pcMing工作室�Y&_�q.o�F+m是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名“ShuiNiu.exe”,因此称病毒为“水牛”病毒。
�H�P4L�p�}�_7m0
�N�M$O/Q�L�}#@%Q0file: ShuiNiu.exepcMing工作室&n4w�l2l,E�[9r9_�[�{
Size: 22069 bytespcMing工作室-B�a$[3Q�[�w�P8|
Modified: 2007年11月5日, 10:13:38
�g5X�a.E#Z#Z3z�A L0MD5: 1FA97A5E1766D6E668321838A6F3E536pcMing工作室�v4e%D�k�N a
SHA1: 94388083FB1CDD3003FE13046BC817AB0F6D7FD0
�c�{�p�P'`/?,s5p(`(~6o0CRC32: 1D66BFAB
.r�M
@�[�s�}8K�X0N5g0pcMing工作室&k4W
L�V-n
pcMing工作室0Y/h�p's�Z�l�v�b
技术细节:
�Y�t�A#B�[2Y/h.\7C7d01.病毒运行后,释放如下副本:pcMing工作室.^�?9L�X8z
k
}
%systemroot%\system32\ShuiNiu.exepcMing工作室6p+H�O$H�^�~2F6F�^
并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的
�s�Z�T1@6e
F�A�]0pcMing工作室�D0K;x e�j)S�c
2.调用Cmd,把系统时间改为2005-10-31
6[/X/r,|�b4l�s0
%a�n�q+d,S
Y*|�l03.删除如下键pcMing工作室�n�n�{�@�r�N�N6I
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pcMing工作室7]�d�H(P/z,v�g
SYSTEM\ControlSet001\Control\SafeBoot\Network\pcMing工作室�?�E�k4W�C$y9d
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
&N1E�C�k9X'G�p�V
?0pcMing工作室�g�k�s J/y�c�|�V.h
破坏安全模式
3g�A
o5S�\'n,`�@
y
v�t�e0
9k,q�J�x�}/[04.添加映像劫持项目劫持一些安全软件到%systemroot%\system32\ShuiNiu.exepcMing工作室/r�q;~;U�w�`�G&Z
360rpt.exepcMing工作室�q.l,Y%@�M�i ~5Z
360Safe.exepcMing工作室6s0M/K(A
p;u�{�h�[�f�G
360tray.exe
�U�F�J�q.m�z�D�?6Z�X0adam.exepcMing工作室3u&V2C�M$E�f
^
AgentSvr.exe
�Q�P�v�e/~�k�k�m/S�V0AppSvc32.exepcMing工作室�g�q'H�[
f�m�{
autoruns.exe
8u�Y7z�f�[�@�\�Q!z�@0avgrssvc.exe
!@�z0@�@�`)k�v�t;@#A0AvMonitor.exepcMing工作室�I�U�o9s5a�_$f�t
avp.com
y%]"T K'Q
q&f0avp.exe
�E�^0a0V�]'v�h�I"R7c0CCenter.exepcMing工作室�Y6f#Q;[�X6P�p�I�D
ccSvcHst.exepcMing工作室
I'|-I�F�v:C�x�p%Z�H"c3d
FileDsty.exe
:~�a�B(`�S�H0FTCleanerShell.exe
�W�z2b*C4v'I�r1| e0HijackThis.exe
�V�@�d�n�w�c�G�r0IceSword.exepcMing工作室.m4Z�H�l;X n4R�t0h
iparmo.exepcMing工作室
y"y�c�I�m
Iparmor.exepcMing工作室,Y
t5S)h0y"B `�C�f4v2[;E4S
isPwdSvc.exepcMing工作室"m$J�R9p$A�L0I
u2z.Q�C�A
kabaload.exe
�g,R!?�Q�f�u�|6J0KaScrScn.SCR
�A4C�c�]�S�q�i�A0KASMain.exe
7U7Z�C3H�X�s�N-W0KASTask.exe
�f8_
r0G�H!D�J%Q�c/]0KAV32.exe
�?�~9]:X&S)Z%^0KAVDX.exepcMing工作室:Q�Y(F+H�v6y�w
KAVPFW.exe
�x-K#y�X�M�w�@�J8Y0KAVSetup.exepcMing工作室
x:f�z�c�J3[,|�\+}
KAVStart.exepcMing工作室1[�z2o�\
l#M�D'M
KISLnchr.exe
5a:B.P"C�N.O
I�]'y0KMailMon.exepcMing工作室({
}�p�z!S(H+P�h
KMFilter.exe
D�A J�n0C�j0KPFW32.exeKPFW32X.exepcMing工作室7y2@�T*L�V�j
KPFWSvc.exe
�t6D�r�U2?7~0KRegEx.exe
+f�n7P�I4M6I�G0KRepair.COM
x+G"S�F'L;S0KsLoader.exe
/Q�S�v:W�K�^�\�\�r�m%z0KVCenter.kxp
'x�G�O4[-i�W0KvDetect.exe
�Y2?�o�T'i*F�F�_�r�Z
I0KvfwMcl.exepcMing工作室6N8E�C�R1D�A�?�W%T
KVMonXP.kxp
3x!_�Q9E�~0KVMonXP_1.kxppcMing工作室�o;p�v"z�S�m�F/\
kvol.exe
3|!_�[)c/P�a*w5^�x0kvolself.exepcMing工作室2M&M�y�Q�q�g�D�x$h
KvReport.kxppcMing工作室�W6@0b�n�o%i5y�\'H/H�m
KVScan.kxp
C [ g$U�u�W4K0KVSrvXP.exe
e�M
g�m�z�^�m�Y;X9]�k!K0KVStub.kxppcMing工作室5s�M M"k8f�l�?
