一区二区国产高清视频在线_真人性做爰A片免费_强伦人妻BD在线电影_亚洲熟妇无码AV_免费人成视频在线观看网站_亚洲欧美精品午睡沙发_在线观看无码的免费网站_中文字幕无码A片久久_日韩欧美国产一区精品_久久精品女人天堂av

重慶醫(yī)科大學(xué)論壇

標(biāo)題: 大水牛下載者分析報(bào)告及手工清除辦法 [打印本頁(yè)]

作者: 吃棒棒糖的豬 時(shí)間: 2008-5-21 19:38
標(biāo)題: 大水牛下載者分析報(bào)告及手工清除辦法
大水牛下載者分析報(bào)告及手工清除辦法
大水牛下載者木馬的詳細(xì)分析：
大水牛v3.5X 分析報(bào)告
一．執(zhí)行流程
1．病毒在系統(tǒng)中釋放出以下病毒。
%SystemRoot%\system32\nwizs.exe
%SystemRoot%\system32\hook_nwizs.dll
%UserProfile%\Local Settings\Temp\nwizs
%SystemRoot%\system32\nwizs.txt
%SystemRoot%\system32\svchost.exe
%SystemRoot%\system32\drivers\Beep.sys
2.修改系統(tǒng)注冊(cè)表，將病毒主文件nwizs.exe添加到啟動(dòng)項(xiàng)，實(shí)現(xiàn)開機(jī)啟動(dòng)，但病毒會(huì)隱藏自身文件和注冊(cè)表啟動(dòng)項(xiàng)目，使用戶用一般軟件無(wú)法看見其文件和注冊(cè)表鍵值。
另外，nwizs.exe 還具有IFEO 映像劫持、破壞注冊(cè)表隱藏鍵值、設(shè)置IE 啟始頁(yè)、向病毒作者提交本機(jī)信息等功能模塊，但經(jīng)測(cè)試，在本樣本中并沒有用到。
3．創(chuàng)建2 個(gè)svchost.exe，在里面運(yùn)行自己，由于在正常系統(tǒng)中，也會(huì)同時(shí)存在多個(gè)svchost.exe，這就對(duì)用戶產(chǎn)生了一定迷惑，使普通用戶無(wú)法判斷該終止哪個(gè)進(jìn)程。
4.在所有的驅(qū)動(dòng)器下創(chuàng)建AUTO病毒autorun.inf 和nwizs.exe
5. 病毒加載之前生成的hook_nwizs.dll ，利用它來(lái)隱藏自己的文件和注冊(cè)表鍵值。
6．病毒運(yùn)行后刪除自身文件，使得用戶不易發(fā)現(xiàn)系統(tǒng)已被動(dòng)過(guò)手腳。
7．在%UserProfile%\Local Settings\Temp\ 目錄下，釋放一個(gè)5 位字符組成的隨機(jī)名的.tmp文件（xxxxx.tmp），利用它來(lái)替換加載%SystemRoot%\system32\drivers\Beep.sys，這樣可以在無(wú)系統(tǒng)提示的情況下，悄悄恢復(fù)SSDT 表，令電腦中具有主動(dòng)防御的殺毒軟件失效。
8．注入系統(tǒng)桌面進(jìn)程iexplore.exe ，查找并關(guān)閉殺毒軟件進(jìn)程，經(jīng)測(cè)試，該病毒能順利結(jié)束毒霸kavstart.exe, 而在結(jié)束kwatch.exe 時(shí)，會(huì)造成電腦藍(lán)屏重起。
9．關(guān)閉帶有指定字樣的窗口，如nwizs.exe，金山毒霸，專殺，江民等等，采用直接發(fā)送關(guān)閉命令和模擬用戶發(fā)送鼠標(biāo)消息的方法，關(guān)閉它們。經(jīng)測(cè)試，病毒并不能關(guān)閉毒霸窗口。
10．下載病毒列表到%SystemRoot%\system32\nwizs.txt ，通過(guò)此列表下載的病毒會(huì)被藏在%UserProfile%\Local Settings\Temp\ 目錄下。
病毒下載列表的下載地址：http://520sb.cn/dir/ind??_pic/list.txt
列表里面包含：
microsoft.exe （機(jī)器狗，專殺能清除）
hosts.exe (是hosts 文件里面免疫了好多網(wǎng)址)
arp.exe（大水牛V2.1，不過(guò)里面下載地址失效）
cq.exe （里面包含黑客木馬fei.exe和傳奇盜號(hào)器lj.exe）
wow.exe （魔獸盜號(hào)木馬）
ddos.exe （DDOS 工具，會(huì)攻擊文件中自帶的config.txt 里指向的所有地址）
二．刪除方法
1.病毒自帶卸載功能，在斷網(wǎng)的前提下開始菜單-運(yùn)行輸入nwizs.exe -clear，等一分鐘左右，你的殺毒軟件就可以開起殺毒了(本病毒為下載器,不排除下載的其他病毒禁用你的殺毒軟件，如果其它病毒導(dǎo)致殺毒軟件不可用，推薦下載金山毒霸的磁碟機(jī)專殺工具預(yù)先處理)
2在開始運(yùn)行里輸入regedit打開注冊(cè)表,搜索dsniu,在HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V中，查看
"PID1"= ，"PID2"=。
PID1和2分別對(duì)應(yīng)的偽造的svchost.exe的PID,2個(gè)進(jìn)程為單守護(hù)狀態(tài),按照一定順序是可以結(jié)束掉的,(就是說(shuō)PID1=123,PID2=456,要是你先結(jié)束123,在結(jié)束456,馬上進(jìn)程又重新運(yùn)行了，那么你馬上按照先結(jié)束456,再結(jié)束123一定能結(jié)束掉,當(dāng)2個(gè)偽造的svchost.exe結(jié)束掉后,HOOK_nwizs.dll會(huì)自動(dòng)卸載,當(dāng)然你有工具能同時(shí)結(jié)束掉最好不過(guò)了，金山清理專家自帶的進(jìn)程管理器可同時(shí)結(jié)束病毒的兩個(gè)進(jìn)程。）
這個(gè)時(shí)候,nwizs.exe你也能看見了,刪除%systemroot%\ system32\Hook_nwizs.dll，%systemroot%\system32\nwizs.exe以及各個(gè)分區(qū)下的nwizs.exe 和autorun.inf文件。
重新使用金山清理專家，將殘留的病毒加載項(xiàng)徹底清除

歡迎光臨重慶醫(yī)科大學(xué)論壇 (http://www.espacio12.com/)