[打印本页][打印选项]
熊猫烧香病毒新变种 ncscv32.exe 的解决方案
档案编号:CISRT2007023
病毒名称:Worm.Win32.Fujack.l(Kaspersky)
病毒别名:Worm.Nimaya.cf(瑞星)
      Worm.WhBoy.bx.68778(毒霸)
病毒大小:68,938 字节
加壳方式:FSG
样本MD5:0ae2056fa8c99331332fe3cd4e31342d
样本SHA1:e02edb9c99055e00a3390638d0d7b02f9942dcb2
发现时间:2007.1
更新时间:2007.1.24
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过局域网传播



技术分析
==========

熊猫烧香的新变种,与之前变种【CISRT2007017】熊猫烧香变种 感染文件 修改网页 ncscv32.exe 解决方案类似。

运行后复制自身到系统目录并运行:
%System%\drivers\ncscv32.exe

创建启动项:

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\ncscv32.exe"
修改注册表使“显示所有文件和文件夹”设置失效:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
尝试关闭安全相关窗口:
天网
防火墙
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
游戏木马检测大师
超级巡警

尝试结束安全相关进程,以及自身之前变种、Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

删除安全相关服务:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除安全相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

跳过以下目录感染EXE/SCR/PIF/COM文件,但不感染setup.exe和NTDETECT.COM:
C:\
C:\WINDOWS
C:\WINNT
C:\WINDOWS\system32
C:\WINNT\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端的感染方式类似之前变种,并在尾部添加标记信息:

QUOTE:WHBOY{原文件名}.exe {原文件字节大小}
修改除上述目录中的htm/html/asp/php/jsp/aspx网页文件,在文件尾部追加隐藏iframe代码:

[Copy to clipboard]CODE:
病毒遍历过的目录下会留下Desktop__.ini文件,内容是当前日期,如:2007-1-30

使用弱密码尝试以Games.exe文件名复制自身到局域网内其它计算机:
Administrator
Guest
admin
Root
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
admin
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
havenopass
godblessyou
enable
2002
2003
2600
alpha
111111
121212
123123
1234qwer
123abc
patrick
administrator
root
fuckyou
fuck
test
test123
temp
temp123
asdf
qwer
yxcv
zxcv
home
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

尝试使用net share命令删除管理共享:

[Copy to clipboard]CODE:cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
病毒内依然留有“武汉男孩”信息:

[Copy to clipboard]CODE:WHBOY
WhBoy
原来留有“交流字符”的地方现在显示如下:

[Copy to clipboard]CODE:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!
清除步骤
==========

1. 断开网络

2. 结束病毒进程:
%System%\drivers\ncscv32.exe

3. 删除病毒文件:
%System%\drivers\ncscv32.exe

4. 删除病毒启动项:

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\ncscv32.exe"
5. 恢复被修改的“显示所有文件和文件夹”设置:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件,并使用反病毒软件进行全盘扫描

7. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空,也可以使用反病毒软件清除



文章作者:未知