kvupload.exepcMing工作室�P5n&c�G�w�s
kvwsc.exepcMing工作室)F2L"a�k1v�R
KvXP.kxp
9R K4G
N�\�p�Q0KvXP_1.kxp
1w�o�g7h�d*j0KWatch.exe
�a3T�G�?�r X�r�i�?0KWatch9x.exepcMing工作室7d!x,N�N�]1^!v
KWatchX.exepcMing工作室;l9}$s�W:L4u�W
loaddll.exepcMing工作室�^�M�R(E"W�v
MagicSet.exe
�x&\�d�j�i6C5E'E�[0mcconsol.exepcMing工作室�u�\�k/f/j
mmqczj.exepcMing工作室�X�T3^�K.}(a-~
mmsk.exepcMing工作室;d3x$y�@�J�f%b
NAVSetup.exepcMing工作室0U0~�?�N�F�p�g
P�?
nod32krn.exepcMing工作室(b%t(f)s%x�E�o�E�J�]
nod32kui.exe
�V3X�|2R3u�{�_9Q5?�D�\"A0PFW.exepcMing工作室9}%l�?�F�b-g0a
PFWLiveUpdate.exepcMing工作室!Q�R$H/j�l�r)T
QHSET.exe
u9M;s�X�y�]0Ras.exe
�|�B4D�]�H�\"x�g0Rav.exepcMing工作室9f�O9y�H�L2V�g
RavMon.exe
.q8C*`/f�J!B�h+]�A�O�N0RavMonD.exe
�k�A)t4k�k:X�X w0RavStub.exepcMing工作室�n.} n�t
J a)E)w
RavTask.exepcMing工作室�o-B�b�P�g�W�A�m%k
RegClean.exepcMing工作室�C;D�X�v�L3F-J
rfwcfg.exe
,B�x�O2]
F�h4e�^$_�T�v0RfwMain.exepcMing工作室1z)e�g�m-U$j
rfwProxy.exe
�M,r�~(Z2b�P�I:f0rfwsrv.exepcMing工作室0H�v�^�W�d
b0a
RsAgent.exepcMing工作室/q T Y2[(I�z�N�C�y
Rsaupd.exe
�B�J�o4b�[�I�L�i y0runiep.exepcMing工作室3e;C7z#Y�w#L
safelive.exepcMing工作室4])Q�i�@4a�u:{
scan32.exe
Q)|6W'f�T�Q�_0shcfg32.exe
�}�y�e�w
o�`�[�?8K0SmartUp.exepcMing工作室.N�Y!M2`1t4S�s�M
SREng.exe
)G�Z�C�z�{
u0symlcsvc.exe
C�v�^-U�q�[6K0SysSafe.exe
!D�U |�Z4I�c�u-~�m�M�Z
s0TrojanDetector.exepcMing工作室%U�m&J�y�~;Q&D*d9N�w.]�z
Trojanwall.exepcMing工作室1M�f2O#c)y3?
H
TrojDie.kxp
2K�O,N�x�S�P0UIHost.exepcMing工作室�k#Z&q(|�E
l�f
UmxAgent.exepcMing工作室�K#]�[�i%c�b-D3a�a8o
UmxAttachment.exe
6A1r�O�}.r(D0UmxCfg.exe
'@�U;D�I(u�@%?�Y*G�v0UmxFwHlp.exepcMing工作室$o�?:w
@ |�E
UmxPol.exepcMing工作室�s
w ~�w�a�_0U
UpLive.exe
(A0T,f#k�R6q0WoptiClean.exepcMing工作室)R W�?-M�o"B/E#Z
�?5?'A,J j�A�f�_�P0pcMing工作室�N�j�x$s2F/J'^7D动手删除方法如下:pcMing工作室�A
i&b/U�A�u2?�~3]
1、重启电脑,按F8进入选择界面,选择【带命令符的安全模式】,进入安全模式;
�Y�\-{8a;u
r&x�V�z0
%C:H7B+k;Y!p02、在里面输入:cd \windows\system32【将system32设为当前目录,cd与\之间有一空格】pcMing工作室�A�v�T�M.}6s
pcMing工作室�z�z9^�z�Z�_�}�C&n8e�s�h
3、输入:attrib shuiniu.exe -s -r -h 【去掉shuiniu的隐藏,只读属性】pcMing工作室�V�u-t�@*X5U�T
�_0t�l�P*r�K�z�X04、输入:del shuiniu.exe 【删除shuiniu】
a�J;t�T4o4G#K�J�J0pcMing工作室8A-I�c8f%F�C+w1f�n�d4D+z�|
5、插入U盘,之后继续输入:H: ,回车【将H盘设为当前目录,我的移动盘的盘符是H,灵活待之】pcMing工作室9i�w9f�u4X�H&C�c
7d�g�`�C�z�m�n�n06、输入:dir /a 【展开H盘里所有文件,包括隐藏的】,会看见:shuiniu.exe和autorun.inf文件pcMing工作室+{-M�?�m�~
g'?�f�p�I7N0|3e07、重复步骤3、4,换掉其中的文件名。干掉完后,重启电脑,修改系统时间,大功告成!!pcMing工作室3c+s�|$t�P�|�K6N�K�n
