水牛病毒

“水牛”隨身碟病毒,這是一個可以通過移動存儲傳播的惡性隨身碟病毒,具有反病毒軟體和下載木馬的功能,且病毒採用了向svchost.exe注入病毒代碼的方法保護自身,故其發現和刪除非常困難,使中毒用戶騎“牛”難下。因其主檔案名稱為“ShuiNiu.exe”,因此得名“水牛”病毒。

水牛病毒

感染“水牛”病毒的隨身碟在經過顯示隱藏系統檔案處理後會在內部發現以ShuiNiu.exe為名的檔案,同時還會伴有一個autorun.inf檔案,該檔案內容如下:

[AutoRun]

Open=ShuiNiu.exe

Shell\Open=打開(&O)

Shell\Open\Command=ShuiNiu.exe

Shell\Open\Default=1

Shell\Explore=資源管理器(&X)

Shell\Explore\Command=ShuiNiu.exe

“水牛”的技術細節

1.病毒運行後,釋放如下副本:

%systemroot%\system32\ShuiNiu.exe

並向可移動存儲中寫入ShuiNiu.exe和autorun.inf達到通過隨身碟等移動存儲傳播的目的

......

2.調用Cmd,把系統時間改為2005-10-31

3.刪除如下鍵

SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

SYSTEM\ControlSet001\Control\SafeBoot\Network\

SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

破壞安全模式

4.添加映像劫持項目劫持一些安全軟體到%systemroot%\system32\ShuiNiu.exe

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exeKPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.exe

WoptiClean.exe

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加

<%systemroot%\system32\ShuiNiu.exe> []

的啟動項目達到開機啟動的目的

6.啟動IE下載http://www./UpFile/UpFace/bak.exe

但連線已失效

7.病毒運行後釋放~DsNiu!.bat 刪除自身

8.之後的動作也是病毒比較毒辣的一點,當完成上述這些動作後,病毒會啟動兩個svchost.exe,並將自身的病毒代碼寫入這兩個svchost.exe進程之中,之後ShuiNiu.exe退出進程。

這兩個svchost.exe會互相監視對方,且此時的ShuiNiu.exe也無法刪除 ...

9.病毒體內有文字“FUCK YOU”

解決辦法

下載sreng:http://download./files/sreng2.zip

Xdelbox:http://www./down/裡面的原創軟體資料夾下

1.解壓Xdelbox壓縮檔內所有檔案到一個資料夾

在 添加旁邊的框中 分別輸入

c:\windows\system32\ShuiNiu.exe

輸入完一個以後 點擊旁邊的添加 按鈕 被添加的檔案 將出現在下面的大框中

然後一次性選中 (按住ctrl)下面大框中所有的檔案

右鍵 單擊 點擊 重啟立即刪除

2.重啟後

打開sreng

啟動項目 註冊表 刪除如下項目

<%systemroot%\system32\ShuiNiu.exe> []

並刪除所有紅色的IFEO劫持項目

還是sreng中,系統修復-高級修復-修復安全模式

3.最後把系統時間改正確

防毒方法

用戶可以嘗試如下軟體

下載

http://download./files/sreng2.zip

http://blog./html/53/229553_itemid_150398.html

http://dl./360compkill.zip

相關詞條

相關搜尋

熱門詞條

聯絡我們