsoft.exe (机器狗,专杀能清除)

  hosts.exe (是hosts 文件里面免疫了好多网址)

  arp.exe(大水牛V2.1,不过里面下载地址失效)

  cq.exe (里面包含黑客木马fei.exe和传奇盗号器lj.exe)

  wow.exe (魔兽盗号木马)

  ddos.exe (DDOS 工具,会攻击文件中自带的config.txt 里指向的所有地址)

  二.删除方法

  1.病毒自带卸载功能,在断网的前提下 开始菜单-运行 输入nwizs.exe -clear,等一分钟左右,你的杀毒软件就可以开起杀毒了(本病毒为下载器,不排除下载的其他病毒禁用你的杀毒软件,如果其它病毒导致杀毒软件不可用,推荐下载金山毒霸的磁碟机专杀工具预先处理)

  2在开始运行里输入regedit打开注册表,搜索dsniu,在HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V中,查看

  "PID1"= ,"PID2"=。

  PID1和2分别对应的伪造的svchost.exe的PID,2个进程为单守护状态,按照一定顺序是可以结束掉的,(就是说PID1=123,PID2=456,要是你先结束123,在结束456,马上进程又重新运行了,那么你马上按照先结束456,再结束123一定能结束掉,当2个伪造的svchost.exe结束掉后,HOOK_nwizs.dll会自动卸载,当然你有工具能同时结束掉最好不过了,金山清理专家自带的进程管理器可同时结束病毒的两个进程。)

  这个时候,nwizs.exe你也能看见了,删除%systemroot%\ system32\Hook_nwizs.dll,%systemroot%\system32\nwizs.exe以及各个分区下的nwizs.exe 和autorun.inf文件。

  重新使用金山清理专家,将残留的病毒加载项彻底清除。

  三.小结

  这个版本的大水牛是一个很强大的病毒下载器,在对抗杀毒软件方面做得好。它能导致金山毒霸用户系统蓝屏,解除具有主动防御功能杀软的武装,并阻止用户通过网络进行求助。病毒作者处心积虑地针对多款病毒软件给病毒装备了对抗能力,并且开始在网上贩卖这个下载器,为盗号木马作者提供VIP服务。

  四.关于http://520sb.cn站点的相关信息

  查询这个520sb.cn的站点是挂在IP为210.183.133.194的站上,该站是家韩国企业网站,有可能该站已经被黑客控制。

  病毒读取的下载列表为http://520sb.cn/dir/ind??_pic/list.txt

  http://count.5111yes.cn/dir/index_pic/??/microsoft.exe

  http://count.5111yes.cn/dir/index_pic/??/cq.exe

  http://count.5111yes.cn/dir/index_pic/??/wow.exe

  http://??.520sb.cn/ddos.exe

  查询count.5111yes.cn的IP为60.190.253.163,服务器位于浙江省杭州市电信机房,属于杭州联盛电子有限公司。显然,这台服务器被人黑了。

热门推荐 技巧:巧用交换机解决局域网安全 改变系统安全等级的十大建议


【责任编辑 王凡】

打印本文 打印本文  关闭窗口 关闭窗口