〖打印本页〗〖打印选项〗

〖文章分类〗〖文章标签〗〖相关链接〗〖文章来源〗〖日期/时间〗〖字体/字号/颜色〗〖中文繁體〗

熊猫烧香病毒新变种 ncscv32.exe 的解决方案

〖文章分类：电脑·手机·网络 / 网络安全·设置〗

〖字体：宋体 黑体 楷体 隶体 幼圆 微软雅黑〗 〖字号：12px 14px 16px 20px 24px 36px〗 〖颜色：■ ■ ■ ■ ■ ■ ■ ■ ■〗

档案编号：CISRT2007023 病毒名称：Worm.Win32.Fujack.l（Kaspersky） 病毒别名：Worm.Nimaya.cf（瑞星），Worm.WhBoy.bx.68778（毒霸） 病毒大小：68,938 字节 加壳方式：FSG 样本MD5：0ae2056fa8c99331332fe3cd4e31342d 样本SHA1：e02edb9c99055e00a3390638d0d7b02f9942dcb2 发现时间：2007.1 更新时间：2007.1.24 关联病毒： 传播方式：恶意网页、其它病毒下载，可通过局域网传播  技术分析 ========== 熊猫烧香的新变种，与之前变种【CISRT2007017】熊猫烧香变种 感染文件 修改网页 ncscv32.exe 解决方案类似。 运行后复制自身到系统目录并运行： %System%\drivers\ncscv32.exe 创建启动项： [Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "nvscv32"="%System%\drivers\ncscv32.exe" 修改注册表使“显示所有文件和文件夹”设置失效： [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ Hidden\SHOWALL] "CheckedValue"=dword:00000000 尝试关闭安全相关窗口： 天网 防火墙 VirusScan Symantec AntiVirus System Safety Monitor System Repair Engineer Wrapped gift Killer 游戏木马检测大师 超级巡警 尝试结束安全相关进程，以及自身之前变种、Viking病毒进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe taskmgr.exe msconfig.exe regedit.exe SREng.EXE spoclsv.exe nvscv32.exe sppoolsv.exe spo0lsv.exe 删除安全相关服务： RsCCenter RsRavMon KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 删除安全相关启动项： SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse 跳过以下目录感染EXE/SCR/PIF/COM文件，但不感染setup.exe和NTDETECT.COM： C:\ C:\WINDOWS C:\WINNT C:\WINDOWS\system32 C:\WINNT\system32 C:\Documents and Settings C:\System Volume Information C:\Recycled %ProgramFiles%\Windows NT %ProgramFiles%\WindowsUpdate %ProgramFiles%\Windows Media Player %ProgramFiles%\Outlook Express %ProgramFiles%\Internet Explorer %ProgramFiles%\NetMeeting %ProgramFiles%\Common Files %ProgramFiles%\ComPlus Applications %ProgramFiles%\Messenger %ProgramFiles%\InstallShield Installation Information %ProgramFiles%\Microsoft Frontpage %ProgramFiles%\Movie Maker %ProgramFiles%\MSN Gamin Zone 将自身捆绑在被感染文件前端的感染方式类似之前变种，并在尾部添加标记信息： QUOTE:WHBOY{原文件名}.exe {原文件字节大小}  修改除上述目录中的htm/html/asp/php/jsp/aspx网页文件，在文件尾部追加隐藏iframe代码： [Copy to clipboard]CODE: 病毒遍历过的目录下会留下Desktop__.ini文件，内容是当前日期，如：2007-1-30 使用弱密码尝试以Games.exe文件名复制自身到局域网内其它计算机： Administrator Guest admin Root 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 admin 5201314 qq520 1234567 123456789 654321 54321 000000 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer super 123asd havenopass godblessyou enable 2002 2003 2600 alpha 111111 121212 123123 1234qwer 123abc patrick administrator root fuckyou fuck test test123 temp temp123 asdf qwer yxcv zxcv home owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 尝试使用net share命令删除管理共享： [Copy to clipboard]CODE:cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y 病毒内依然留有“武汉男孩”信息： [Copy to clipboard]CODE:WHBOY WhBoy 原来留有“交流字符”的地方现在显示如下： [Copy to clipboard]CODE:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx adsf hjjjjjj xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx! 清除步骤 ========== 1、断开网络 2、结束病毒进程： %System%\drivers\ncscv32.exe 3、删除病毒文件： %System%\drivers\ncscv32.exe 4、删除病毒启动项： [Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "nvscv32"="%System%\drivers\ncscv32.exe" 5、恢复被修改的“显示所有文件和文件夹”设置： [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ Hidden\SHOWALL] "CheckedValue"=dword:00000001 6、修复或重新安装被破坏的安全软件，并使用反病毒软件进行全盘扫描 7、恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空，也可以使用反病毒软件清除。 文章标签：尚无标签 文章作者：未知  相关链接：尚无链接  文章来源：网络 打印时间：2025-05-23 21:06:35