U盘病毒“水牛”的分析及专杀方法

www.8tops.com 2007-11-24 12:29:23　　发布：尼奥
媒体：http://hi.baidu.com/ 作者：清新阳光

这是一个可以通过移动存储传播的恶性病毒，具有反病毒软件和下载木马的功能，且病毒采用了向svchost.exe注入病毒代码的方法保护自身，使其发现和删除更加困难，因其主文件名“ShuiNiu.exe”，因此称病毒为“水牛”病毒。

File: ShuiNiu.exe
Size: 22069 bytes
Modified: 2007年11月5日, 10:13:38
MD5: 1FA97A5E1766D6E668321838A6F3E536
SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0
CRC32: 1D66BFAB

技术细节：
1.病毒运行后，释放如下副本：
%systemroot%\system32\ShuiNiu.exe
并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

2.调用Cmd，把系统时间改为2005-10-31

3.删除如下键
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

破坏安全模式

4.添加映像劫持项目劫持一些安全软件到%systemroot%\system32\ShuiNiu.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exeKPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加
<DsNiu><%systemroot%\system32\ShuiNiu.exe> []
的启动项目达到开机启动的目的

6.启动IE下载http://www.huigui.org/UpFile/UpFace/bak.exe
但连接已失效

7.病毒运行后释放~DsNiu!.bat 删除自身

8.之后的动作也是病毒比较毒辣的一点，当完成上述这些动作后，病毒会启动两个svchost.exe，并将自身的病毒代码写入这两个svchost.exe进程之中，之后ShuiNiu.exe退出进程。
这两个svchost.exe会互相监视对方，且此时的ShuiNiu.exe也无法删除 ...

9.病毒体内有文字“FUCK YOU”

解决办法：
下载sreng：http://download.kztechs.com/files/sreng2.zip
Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下

1.解压Xdelbox压缩包内所有文件到一个文件夹
在添加旁边的框中分别输入
c:\windows\system32\ShuiNiu.exe
输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中
然后一次性选中（按住ctrl)下面大框中所有的文件
右键单击点击重启立即删除

2.重启后
打开sreng
启动项目注册表删除如下项目
<DsNiu><%systemroot%\system32\ShuiNiu.exe> []

并删除所有红色的IFEO劫持项目

还是sreng中，系统修复-高级修复-修复安全模式

3.最后把系统时间改正确

八强网，更多精彩在首页，

发表

发文时请务必注意：

一、遵守国家相关法律规定，如《北京地区互联网站电子公告服务倡议书》，《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法规。一旦违犯法律法规，您将承担一切因您的行为而直接或间接导致的民事或刑事法律责任，本站工作人员有义务配合相关部门，提供必要的技术资料（如IP地址等）。
二、自觉遵守爱国、守法、自律、真实、文明的原则，严禁发表有人身攻击倾向、有造谣生事嫌疑的言论，严禁发表虚假广告、色情、网络传销性质的内容，本站管理人员有权删除违反规定的内容或取消违规网友的发文权限甚至删除其ID。

互联网产业作家

E-file：尼奥

尼奥的最新文章：

U盘病毒“水牛”的分析及专杀方法

发表

我也评两句

互联网产业作家