大水牛下載者

1. 病毒在系統中釋放出以下病毒：

%SystemRoot%\system32\nwizs.exe

%SystemRoot%\system32\hook_nwizs.dll

%UserProfile%\Local Settings\Temp\nwizs

%SystemRoot%\system32\nwizs.txt

%SystemRoot%\system32\svchost.exe

%SystemRoot%\system32\drivers\Beep.sys

2. 修改系統註冊表，將病毒主檔案nwizs.exe添加到啟動項，實現開機啟動，但病毒會隱藏自身檔案和註冊表啟動項目，使用戶用一般軟體無法看見其檔案和註冊表鍵值。

另外，nwizs.exe 還具有IFEO 映像劫持、破壞註冊表隱藏鍵值、設定IE 啟始頁、向病毒作者提交本機信息等功能模組，但經測試，在本樣本中並沒有用到。

3. 創建2 個svchost.exe，在裡面運行自己，由於在正常系統中，也會同時存在多個svchost.exe，這就對用戶產生了一定迷惑，使普通用戶無法判斷該終止哪個進程 。

4. 在所有的驅動器下創建AUTO病毒autorun.inf 和nwizs.exe。

5. 病毒載入之前生成的hook_nwizs.dll ，利用它來隱藏自己的檔案和註冊表鍵值。

6．病毒運行後刪除自身檔案，使得用戶不易發現系統已被動過手腳。

7．在%UserProfile%\Local Settings\Temp\ 目錄下，釋放一個5 位字元組成的隨機名的.tmp檔案（xxxxx.tmp），利用它來替換載入%SystemRoot%\system32\drivers\Beep.sys ，這樣可以在無系統提示的情況下，悄悄恢復SSDT 表，令電腦中具有主動防禦的防毒軟體失效。

8. 注入系統桌面進程iexplore.exe ，查找並關閉防毒軟體進程，經測試，該病毒能順利結束毒霸kavstart.exe， 而在結束kwatch.exe 時，會造成電腦藍屏重起。

9. 關閉帶有指定字樣的視窗，如nwizs.exe，金山毒霸，專殺，江民等等，採用直接傳送關閉命令和模擬用戶傳送滑鼠訊息的方法，關閉它們。經測試，病毒並不能關閉毒霸視窗。

10. 下載病毒列表到%SystemRoot%\system32\nwizs.txt ，通過此列表下載的病毒會被藏在%UserProfile%\Local Settings\Temp\ 目錄下。

病毒下載列表裡面包含

microsoft.exe （機器狗，專殺能清除）

hosts.exe (是hosts 檔案裡面免疫了好多網址)

arp.exe（大水牛V2.1，不過裡面下載地址失效）

cq.exe （裡面包含黑客木馬fei.exe和傳奇盜號器lj.exe）

wow.exe （魔獸盜號木馬）

ddos.exe （DDOS 工具，會攻擊檔案中自帶的config.txt 里指向的所有地址）

1.病毒自帶卸載功能，在斷網的前提下選擇“開始選單-運行”輸入nwizs.exe -clear，等一分鐘左右，你的防毒軟體就可以開起防毒了(本病毒為下載器，不排除下載的其他病毒禁用你的防毒軟體，如果其它病毒導致防毒軟體不可用，推薦下載金山毒霸的磁碟機專殺工具預先處理)。

2在開始運行里輸入regedit打開註冊表，搜尋dsniu，在HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V中，查看"PID1"=、"PID2"=。

PID1和2分別對應的偽造的svchost.exe的PID，兩個進程為單守護狀態，按照一定順序是可以結束掉的，(就是說PID1=123，PID2=456，要是你先結束123，再結束456，馬上進程又重新運行了，那么你馬上按照先結束456，再結束123一定能結束掉。當兩個偽造的svchost.exe結束掉後，HOOK_nwizs.dll會自動卸載，當然你有工具能同時結束掉最好不過了，金山清理專家自帶的進程管理器可同時結束病毒的兩個進程。)

這個時候，nwizs.exe你也能看見了，刪除%systemroot%\ system32\Hook_nwizs.dll，%systemroot%\system32\nwizs.exe以及各個分區下的nwizs.exe 和autorun.inf檔案。

重新使用金山清理專家，將殘留的病毒載入項徹底清除。

這個版本的大水牛是一個很強大的病毒下載器，在對抗防毒軟體方面做得好。它能導致金山毒霸用戶系統藍屏，解除具有主動防禦功能殺軟的武裝，並阻止用戶通過網路進行求助。病毒作者處心積慮地針對多款病毒軟體給病毒裝備了對抗能力，並且開始在網上販賣這個下載器，為盜號木馬作者提供VIP服務。