該病毒為木馬類,屬間諜軟體。
基本介紹
- 中文名:Trojan.Spy.Win32.Gimmiv.a
- 病毒原名:n2.exe
- 病毒類型:木馬間諜類
- 公開範圍: 完全公開
- 檔案長度: 417,792 位元組
病毒標籤,病毒描述,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-Spy.Win32.Gimmiv.a
病毒原名: n2.exe
病毒類型: 木馬間諜類
檔案 MD5: d65df633dc2700d521ae4dff8c393bff
公開範圍: 完全公開
危害等級: 3
:
感染系統: Windows98以上版本
病毒描述
該病毒為木馬類,屬間諜軟體。病毒運行後衍生病毒檔案sysmgr.dll到系統目錄%system%\wbem,修改註冊表,創建服務,以達到隨機啟動的目的,通過cmd.exe調用net stop停止自身服務,創建並調用批處理檔案scm.bat刪除自身。病毒衍生檔案sysmgr.dll注入到系統進程svchost.exe中,初始化後讀取並解析程式尾部相關配置,如不成功則結束,成功則會依次檢測並記錄系統中是否存在指定的反病毒軟體,依次檢測並記錄當前系統版本信息,採集系統信息及用戶敏感信息後,會將以上收集到的信息傳送到特定的網站。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%system%\wbem\sysmgr.dll
2、新增註冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters]
註冊表值: " ServiceDll "
類型: REG_EXPAND_SZ
值: "C:\WINDOWS\system32\wbem\sysmgr.dll"
描述:該檔案路徑為服務調用路徑,可通過此服務達到隨機啟動的目的。
3、創建服務,以達到隨機啟動的目的:
服務名稱:sysmgr
顯示名稱:System Maintenance Service
執行檔的路徑:C:\WINDOWS\System32\svchost.exe -k sysmgr
啟動類型:自動
4、創建並調用批處理檔案刪除自身。
:Repeat 1
Del "病毒路徑檔案名稱"
if exist "病毒路徑檔案名稱" goto Repeat 1
Del "%Temp%\CMWLPEPE.bat"
5、病毒的衍生檔案sysmgr.dll注入到系統進程svchost.exe中,初始化後讀取並解析程式尾部相關配置,如不成功則結束,成功則會依次檢測並記錄系統中是否存在指定的反病毒軟體:
Avp
Symantec
Trendmicro
Kingsoft
Rising
Microsoft onecare protection
Jiangmin
Bitdefender
6、依次檢測並記錄當前系統版本信息:
Windows XP
Windows Vista
Windows 2000
Windows 2003
7、採集系統信息及用戶敏感信息:
當前系統用戶名
網卡信息
組件安裝列表
系統補丁信息
MSNPassport(若未發現avp則採集)
IE保存的密碼(若未發現avp則採集)
用戶已分享檔案夾中檔案列表
網路行為
將採集到的信息傳送到特定的網站(最多嘗試12次):
http://59.106.145.**/test9.php?abc=2?def=2
註:abc數值為1-9,def數值為1-5。
其編號對套用戶的反病毒軟體安裝情況和系統版本信息
(已失效)
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 關閉病毒服務:
Sysmgr
(2) 刪除病毒檔案:
%system%\wbem\sysmgr.dll
