警惕新版“水牛”病毒 nwizs.exe
这是之前流行的“水牛”病毒的最新变种,新变种的技术较以前有了较大进步,具有恢复SSDT,挂系统钩子隐藏自身文件和注册表项目等多种新功能,普通用户难以捕捉到他的行踪...
下面是病毒的简单分析:
File: nwizs.exe
Size: 56905 bytes
Modified: 2008年3月19日, 11:42:20
MD5: 9611CE48C43E845D0424FDDB45ADF29F
SHA1: 24E5A9A0558F95349D64FB6B985043B9B3382140
CRC32: F72FC4BC
1.病毒初始化,释放驱动文件覆盖系统中的%systemroot%\system32\drivers\Beep.sys,该驱动用于恢复SSDT。
2.释放如下文件或者副本
%systemroot%\system32\Hook_nwizs.dll
%systemroot%\system32\nwizs.exe
各个分区下释放nwizs.exe 和autorun.inf文件
其中Hook_nwizs.dll挂钩FindNextFile,NtEnumerateValueKey等函数隐藏自身文件和注册表启动项目,使得在资源管理器和注册表编辑器中无法看到其行踪(包括sreng)
之后会启动两个空壳的svchost.exe 并使用Writeprocessmemory 函数将病毒代码写入进去。且两个svchost.exe互相守护。
3.添加启动项目开机启动自身
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<nwizs><C:\WINDOWS\system32\nwizs.exe>
4.添加IFEO映像劫持很多安全软件,诸如:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
avp.exe
avp.com
CCenter.exe
ccSvcHst.exe...
5.删除如下注册表键破坏安全模式
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
6.关闭带有指定字样的窗口,诸如:
江民
金山毒霸
诺顿
卡巴
瑞星
木马
病毒
杀毒
杀软
专杀
组策略
防火墙
360安全卫士
...
7.修改注册表禁用任务管理器,破坏显示隐藏文件
8.启动IE下载木马和病毒文件
下载地址:http://*****.cn/dir/index_pic/mm/microsoft.exe
http://*****.cn/dir/index_pic/mm/cq.exe
http://*****.cn/dir/index_pic/mm/wow.exe
到%temp%文件夹下面
9.释放批处理删除自身
解决方法:
由于此病毒在资源管理器和注册表编辑器(包括常用工具sreng中均不可见)所以我们可以先借助Icesword恢复病毒挂的钩子再进行其他操作
需要下载的工具 Icesword1.22版本和processexplorer
1.打开processexplorer
查找两个互相守护的svchost.exe进程,记住他们的PID
2.打开Icesword.exe
功能选项卡-高级扫描
此时会弹出一个扫描模块hooks的窗口,单击一般性扫描
扫描完以后选中所有和%systemroot%\system32\Hook_nwizs.dll有关的项目 单击恢复 
还是Icesword里面 功能选项卡-进程
文件 菜单 设置,勾选禁止进线程创建
然后分别结束刚才那两个svchost.exe进程(根据刚才记住的那两个PID寻找)
3.此时就可以看到病毒文件和注册表项目了
打开sreng
启动项目 - 注册表
删除如下项目
<nwizs><%systemroot%\system32\nwizs.exe> []
并删除所有红色的IFEO项目
系统修复-Windows Shell/IE 全选 点击修复
系统修复 高级修复 修复安全模式
4.重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%\system32\Hook_nwizs.dll
%systemroot%\system32\nwizs.exe
以及各个分区下的nwizs.exe 和autorun.inf文件
您的位置: