大水牛下载者分析及手工清除办法

以下是对大水牛下载者木马的详细分析： 大水牛v3.5X 分析报告(建议中文名，就叫“大水牛”吧，这个东西一直有，这个版本只不过是它的最新变种） 一．执行流程 1． 病毒在系统中释放出以下病毒。 %SystemRoot%system32nwizs.exe %SystemRoot%system32hook_nwizs.dll %UserProfile%Local SettingsTempnwizs %SystemRoot%system32nwizs.txt %SystemRoot%system32svchost.exe %SystemRoot%system32driversBeep.sys 2.修改系统注册表，将病毒主文件nwizs.exe添加到启动项，实现开机启动，但病毒会隐藏自身文件和注册表启动项目，使用户用一般软件无法看见其文件和注册表键值。 另外，nwizs.exe 还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块，但经测试，在本样本中并没有用到。 3．创建2 个svchost.exe，在里面运行自己，由于在正常系统中，也会同时存在多个svchost.exe，这就对用户产生了一定迷惑，使普通用户无法判断该终止哪个进程 。 4.在所有的驱动器下创建AUTO病毒autorun.inf 和nwizs.exe 5. 病毒加载之前生成的hook_nwizs.dll ，利用它来隐藏自己的文件和注册表键值。 6．病毒运行后删除自身文件，使得用户不易发现系统已被动过手脚。