微軟最牛漏洞病毒首現　盜竊用戶私密信息

【賽迪網-IT技術報道】安天最近捕獲利用微軟當前危害最嚴重的MS08-067漏洞製作的病毒－－吉米（Trojan-Spy.Win32.Gimmiv.a），該病毒兼有木馬和間諜軟體的特性，能夠偷取用戶敏感信息，並發送到相應網站，希望廣大用戶及時升級自己的安全軟體，以防止隱私洩露。

據安天應急小組介紹，該病毒運行後會創建批處理文件scm.bat來刪除自身，然後在windows系統目錄下的wbem目錄中生成sysmgr.dll病毒文件。修改註冊表，以系統「服務」的方式隨機自啟動，將自身注入到系統進程svchost.exe中以躲避用戶的查看，並收集用戶的反病毒軟體安裝信息、系統信息和敏感信息，發送到病毒作者建立的網站。

普通用戶可以安裝並升級安全軟體來清除和攔截該病毒，沒有安裝安全軟體的用戶可以根據以下病毒分析報告來檢查系統是否已中毒，專業用戶還可以根據以下報告手工清除該病毒。

附錄：

・病毒標籤

病毒名稱：Trojan-Spy.Win32.Gimmiv.a

病毒原名：n2.exe

病毒類型：木馬間諜類

文件 MD5：d65df633dc2700d521ae4dff8c393bff

公開範圍：完全公開

危害等級：★★★

文件長度：417,792 字節

感染系統：Windows98以上版本

・病毒描述

該病毒為木馬類，屬間諜軟體。病毒運行後衍生病毒文件sysmgr.dll到系統目錄%system%/wbem，修改註冊表，創建服務，以達到隨機啟動的目的，通過cmd.exe調用net stop停止自身服務，創建並調用批處理文件scm.bat刪除自身。病毒衍生文件sysmgr.dll注入到系統進程svchost.exe中，初始化後讀取並解析程序尾部相關配置，如不成功則結束，成功則會依次檢測並記錄系統中是否存在指定的反病毒軟體，依次檢測並記錄當前系統版本信息，採集系統信息及用戶敏感信息後，會將以上收集到的信息發送到特定的網站。

・本地行為分析

1、文件運行後會釋放以下文件

%system%/wbem/sysmgr.dll

2、新增註冊表

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/sysmgr/Parameters]

註冊表值：" ServiceDll "

類型：REG_EXPAND_SZ

值："C:/WINDOWS/system32/wbem/sysmgr.dll"

描述：該文件路徑為服務調用路徑，可通過此服務達到隨機啟動的目的。

3、創建服務，以達到隨機啟動的目的：

服務名稱：sysmgr

顯示名稱：System Maintenance Service

可執行文件的路徑：C:/WINDOWS/System32/svchost.exe -k sysmgr

啟動類型：自動

4、創建並調用批處理文件刪除自身。

:Repeat 1Del "病毒路徑文件名"if exist "病毒路徑文件名" goto Repeat 1Del "%Temp%/CMWLPEPE.bat"

5、病毒的衍生文件sysmgr.dll注入到系統進程svchost.exe中，初始化後讀取並解析程序尾部相關配置，如不成功則結束，成功則會依次檢測並記錄系統中是否存在指定的反病毒軟體：

AvpSymantecTrendmicroKingsoftRisingMicrosoft onecare protectionJiangminBitdefender

6、依次檢測並記錄當前系統版本信息：

Windows XPWindows VistaWindows 2000Windows 2003

7、採集系統信息及用戶敏感信息：

當前系統用戶名主機名網卡信息組件安裝列表系統補丁信息MSNPassport(若未發現avp則採集)IE保存的密碼(若未發現avp則採集)用戶共享文件夾中文件列表

・網絡行為分析

將採集到的信息發送到特定的網站(最多嘗試12次)：

http://59.106.145.**/test9.php?abc=2?def=2

註：abc數值為1-9，def數值為1-5。

其編號對應用戶的反病毒軟體安裝情況和系統版本信息(已失效)

註：%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:/Winnt/System32，windows95/98/me中默認的安裝路徑是C:/Windows/System，windowsXP中默認的安裝路徑是C:/Windows/System32。

%Temp% = C:/Documents and Settings/AAAAA/Local Settings/Temp 當前用戶TEMP緩存變量

%Windir%/　WINDODWS所在目錄

%DriveLetter%/　邏輯驅動器根目錄

%ProgramFiles%/　系統程序默認安裝目錄

%HomeDrive% = C:/　當前啟動的系統的所在分區

%Documents and Settings%/　當前用戶文檔根目錄

・手工清除方案

(1) 關閉病毒服務：

Sysmgr

(2) 刪除病毒文件：

%system%/wbem/sysmgr.dll

(