Trojan-Spy.Win32.Goldun.bbd

該病毒為間諜類木馬,病毒運行後添加註冊表項由Winlogon Notify啟動病毒,衍生病毒檔案gzipmod.dll、tremir.bin、vbagz.sys到%System32%目錄下,創建rundll32.exe進程將病毒DLL檔案注入到該進程中,載入完gzipmod.dll病毒檔案之後將其刪除,創建病毒註冊表服務,病毒運行之後刪除自身檔案,創造了互斥體防止病毒多次運行,連線網路按網頁代碼隱藏打開多個地址,收集有關的電子郵件用戶端使用受影響的系統,禁用請求任何類型的存取設備驅動程式

基本介紹

  • 中文名:Trojan-Spy.Win32.Goldun.bbd
  • 病毒類型:間諜木馬
  • 公開範圍:完全公開
  • 危害等級:4
  • 感染系統:Windows98以上版本
  • 檔案長度:138,964 位元組
病毒標籤,行為分析,清除方案,

病毒標籤

病毒名稱: Trojan-Spy.Win32.Goldun.bbd
檔案 MD5: 69760DE6A852AB59FD18A186A871FC98
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

行為分析

本地行為
1、檔案運行後會釋放以下檔案
%system32%\gzipmod.dll
%system32%\tremir.bin
%system32%\vbagz.sys
2、添加註冊表項,創建病毒服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exe
值: 字元串: "C:\WINDOWS\system32\rundll32.exe:*:Enabled:rundll32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Notify\gzipmod\DllName
值: 字元串: "gzipmod.dll."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\DisplayName
值: 字元串: "VBA PnP Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\ImagePath
值: 字元串: "system32\vbagz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Start
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Type
值: DWORD: 1 (0x1)
3、創建rundll32.exe進程將病毒DLL檔案注入到該進程中,載入完gzipmod.dll病毒檔案之後將其刪除,創建病毒註冊表服務,病毒運行之後刪除自身檔案。
4、禁用請求任何類型的存取下列設備驅動程式
dprot
emulx86
fprot
itcoe
klite
ltppd
wlite
x86emul
xprot
5、一旦執行, DLL檔案試圖刪除該檔案如下:
%的Documents and Settings%\所有用戶\開始選單\程式\啟動\ newrnj.exe
6、創造了互斥體名為:“ rshrnmtx ”,防止病毒多次運行。
7、收集有關的電子郵件用戶端使用受影響的系統:
pipeNG86
pipeNG86msimn
SKSSHLL8cmd8
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%   當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%   系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是%system32%

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool管理工具。
(1) 使用ATOOL“進程管理”關閉病毒進程。
(2) 刪除註冊表啟動項
%system32%\gzipmod.dll
%system32%\tremir.bin
%system32%\vbagz.sys
(3) 刪除病毒添加的註冊表啟動項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exe
值: 字元串: "C:\WINDOWS\system32\rundll32.exe:*:Enabled:rundll32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\gzipmod\DllName
值: 字元串: "gzipmod.dll."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\DisplayName
值: 字元串: "VBA PnP Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\ImagePath
值: 字元串: "system32\vbagz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Start
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Type
值: DWORD: 1 (0x1)

相關詞條

熱門詞條

聯絡我們