大水牛下載者分析報告和手工清除的方法

【編者按：大家還記得上周訪談時所提到的「大水牛」麼，看看下面的文章吧。】

【賽迪網-IT技術報道】上周曾給大家展示過「大水牛」下載者3.0和3.5版的界面，相信會給大家留下深刻印象。

以下是對大水牛下載者木馬的詳細分析：

大水牛v3.5X 分析報告

建議中文名，就叫「大水牛」吧，這個東西一直有，這個版本只不過是它的最新變種。

一、執行流程

1. 病毒在系統中釋放出以下病毒：

%SystemRoot%/system32/nwizs.exe %SystemRoot%/system32/hook_nwizs.dll %UserProfile%/Local Settings/Temp/nwizs %SystemRoot%/system32/nwizs.txt %SystemRoot%/system32/svchost.exe %SystemRoot%/system32/drivers/Beep.sys

2. 修改系統註冊表，將病毒主文件nwizs.exe添加到啟動項，實現開機啟動，但病毒會隱藏自身文件和註冊表啟動項目，使用戶用一般軟體無法看見其文件和註冊表鍵值。

另外，nwizs.exe 還具有IFEO 映像劫持、破壞註冊表隱藏鍵值、設置IE 啟始頁、向病毒作者提交本機信息等功能模塊，但經測試，在本樣本中並沒有用到。

3. 創建2 個svchost.exe，在裡面運行自己，由於在正常系統中，也會同時存在多個svchost.exe，這就對用戶產生了一定迷惑，使普通用戶無法判斷該終止哪個進程 。

4. 在所有的驅動器下創建AUTO病毒autorun.inf 和nwizs.exe。

5. 病毒加載之前生成的hook_nwizs.dll ，利用它來隱藏自己的文件和註冊表鍵值。

6．病毒運行後刪除自身文件，使得用戶不易發現系統已被動過手腳。

7．在%UserProfile%/Local Settings/Temp/ 目錄下，釋放一個5 位字符組成的隨機名的.tmp文件（xxxxx.tmp），利用它來替換加載%SystemRoot%/system32/drivers/Beep.sys ，這樣可以在無系統提示的情況下，悄悄恢復SSDT 表，令電腦中具有主動防禦的殺毒軟體失效。

8. 注入系統桌面進程iexplore.exe ，查找並關閉殺毒軟體進程，經測試，該病毒能順利結束毒霸kavstart.exe， 而在結束kwatch.exe 時，會造成電腦藍屏重起。

9. 關閉帶有指定字樣的窗口，如nwizs.exe，金山毒霸，專殺，江民等等，採用直接發送關閉命令和模擬用戶發送鼠標消息的方法，關閉它們。經測試，病毒並不能關閉毒霸窗口。

10. 下載病毒列表到%SystemRoot%/system32/nwizs.txt ，通過此列表下載的病毒會被藏在%UserProfile%/Local Settings/Temp/ 目錄下。

病毒下載列表的下載地址：http://520sb.cn/dir/index_pic/list.txt列表裡面包含

microsoft.exe （機器狗，專殺能清除）hosts.exe (是hosts 文件裡面免疫了好多網址)arp.exe（大水牛V2.1，不過裡面下載地址失效） cq.exe （裡面包含黑客木馬fei.exe和傳奇盜號器lj.exe）wow.exe （魔獸盜號木馬） ddos.exe （DDOS 工具，會攻擊文件中自帶的config.txt 裡指向的所有地址）

二、刪除方法

1.病毒自帶卸載功能，在斷網的前提下選擇「開始菜單-運行」輸入nwizs.exe -clear，等一分鐘左右，你的殺毒軟體就可以開起殺毒了(本病毒為下載器，不排除下載的其他病毒禁用你的殺毒軟體，如果其它病毒導致殺毒軟體不可用，推薦下載金山毒霸的磁碟機專殺工具預先處理)。

2在開始運行裡輸入regedit打開註冊表，搜索dsniu，在HKEY_CURRENT_USER/Software/Microsoft/DsNiu/InjectDown V3.5-V中，查看"PID1"=、"PID2"=。

PID1和2分別對應的偽造的svchost.exe的PID，兩個進程為單守護狀態，按照一定順序是可以結束掉的，(就是說PID1=123，PID2=456，要是你先結束123，再結束456，馬上進程又重新運行了，那麼你馬上按照先結束456，再結束123一定能結束掉。當兩個偽造的svchost.exe結束掉後，HOOK_nwizs.dll會自動卸載，當然你有工具能同時結束掉最好不過了，金山清理專家自帶的進程管理器可同時結束病毒的兩個進程。)

這個時候，nwizs.exe你也能看見了，刪除%systemroot%/ system32/Hook_nwizs.dll，%systemroot%/system32/nwizs.exe以及各個分區下的nwizs.exe 和autorun.inf文件。

重新使用金山清理專家，將殘留的病毒加載項徹底清除。

三、小結

這個版本的大水牛是一個很強大的病毒下載器，在對抗殺毒軟體方面做得好。它能導致金山毒霸用戶系統藍屏，解除具有主動防禦功能殺軟的武裝，並阻止用戶通過網絡進行求助。病毒作者處心積慮地針對多款病毒軟體給病毒裝備了對抗能力，並且開始在網上販賣這個下載器，為盜號木馬作者提供VIP服務。

四、關於http://520sb.cn站點的相關信息

查詢這個520sb.cn的站點是掛在IP為210.183.133.194的站上，該站是家韓國企業網站，有可能該站已經被黑客控制。

病毒讀取的下載列表為

http://520sb.cn/dir/index_pic/list.txt http://count.5111yes.cn/dir/index_pic/mm/microsoft.exehttp://count.5111yes.cn/dir/index_pic/mm/cq.exehttp://count.5111yes.cn/dir/index_pic/mm/wow.exehttp://2.520sb.cn/ddos.exe

查詢count.5111yes.cn的IP為60.190.253.163，伺服器位於浙江省杭州市電信機房，屬於杭州聯盛電子有限公司。顯然，這台伺服器被人黑了。

(