日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

大水牛下載者分析及手工清除辦法

云知道

以下是對(duì)大水牛下載者木馬的詳細(xì)分析:
大水牛v3.5X 分析報(bào)告(建議中文名,就叫“大水?!卑?,這個(gè)東西一直有,這個(gè)版本只不過是它的最新變種)
一.執(zhí)行流程
1. 病毒在系統(tǒng)中釋放出以下病毒 。
%SystemRoot%system32nwizs.exe
%SystemRoot%system32hook_nwizs.dll
\userProfile%Local SettingsTempnwizs
%SystemRoot%system32nwizs.txt
%SystemRoot%system32svchost.exe
%SystemRoot%system32driversBeep.sys
2.修改系統(tǒng)注冊(cè)表,將病毒主文件nwizs.exe添加到啟動(dòng)項(xiàng),實(shí)現(xiàn)開機(jī)啟動(dòng),但病毒會(huì)隱藏自身文件和注冊(cè)表啟動(dòng)項(xiàng)目,使用戶用一般軟件無(wú)法看見其文件和注冊(cè)表鍵值 。
另外,nwizs.exe 還具有IFEO 映像劫持、破壞注冊(cè)表隱藏鍵值、設(shè)置IE 啟始頁(yè)、向病毒作者提交本機(jī)信息等功能模塊,但經(jīng)測(cè)試,在本樣本中并沒有用到 。
3.創(chuàng)建2 個(gè)svchost.exe,在里面運(yùn)行自己,由于在正常系統(tǒng)中,也會(huì)同時(shí)存在多個(gè)svchost.exe,這就對(duì)用戶產(chǎn)生了一定迷惑,使普通用戶無(wú)法判斷該終止哪個(gè)進(jìn)程。
4.在所有的驅(qū)動(dòng)器下創(chuàng)建AUTO病毒autorun.inf 和nwizs.exe
5. 病毒加載之前生成的hook_nwizs.dll ,利用它來隱藏自己的文件和注冊(cè)表鍵值 。
6.病毒運(yùn)行后刪除自身文件,使得用戶不易發(fā)現(xiàn)系統(tǒng)已被動(dòng)過手腳 。

    推薦閱讀