[转帖] 熊猫烧香具体行为补充及查杀方法更正(申请加精)

sky10m

熊猫烧香具体行为补充及查杀方法更正(申请加精)
本文每个字都系本人亲手打出，转载请注明来自 北风论坛 http://bbs.78820.com，并请保留信息的完整性，做人要厚道哦。
首先说明一点，经测试，没有一个专杀能令人满意，有的不修复感染exe文件，有的不删除根目录exe文件，有的不修复html文件，有的…………。所以希望使用专杀的朋友挨个试用专杀。
http://bbs.78820.com/viewthread.php?tid=6592&extra=page%3D1
http://bbs.78820.com/viewthread.php?tid=7287&extra=page%3D1
和该贴所述基本一样，做一下补充。未提的即是一样
研究的变种是那帖子里所说的变种一：
关于病毒进程行为的补充说明

一、病毒进程为“spoclsv.exe”或者spcolsv.exe。

md5：d179c5b8d30e39542403fb757752b436
具体行为：（只做修改和补充）
1.依版本不同，修改htm/html/asp/php/jsp/aspx，在里面加上
其中网站部分，依各个版本不同而改变。
2.感染exe，com，pif，src。
具体感染方式见二楼。
3
a.自动关闭任务管理器，冰刃等进程查看工具
b.关闭sreng；
c.破坏ie，使用户无法上网
这项操作，只有在spoclsv.exe运行时才有效，用gmer结束其进程即可
sreng只需把后缀exe改成com即可运行
4.修改“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000000
注：此时不要重启、注销、修改文件夹选项，那么如果你以前的设置是不会丢失的，也就是说如果你以前的设置是能显示隐藏文件切能显示系统文件，那么你还能继续看见，无影响。
但是只要进行上述措施，就会无法显示隐藏文件。
第二部分spcolsv/setup的下载行为

如果认为事情只这样完了，那就死定了。
如果那个setup或者spcolsv.exe会访问网络（如果你不小心允许了或者防火墙不好用那就很惨了），他本身就是个木马病毒下载器。
熊猫只是个幌子一种形式，他的真正目的是木马、盗号、病毒。
他会下载以下几个文件
1．可能会下载C:\windows\system32\drivers\nvscv32.exe之所以说是可能是因为这个文件不是spcolsv.exe下载的。而是被感染的页面文件里网址连接挂的马。（这个文件的具体行为请参考下楼的第三部分）
2．C:\WINDOWS根目录下依次下载以下几个文件具体是zaq*.exe *为1到10的数字

图片附件: image002.jpg (2007-1-20 22:10, 5.71 K)

3．在Temp下载upxdn.exe，然后由这个文件释放upxdn.dll到temp文件夹下，并使其挂在explore.exe上

图片附件: image004.jpg (2007-1-20 22:10, 6.39 K)

4. 下载C:\Program Files\Common Files\Microsoft Shared\MSInfo\40311911.dll并挂到多个进程里，unlocker无法解锁，会导致unlocker崩溃。
5.同时下载多个dll，并插入系统进程中。（每隔一段实际下载的病毒和dll会有所不同以上是必定下载的。）
6.并把以上文件加为启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
C:\windows\system32\drivers\spcolsv.ex
C:\windows\system32\drivers\nvscv32.ex
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
C:\windows\zaq4.exe
e:\TEMP\upxdn.ex
C:\windows\zaq2.exe
C:\windows\zaq5.exe
C:\windows\zaq10.exe

图片附件: image006.jpg (2007-1-20 22:10, 21.59 K)

6．在qq目录下下载文件，并下载覆盖一个TIMPlatform.exe。
同时删除qq键盘保护文件npkcrypt.sys，利用图片替换的方式，修改图片，从而实现登录qq时不提示“键盘加密保护失效”。从而达到盗号的目的。
如图：
（本人为了方便早就删了键盘保护了，中毒后，他居然给我加上了…………）

图片附件: image007.jpg (2007-1-20 22:10, 23.13 K)

登录成功后会发送qq号和密码到指定邮箱。

图片附件: image008.jpg (2007-1-20 22:10, 12.47 K)


第三部分关于感染html文件网页的分析

运行时自动访http://www.krvkr.com/worm.htm，该网站自动下载木马，
该网站木马路径http://www.ac86.cn/66/worm.exe，然后复制本身到
C:\windows\system32\drivers\nvscv32.exe
1．这个文件也是熊猫烧香图样，大了些，变成67k，除了不含感染其他文件能力、不感染分区，其他行为基本和spcolsv.exe一样。
2.这个东西的主要作用就是关闭杀软、任务管理器、但对is无效了。禁止使用sreng，hijackthis。不含感染其他文件能力，不感染其他分区根目录。
3．他下载任务也是下载多个木马（exe和dll的都有），不一一详述了。给个截图，就知道有多少了。这里只是启动的，还有很多挂在进程里的，过分零散，不说了.


