以下是對大水牛下載者木馬的詳細分析:
大水牛v3.5X 分析報告(建議中文名,就叫“大水牛”吧,這個東西一直有,這個版本只不過是它的最新變種)
一.執行流程
1. 病毒在系統中釋放出以下病毒。
%SystemRoot%\system32\nwizs.exe
%SystemRoot%\system32\hook_nwizs.dll
%UserProfile%\Local Settings\Temp\nwizs
%SystemRoot%\system32\nwizs.txt
%SystemRoot%\system32\SVCHOST.exe
%SystemRoot%\system32\drivers\Beep.sys
2.修改系統註冊表,將病毒主檔案nwizs.exe添加到啟動項,實現開機啟動,但病毒會隱藏自身檔案和註冊表啟動項目,使用戶用一般軟體無法看見其檔案和註冊表鍵值。
另外,nwizs.exe 還具有IFEO 映像劫持、破壞註冊表隱藏鍵值、設定IE 啟始頁、向病毒作者提交本機信息等功能模組,但經測試,在本樣本中並沒有用到。
3.創建2 個svchost.exe,在裡面運行自己,由於在正常系統中,也會同時存在多個svchost.exe,這就對用戶產生了一定迷惑,使普通用戶無法判斷該終止哪個進程 。
4.在所有的驅動器下創建auto病毒autorun.inf 和nwizs.exe
5. 病毒載入之前生成的hook_nwizs.dll ,利用它來隱藏自己的檔案和註冊表鍵值。
6.病毒運行後刪除自身檔案,使得用戶不易發現系統已被動過手腳。
7.在%UserProfile%\Local Settings\Temp\ 目錄下,釋放一個5 位字元組成的隨機名的.tmp檔案(xxxxx.tmp),利用它來替換載入%SystemRoot%\system32\drivers\Beep.sys,這樣可以在無系統提示的情況下,悄悄恢復SSDT 表,令電腦中具有主動防禦的防毒軟體失效。
8. 注入系統桌面進程iexplore.exe ,查找並關閉防毒軟體進程,經測試,該病毒能順利結束毒霸kavstart.exe, 而在結束kwatch.exe 時,會造成電腦藍屏重起。
9. 關閉帶有指定字樣的視窗,如nwizs.exe,金山毒霸,專殺,江民等等,採用直接傳送關閉命令和模擬用戶傳送滑鼠訊息的方法,關閉它們。經測試,病毒並不能關閉毒霸視窗。
10. 下載病毒列表到%SystemRoot%\system32\nwizs.txt ,通過此列表下載的病毒會被藏在%UserProfile%\Local Settings\Temp\ 目錄下。
病毒下載列表的下載地址:http://520sb.cn/dir/ind??_pic/list.txt
列表裡面包含:
microsoft.exe (機器狗,專殺能清除)
hosts.exe (是hosts 檔案裡面免疫了好多網址)
arp.exe(大水牛V2.1,不過裡面下載地址失效)
cq.exe (裡面包含黑客木馬fei.exe和傳奇盜號器lj.exe)
wow.exe (魔獸盜號木馬)
ddos.exe (DDOS 工具,會攻擊檔案中自帶的config.txt 里指向的所有地址)
二.刪除方法
1.病毒自帶卸載功能,在斷網的前提下 開始選單-運行 輸入nwizs.exe -clear,等一分鐘左右,你的防毒軟體就可以開起防毒了(本病毒為下載器,不排除下載的其他病毒禁用你的防毒軟體,如果其它病毒導致防毒軟體不可用,推薦下載金山毒霸的磁碟機專殺工具預先處理)
2在開始運行里輸入regedit打開註冊表,搜尋dsniu,在HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V中,查看
"PID1"= ,"PID2"=。
PID1和2分別對應的偽造的svchost.exe的PID,2個進程為單守護狀態,按照一定順序是可以結束掉的,(就是說PID1=123,PID2=456,要是你先結束123,在結束456,馬上進程又重新運行了,那么你馬上按照先結束456,再結束123一定能結束掉,當2個偽造的svchost.exe結束掉後,HOOK_nwizs.dll會自動卸載,當然你有工具能同時結束掉最好不過了,金山清理專家自帶的進程管理器可同時結束病毒的兩個進程。)
這個時候,nwizs.exe你也能看見了,刪除%systemroot%\ system32\Hook_nwizs.dll,%systemroot%\system32\nwizs.exe以及各個分區下的nwizs.exe 和autorun.inf檔案。
重新使用金山清理專家,將殘留的病毒載入項徹底清除。
三.小結
這個版本的大水牛是一個很強大的病毒下載器,在對抗防毒軟體方面做得好。它能導致金山毒霸用戶系統藍屏,解除具有主動防禦功能殺軟的武裝,並阻止用戶通過網路進行求助。病毒作者處心積慮地針對多款病毒軟體給病毒裝備了對抗能力,並且開始在網上販賣這個下載器,為盜號木馬作者提供VIP服務。
四.關於http://520sb.cn站點的相關信息
查詢這個520sb.cn的站點是掛在IP為210.183.133.194的站上,該站是家韓國企業網站,有可能該站已經被黑客控制。
病毒讀取的下載列表為http://520sb.cn/dir/ind??_pic/list.txt
http://count.5111yes.cn/dir/index_pic/??/microsoft.exe
http://count.5111yes.cn/dir/index_pic/??/cq.exe
http://count.5111yes.cn/dir/index_pic/??/wow.exe
http://??.520sb.cn/ddos.exe
查詢count.5111yes.cn的IP為60.190.253.163,伺服器位於浙江省杭州市電信機房,屬於杭州聯盛電子有限公司。顯然,這台伺服器被人黑了。
