这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名“ShuiNiu.exe”,因此称病毒为“水牛”病毒。
File: ShuiNiu.exe Size: 22069 bytes Modified: 2007年11月5日, 10:13:38 MD5: 1FA97A5E1766D6E668321838A6F3E536 SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0 CRC32: 1D66BFAB
技术细节: 1.病毒运行后,释放如下副本: %systemroot%\system32\ShuiNiu.exe 并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的
2.调用Cmd,把系统时间改为2005-10-31
3.删除如下键 SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ SYSTEM\ControlSet001\Control\SafeBoot\Network\ SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
破坏安全模式
4.添加映像劫持项目劫持一些安全软件到%systemroot%\system32\ShuiNiu.exe 360rpt.exe 360Safe.exe 360tray.exe adam.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exeKPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.COM KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe mmsk.exe NAVSetup.exe nod32krn.exe nod32kui.exe PFW.exe PFWLiveUpdate.exe QHSET.exe Ras.exe Rav.exe RavMon.exe RavMonD.exe RavStub.exe RavTask.exe RegClean.exe rfwcfg.exe RfwMain.exe rfwProxy.exe rfwsrv.exe RsAgent.exe Rsaupd.exe runiep.exe safelive.exe scan32.exe shcfg32.exe SmartUp.exe SREng.exe symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.exe WoptiClean.exe
5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加 <DsNiu><%systemroot%\system32\ShuiNiu.exe> [] 的启动项目达到开机启动的目的
6.启动IE下载http://www.huigui.org/UpFile/UpFace/bak.exe 但连接已失效
7.病毒运行后释放~DsNiu!.bat 删除自身
8.之后的动作也是病毒比较毒辣的一点,当完成上述这些动作后,病毒会启动两个svchost.exe,并将自身的病毒代码写入这两个svchost.exe进程之中,之后ShuiNiu.exe退出进程。 这两个svchost.exe会互相监视对方,且此时的ShuiNiu.exe也无法删除 ...
9.病毒体内有文字“FUCK YOU”
手动解决办法:到http://down.45its.com下载sreng和Xdelbox
1.解压Xdelbox压缩包内所有文件到一个文件夹,在 添加旁边的框中 分别输入c:\windows\system32\ShuiNiu.exe
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中,然后一次性选中 (按住ctrl)下面大框中所有的文件,右键 单击 点击 重启立即删除
2.重启后,打开sreng
启动项目 注册表 删除如下项目 <DsNiu><%systemroot%\system32\ShuiNiu.exe> []
并删除所有红色的IFEO劫持项目
还是sreng中,系统修复-高级修复-修复安全模式
3.最后把系统时间改正确
|