作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun)
日期：2008/03/25                                                         (转载请保留此声明)

这是之前流行的“水牛”病毒的最新变种，新变种的技术较以前有了较大进步，具有恢复SSDT，挂系统钩子隐藏自身文件和注册表项目等多种新功能，普通用户难以捕捉到他的行踪...

下面是病毒的简单分析：
File: nwizs.exe
Size: 56905 bytes
Modified: 2008年3月19日, 11:42:20
MD5: 9611CE48C43E845D0424FDDB45ADF29F
SHA1: 24E5A9A0558F95349D64FB6B985043B9B3382140
CRC32: F72FC4BC

1.病毒初始化,释放驱动文件覆盖系统中的%systemroot%\system32\drivers\Beep.sys，该驱动用于恢复SSDT。

2.释放如下文件或者副本
%systemroot%\system32\Hook_nwizs.dll
%systemroot%\system32\nwizs.exe
各个分区下释放nwizs.exe 和autorun.inf文件

其中Hook_nwizs.dll挂钩FindNextFile，NtEnumerateValueKey等函数隐藏自身文件和注册表启动项目，使得在资源管理器和注册表编辑器中无法看到其行踪（包括sreng）

之后会启动两个空壳的svchost.exe 并使用Writeprocessmemory 函数将病毒代码写入进去。且两个svchost.exe互相守护。

3.添加启动项目开机启动自身

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<nwizs><C:\WINDOWS\system32\nwizs.exe>

4.添加IFEO映像劫持很多安全软件，诸如：
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
avp.exe
avp.com
CCenter.exe
ccSvcHst.exe...

5.删除如下注册表键破坏安全模式
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

6.关闭带有指定字样的窗口，诸如：
江民
金山毒霸
诺顿
卡巴
瑞星
木马
病毒
杀毒
杀软
专杀
组策略
防火墙
360安全卫士
...

7.修改注册表禁用任务管理器，破坏显示隐藏文件

8.启动IE下载木马和病毒文件
下载地址：http://*****.cn/dir/index_pic/mm/microsoft.exe
http://*****.cn/dir/index_pic/mm/cq.exe
http://*****.cn/dir/index_pic/mm/wow.exe
到%temp%文件夹下面

9.释放批处理删除自身

解决方法：
由于此病毒在资源管理器和注册表编辑器（包括常用工具sreng中均不可见）所以我们可以先借助Icesword恢复病毒挂的钩子再进行其他操作

需要下载的工具 Icesword1.22版本和processexplorer

1.打开processexplorer
查找两个互相守护的svchost.exe进程，记住他们的PID