图片附件: image010.jpg (2007-1-20 22:10, 16.1 K)


解决方案
解决方案：
部分帖子的解决方法有问题，个人认为以下方法比较好，不会再感染：
首先当然要求断网了。然后参考一下的方法：
一、以专杀为主。
1．运行专杀，记着要多个专杀依次运行，因为各个专杀不一定能提供全不清除功能。（比如有的不能清除nvscv32.exe，有的不能修复html文件等等）。
2．专杀修复完全标准是。显示html文件已修复，exe文件已修复，发现并删除分区跟目录下的setup.exe，删除C:\windows\system32\drivers下的spcolsv.exe和nvscv32.exe（如果有的话）。
如果这些缺少一项的话，请参照下面的第二种手动删除。
3．结束下载的病毒的进程（windows自带的就可以了）。
4．使用sreng或兔子等软件，去掉其他下载的木马病毒的启动项，到删除与之对应的文件。
5．卸载杀毒软件，或者修复安装，立刻升级。如果发现安装时蓝屏或者死机，请到安全模式下安装，下载毒库包升级。（测试了两个杀软，基本安装时都会死机）
6．在安全模式下全盘杀毒。杀毒后再自己手动查看有没有不良进程，以及dll。
7．卸载qq，并手动删除目录下没用的文件。
8.忘了说了，补充要清空ie临时文件，里面也有个临时病毒。一般为worm.exe，就是上面的那个nvscv32.exe。
二、纯手工杀
1.通过系统自带搜索，搜索修改日期在自感染到当天的所有文件。
然后依次点击被感染成熊猫图标的文件，这样他们就会回复原装了。
由于感染方式为日感染，所以当日还原的文件。不用担心再被感染。
2．由于无法调用任务管理器及is， 所以请使用gmer结束
C:\WINDOWS\System32\Drivers\spoclsv.exe
C:\windows\system32\drivers\nvscv32.exe
这两个进程，注意路径。如果有*:\setup.exe，也要结束。
3. 运行注册表，恢复被修改的“显示所有文件和文件夹”设置：
必须进行此步才能在资源管理器中看见并删除文件
　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　"CheckedValue"=dword:00000001
4．删除每个分区跟目录下的setup.exe和autorun.ini
注意打开分区时要点击右键，选择打开。切忌双击！！
删除C:\WINDOWS\System32\Drivers\spoclsv.exe
C:\windows\system32\drivers\nvscv32.exe
5. 删除病毒启动项：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　C:\WINDOWS\System32\Drivers\spoclsv.exe
C:\windows\system32\drivers\nvscv32.exe
6.在下面就剩下修复htm/html/asp/php/jsp/aspx文件了。（太麻烦，建议如果专杀可以的话用专杀）
还是利用搜索修改日期的方法找出，这个手工工作量太大，没用的就删了吧。
如果实在要留，找到
这样的代码，删除。注意不一定在文件尾部。
7．后面的参考上面的3到8条。
注意一下，杀毒时，不要运行任何未提到的其他无关文件。
比如运行qq的话
*:\Program Files\Tencent\qq\QQ号码\UserSessionInfo这个目录下就有很多被感染下的html文件。
还有迅雷，等会调用他们的geturl.htm和getAllurl.htm，这都是会被感染的
所以，如果你运行了，就前功尽弃了。
但是象pe，is，apm等软件，不调用页面文件的，应该无影响。前提是你在第一步已经修复好了
关于感染：
感染方式：
1.htm/html/asp/php/jsp/aspx感染，在里面加上
其中网站部分，依各个版本不同而改变。
运行时自动访http://www.krvkr.com/worm.htm ，该网站自动下载木马
该网站源文件：
`
http://s81.cnzz.com/stat.php?id=300785&web_id=300785'[/url] language='JavaScript' charset='gb2312'>
该网站木马路径http://www.ac86.cn/66/worm.exe
下载完毕出现界面连接到这里 http://cnzz.com/stat/website.php?web_id=300785
2.exe，com，pif，src寄存头感染，并在文件结尾添加如下文字
WhBoy1.exe.exe 80750

图片附件: image011.jpg (2007-1-20 22:27, 7.46 K)

感染频率：
所有被感染的文件所在目录的上一级目录及其所有子文件夹下都被重建文件Desktop_.ini，内容为病毒运行是的年月日。内容：2007-1-18
经验证，熊猫依靠此文件判断病毒感染与否，如果检测到系统日期和Desktop_.ini内容日期不一样不再进行感染，即每日感染一次
其他：

不感染伪造的0字节exe、com等，但是0字节的html等页面文件被感染。估计是2兆以下非0字节以上吧，未做验证。
部分猜想：经数十次感染试验（都是同一变种），只发现其修改Program Files所在分区，我的主要成程序都在f盘，所以只有f盘感染，在其他盘创造相同文件夹，相同试验文件，都未感染，其他文件也未感染。不知道病毒如何获取这个Program Files分区的，也许是qq（因为上面发现大量盗qq木马迹象）。
也许以后的变种会感染其他类型的文件，还是那样，利用搜索功能找出，处理就好了
以上只是对单个变种，在本人机器上测试的结果。其他变种还需再验证，不过估计大同小异。
欢迎高手指正

学习了！太麻烦了。。

LZ，你装帖个东西也要加精？摆脱哦。。。