水牛下载器样本

youba

1.病毒运行后，释放如下副本：
%systemroot%\system32\ShuiNiu.exe
并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

2.调用Cmd，把系统时间改为2005-10-31

3.删除如下键
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

破坏安全模式

4.添加映像劫持项目劫持一些安全软件到%systemroot%\system32\ShuiNiu.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exeKPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加
<DsNiu><%systemroot%\system32\ShuiNiu.exe> []
的启动项目达到开机启动的目的

6.启动IE下载http://www.huigui.org/UpFile/UpFace/bak.exe
但连接已失效

7.病毒运行后释放~DsNiu!.bat 删除自身

8.之后的动作也是病毒比较毒辣的一点，当完成上述这些动作后，病毒会启动两个svchost.exe，并将自身的病毒代码写入这两个svchost.exe进程之中，之后ShuiNiu.exe退出进程。
这两个svchost.exe会互相监视对方，且此时的ShuiNiu.exe也无法删除 ...

9.病毒体内有文字“**** YOU”

hj5abc

kill it.

The file 'H:\ShuiNiu.rar'
contained a virus or unwanted program 'TR/Agent.23155' [trojan]
Action(s) taken:The file was deleted!

Palkia

C:\Documents and Settings\Administrator\桌面\ShuiNiu.rar>>ShuiNiu.exe        Worm.Agent.zdr.dlky        病毒        还未处理


木马名称:Trojan-Downloader.Win32.Delf.icv

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SHUINIU\SHUINIU.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

无尽藏海

都是老病毒了

扫描统计:
扫描时间: 1秒
扫描选项:
扫描目标: F:\VIRUS\ShuiNiu.rar
  计数:
扫描的项目总数: 2
- 文件和目录: 2
- 注册表项: 0
- 进程和启动项: 0
- 网络和浏览器项目: 0
- 其他: 0

检测到的安全风险总数: 1
已解决的项目总数: 0
需要注意的项目总数: 1

已解决的风险:


未解决的风险:
W32.SillyDC
病毒 ID: 11498
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除可能，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[shuiniu.exe] 位于[f:\virus\shuiniu.rar] - 已感染

Tynox

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:         http://bbs.kafan.cn/attachment.p ... 0f&t=1218353506
Information:         Is the TR/Agent.23155 Trojan

Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.19, VDF 7.0.5.235

woai_jolin

正在扫描日志
病毒库版本: 3343 (20080810)
日期: 2008-8-10  时间: 15:33:06
已扫描的磁盘、文件夹和文件: G:\v\ShuiNiu.rar
G:\v\ShuiNiu.rar > RAR > ShuiNiu.exe - Win32/AutoRun.QS 蠕虫 的变种
G:\v\ShuiNiu.rar:Zone.Identifier - 正常
已扫描的对象数: 2
发现的威胁数: 1
已清除对象数:0
完成时间: 15:33:07  总扫描时间: 1 秒 (00:00:01)

尤金卡巴斯基

2008/8/10 17:01:09        已清除        木马程序 Trojan-Downloader.Win32.Delf.dhk        G:\Temp\Virus\ShuiNiu.rar               
2008/8/10 17:01:09        已清除        木马程序 Trojan-Downloader.Win32.Delf.dhk        G:\Temp\Virus\ShuiNiu.rar/ShuiNiu.exe//NSPack//PE_Patch.MaskPE

Nerazzurri

Win32:Agent-SIM [Trj]

dl123100

看了技术分析,以为是很容易杀的病毒，就没用沙盘和虚拟机。
实机运行后，清理病毒看起来很容易，一个IS就搞定。
不过重启后才发现病毒修改注册表键盘驱动的配置信息,使键盘驱动与鼠标驱动冲突,从而键盘被禁用。用了原版光盘、万能驱动也总是无法安装驱动。
没办法，只能还原注册表解决。
这里提醒大家注意实机运行的危险性。

sltgr

2008/8/10 20:14:26        已删除: Trojan-Downloader.Win32.Delf.dhk        C:\Users\AXO\Downloads\ShuiNiu.rar/ShuiNiu.exe