这个版本的大水牛是一个很强大的病毒下载器，在对抗杀毒软件方面做得好。它能导致金山毒霸用户系统蓝屏，解除具有主动防御功能杀软的武装，并阻止用户通过网络进行求助。病毒作者处心积虑地针对多款病毒软件给病毒装备了对抗能力，并且开始在网上贩卖这个下载器，为盗号木马作者提供VIP服务。看来他已经不再是过去那种仅仅为炫耀技术而自娱自乐式的病毒爱好者，而已经成为病毒黑色产业链中的一份子了。

　　一．执行流程

　　1． 病毒在系统中释放出以下病毒。

　　%SystemRoot%\system32\nwizs.exe

　　%SystemRoot%\system32\hook_nwizs.dll

　　%UserProfile%\Local Settings\Temp\nwizs

　　%SystemRoot%\system32\nwizs.txt

　　%SystemRoot%\system32\svchost.exe

　　%SystemRoot%\system32\drivers\Beep.sys

　　2．修改系统注册表，将病毒主文件nwizs.exe添加到启动项，实现开机启动，但病毒会隐藏自身文件和注册表启动项目，使用户用一般软件无法看见其文件和注册表键值。

　　 另外，nwizs.exe 还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块，但经测试，在本样本中并没有用到。

　　3． 创建2 个svchost.exe，在里面运行自己，由于在正常系统中，也会同时存在多个svchost.exe，这就对用户产生了一定迷惑，使普通用户无法判断该终止哪个进程 。

　　4． 在所有的驱动器下创建AUTO病毒autorun.inf 和nwizs.exe

　　5. 病毒加载之前生成的hook_nwizs.dll ，利用它来隐藏自己的文件和注册表键值。

　　6． 病毒运行后删除自身文件，使得用户不易发现系统已被动过手脚。

　　7．在%UserProfile%\Local Settings\Temp\ 目录下，释放一个5 位字符组成的随机

　　名的.tmp 文件（xxxxx.tmp），利用它来替换加载%SystemRoot%\system32\drivers\Beep.sys ，这样可以在无系统提示的情况下，悄悄恢复SSDT 表，令电脑中具有主动防御的杀毒软件失效。

　　8． 注入系统桌面进程iexplore.exe ，查找并关闭杀毒软件进程，经测试，该病毒能顺利结束毒霸kavstart.exe， 而在结束kwatch.exe 时，会造成电脑蓝屏重起。

　　9． 关闭带有指定字样的窗口，如nwizs.exe，金山毒霸，专杀，江民等等，采用直接发送关闭命令和模拟用户发送鼠标消息的方法，关闭它们。不过经测试，病毒并不能关闭毒霸窗口。

　　10． 下载病毒列表到%SystemRoot%\system32\nwizs.txt ，通过此列表下载的病毒会被藏在%UserProfile%\Local Settings\Temp\ 目录下。

　　    病毒下载列表的下载地址：http：//520sb.cn/dir/index_pic/list.txt

　　    列表里面包含

　　microsoft.exe （机器狗，专杀能清除）

　　hosts.exe (是hosts 文件里面免疫了好多网址)

　　arp.exe（大水牛V2.1，不过里面下载地址失效）

　　cq.exe （里面包含黑客木马fei.exe和传奇盗号器lj.exe）

　　wow.exe （魔兽盗号木马）

　　ddos.exe （DDOS 工具，会攻击文件中自带的config.txt 里指向的所有地址）

　　二．删除方法

　　1． 用自带的卸载方式在开始运行里输入nwizs.exe –clear ，病毒会自动清除。

　　2． 关闭伪造的2 个svchost.exe， Hook_nwizs.dll 将自动卸载，删除病毒创建的

　　%systemroot%\ system32\Hook_nwizs.dll，%systemroot%\system32\nwizs.exe 以及各

　　个分区下的nwizs.exe 和autorun.inf 文件。

• 2008-03-29AUTO.EXE 变种分析报告