U盘病毒“水牛”（ShuiNiu.exe）的分析

这是一个可以通过移动存储传播的恶性病毒，具有反病毒软件和下载木马的功能，且病毒采用了向svchost.exe注入病毒代码的方法保护自身，使其发现和删除更加困难，因其主文件名“ShuiNiu.exe”，因此称病毒为 水牛”病毒。

File: ShuiNiu.exe
Size: 22069 bytes


技术细节：
1.病毒运行后，释放如下副本：
%systemroot%\system32\ShuiNiu.exe
并向可移动存储中写入ShuiNiu.exe和autorun.inf达到通过U盘等移动存储传播的目的

2.调用Cmd，把系统时间改为2005-10-31

3.删除如下键
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
破坏安全模式

4.添加映像劫持项目劫持一些安全软件到%systemroot%\system32\ShuiNiu.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
省略。。

5.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加