大水牛v3.5X 分析报告(建议中文名,就叫“大水牛”吧,这个东西一直有,这个版本只不过是它的最新变种)
一.执行流程
1. 病毒在系统中释放出以下病毒。
%SystemRoot%system32nwizs.exe
%SystemRoot%system32hook_nwizs.dll
%UserProfile%Local SettingsTempnwizs
%SystemRoot%system32nwizs.txt
%SystemRoot%system32svchost.exe
%SystemRoot%system32driversBeep.sys
2.修改系统注册表,将病毒主文件nwizs.exe添加到启动项,实现开机启动,但病毒会隐藏自身文件和注册表启动项目,使用户用一般软件无法看见其文件和注册表键值。
另外,nwizs.exe 还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块,但经测试,在本样本中并没有用到。
3.创建2 个svchost.exe,在里面运行自己,由于在正常系统中,也会同时存在多个svchost.exe,这就对用户产生了一定迷惑,使普通用户无法判断该终止哪个进程 。
4.在所有的驱动器下创建AUTO病毒autorun.inf 和nwizs.exe
5. 病毒加载之前生成的hook_nwizs.dll ,利用它来隐藏自己的文件和注册表键值。
6.病毒运行后删除自身文件,使得用户不易发现系统已被动过手脚。
标签:
