以下是對大水牛下載者木馬的詳細分析:
大水牛v3.5X 分析報告(建議中文名,就叫“大水牛”吧,這個東西一直有,這個版本只不過是它的最新變種)
一.執行流程
1. 病毒在系統中釋放出以下病毒。
%SystemRoot%system32nwizs.exe
%SystemRoot%system32hook_nwizs.dll
%UserProfile%Local SettingsTempnwizs
%SystemRoot%system32nwizs.txt
%SystemRoot%system32svchost.exe
%SystemRoot%system32driversBeep.sys
2.修改系統注冊表,將病毒主文件nwizs.exe添加到啟動項,實現開機啟動,但病毒會隱藏自身文件和注冊表啟動項目,使用戶用一般軟件無法看見其文件和注冊表鍵值。
另外,nwizs.exe 還具有IFEO 映像劫持、破壞注冊表隱藏鍵值、設置IE 啟始頁、向病毒作者提交本機信息等功能模塊,但經測試,在本樣本中並沒有用到。
3.創建2 個svchost.exe,在裡面運行自己,由於在正常系統中,也會同時存在多個svchost.exe,這就對用戶產生了一定迷惑,使普通用戶無法判斷該終止哪個進程 。
4.在所有的驅動器下創建AUTO病毒autorun.inf 和nwizs.exe
5. 病毒加載之前生成的hook_nwizs.dll ,利用它來隱藏自己的文件和注冊表鍵值。
6.病毒運行後刪除自身文件,使得用戶不易發現系統已被動過手腳。