大水牛下載者分析及手工清除辦法

　　以下是對大水牛下載者木馬的詳細分析：

　　大水牛v3.5X 分析報告(建議中文名，就叫“大水牛”吧，這個東西一直有，這個版本只不過是它的最新變種）

　　一．執行流程

　　1． 病毒在系統中釋放出以下病毒。

　　%SystemRoot%system32nwizs.exe

　　%SystemRoot%system32hook_nwizs.dll

　　%UserProfile%Local SettingsTempnwizs

　　%SystemRoot%system32nwizs.txt

　　%SystemRoot%system32svchost.exe

　　%SystemRoot%system32driversBeep.sys

　　2.修改系統注冊表，將病毒主文件nwizs.exe添加到啟動項，實現開機啟動，但病毒會隱藏自身文件和注冊表啟動項目，使用戶用一般軟件無法看見其文件和注冊表鍵值。

　　另外，nwizs.exe 還具有IFEO 映像劫持、破壞注冊表隱藏鍵值、設置IE 啟始頁、向病毒作者提交本機信息等功能模塊，但經測試，在本樣本中並沒有用到。

　　3．創建2 個svchost.exe，在裡面運行自己，由於在正常系統中，也會同時存在多個svchost.exe，這就對用戶產生了一定迷惑，使普通用戶無法判斷該終止哪個進程 。

　　4.在所有的驅動器下創建AUTO病毒autorun.inf 和nwizs.exe

　　5. 病毒加載之前生成的hook_nwizs.dll ，利用它來隱藏自己的文件和注冊表鍵值。

　　6．病毒運行後刪除自身文件，使得用戶不易發現系統已被動過手腳。