Board logo

标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除 [打印本页]

作者: 西北漠鼠    时间: 2007-1-9 22:37     标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除

关键词:
熊猫烧香病毒清除.
尼姆亚病毒清除
我的电脑中毒了,可执行文件都变成一个熊猫的样子```
病毒清除
熊猫熊猫熊猫

病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
      Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

技术分析
==========
又是“熊猫烧香”f##kJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

使用net share命令删除管理共享:net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机

清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe
3. 删除病毒文件:
%System%\drivers\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件附上两个专杀:
瑞星版本:http://download.rising.com.cn/zsgj/NimayaKiller.scr
农夫版本(推荐):http://mopery.hits.io/nimuya.zip
========================================================
附:熊猫烧香【CISRT2006078】f##kJacks.exe setup.exe 尼姆亚 解决方案
档案编号:CISRT2006078
病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)
病毒大小:30,465 字节
加壳方式:FSG
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:同上“变种”
exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录:
%System%\f##kJacks.exe
创建自启动项:
"f##kJacks"="%System%\f##kJacks.exe"
"svohost"="%System%\f##kJacks.exe"
在各分区根目录创建副本:
X:\autorun.inf
X:\setup.exe
尝试结束进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
关闭窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
删除启动项:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
禁用服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
遍历目录,感染除系统目录外它目录中的exe文件,将自身捆绑在exe文件前端,并在尾部添加标记信息:
WhBoy{原文件名}.exe.{原文件大小}.
被感染exe运行后释放前端病毒文件到%System%\f##kJacks.exe,并使用bat批处理将后边原始exe文件“还原”,bat批处理内容:
:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0
这个环节和Viking类似。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒体内包含文字:
xXx_WhBoy_Worm
xXx_WhBoy[br][br]-=-=-=- 以下内容由 西北漠鼠2007年01月13日 02:06pm 时添加 -=-=-=-
熊猫烧香病毒专杀V 1.5_Worm.Nimaya 专用清除工具
http://www.xdowns.com/soft/8/19/2006/Soft_34187.html
作者: 黑色的鱼    时间: 2007-1-10 02:58     标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除

这个病毒是橙色八月的一种  
作者: copyday    时间: 2007-1-13 13:29     标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除

这个清除方法很实用``但是这个病毒现在变种实在太多了``
不能适用全部,今天我们这有人中了个``
格式化C 根本解决不了问题 !!
看来确实很厉害`~~
不知道喀吧能不能杀`
作者: sy811007    时间: 2007-1-15 16:39     标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除

我所维护的机器大部分都中了,现在头疼啊,传播太迅速了
作者: sy811007    时间: 2007-1-23 14:30     标题: [解决方案]熊猫烧香病毒清除.尼姆亚病毒清除

中毒后显示所有隐藏的文件显示不出来怎么处理
作者: 黑色叶子    时间: 2007-3-25 07:27

现在的 nod32解决很方便
作者: 七龙    时间: 2007-3-25 18:28     标题: 晕了这么多啊?

眼睛看花掉了,不过分析的的确透彻,佩服啊
作者: 西北漠鼠    时间: 2007-4-8 07:35

此专杀网上已经很多,请注意最好下载个杀软出的专杀或者由原作者出的专杀工具!
最近发现有些耍小聪明的捆绑病毒木马什么的···还是牛头不对马嘴的,大家小心就是




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2