[会员中心]    [设为主页][加入收藏夹]  [发布文章][发布软件]  [中文繁體] 
文章
资料
电脑
软件
手机
软件
网站
源码
    本 站 搜 索
[选项]
    推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
  先来段开场白:为了外出携..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Windows 2000/XP/2003 系统封装参考及工具 Windows 2000/XP/2003 系统封..
  一直以来,安装操作系统和..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
    阅 读 排 行
电脑机箱(主板)前面板 USB 数据线的接线参考(图) 电脑机箱(主板)前面板 USB 数据..
  一、概述   因为每个 US..
中国电信的家庭宽带设置“端口映射”及获取公网IP地址 中国电信的家庭宽带设置“端口映..
  现在有些家庭/店铺安装了视..
夏普(SHARP) AR-1808S 以 A4 尺寸纸张扫描 夏普(SHARP) AR-1808S 以 A4 尺..
  新装的夏普(SHARP) AR-1808S..
网站(域名)价值评估参考(附:21个在线域名/网站价值评估系统) 网站(域名)价值评估参考(附:21个..
  如果你拥有一家网站,那么你..
打造属于自己的字体(图) 打造属于自己的字体(图)
  不少做平面的朋友可能都有过..
腾讯QQ宠物2018年9月15日关停 腾讯QQ宠物2018年9月15日关停
2005年2月16日,腾讯QQ同时在线人..
域名价值评估参考 域名价值评估参考
  域名的价值是一个很抽象的概..
Intel GMA 3600 V1.15 for Windows XP 驱动程序配置过程图解 Intel GMA 3600 V1.15 for Window..
Intel GMA 3600 V1.15 for Window..
  文 章 信 息
    熊猫烧香病毒新变种 ncscv32.exe 的解决方案
[评论()][留言][收藏]
[文章分类:电脑系统·网络 / 网络安全·设置[阅读选项]
档案编号:CISRT2007023
病毒名称:Worm.Win32.Fujack.l(Kaspersky)
病毒别名:Worm.Nimaya.cf(瑞星)
      Worm.WhBoy.bx.68778(毒霸)
病毒大小:68,938 字节
加壳方式:FSG
样本MD5:0ae2056fa8c99331332fe3cd4e31342d
样本SHA1:e02edb9c99055e00a3390638d0d7b02f9942dcb2
发现时间:2007.1
更新时间:2007.1.24
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过局域网传播



技术分析
==========

熊猫烧香的新变种,与之前变种【CISRT2007017】熊猫烧香变种 感染文件 修改网页 ncscv32.exe 解决方案类似。

运行后复制自身到系统目录并运行:
%System%\drivers\ncscv32.exe

创建启动项:

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\ncscv32.exe"
修改注册表使“显示所有文件和文件夹”设置失效:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
尝试关闭安全相关窗口:
天网
防火墙
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
游戏木马检测大师
超级巡警

尝试结束安全相关进程,以及自身之前变种、Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

删除安全相关服务:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除安全相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

跳过以下目录感染EXE/SCR/PIF/COM文件,但不感染setup.exe和NTDETECT.COM:
C:\
C:\WINDOWS
C:\WINNT
C:\WINDOWS\system32
C:\WINNT\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端的感染方式类似之前变种,并在尾部添加标记信息:

QUOTE:WHBOY{原文件名}.exe {原文件字节大小}
修改除上述目录中的htm/html/asp/php/jsp/aspx网页文件,在文件尾部追加隐藏iframe代码:

[Copy to clipboard]CODE:
病毒遍历过的目录下会留下Desktop__.ini文件,内容是当前日期,如:2007-1-30

使用弱密码尝试以Games.exe文件名复制自身到局域网内其它计算机:
Administrator
Guest
admin
Root
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
admin
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
havenopass
godblessyou
enable
2002
2003
2600
alpha
111111
121212
123123
1234qwer
123abc
patrick
administrator
root
fuckyou
fuck
test
test123
temp
temp123
asdf
qwer
yxcv
zxcv
home
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

尝试使用net share命令删除管理共享:

[Copy to clipboard]CODE:cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
病毒内依然留有“武汉男孩”信息:

[Copy to clipboard]CODE:WHBOY
WhBoy
原来留有“交流字符”的地方现在显示如下:

[Copy to clipboard]CODE:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!
清除步骤
==========

1. 断开网络

2. 结束病毒进程:
%System%\drivers\ncscv32.exe

3. 删除病毒文件:
%System%\drivers\ncscv32.exe

4. 删除病毒启动项:

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\ncscv32.exe"
5. 恢复被修改的“显示所有文件和文件夹”设置:

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件,并使用反病毒软件进行全盘扫描

7. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空,也可以使用反病毒软件清除

文章作者:未知  更新日期:2007-03-15
[文章浏览:][打印文章][发送文章
相关文章
·“熊猫烧香”讽刺了整个网络世界 2007-02-25
·网友爆笑诗词恶搞熊猫烧香 2007-02-25
·熊猫烧香病毒幕后黑手曝光 曾造2005十大病毒 2007-01-27
·关于熊猫烧香图标病毒 2007-01-27
相关软件
·瑞星熊猫烧香病毒(Worm.Nimaya)专用清除工具 V1.10 2007-09-04
·熊猫烧香清除程序(由病毒制作者编写的) 2007-02-14
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:http://www.lre.cn
  本站使用【啊估文章软件站】网站系统    [联系网站管理员]         闽ICP备08009617号