Trojan.Spy.Win32.Goldun.ms

病毒標籤

檔案 MD5： D0BA8262D140F5689BA34E0D175A3C1A

危害等級： 5

檔案長度： 48,184 位元組

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒運行後嘗試創建名為qo823wtifs_ssn的互斥體；檢測

%System32%下是否有msvcrl.dll，若存在移動到%Temp%目錄下，更名為

pda****.tmp（“****”為程式運行時獲取的系統啟動時間的尾四位）；衍生

msvcrl.dll檔案到%System32%下，根據系統版本不同調用sfc_os.dll 和sfc.dll，

對經過字元轉換的iexplore.exe檔案路徑進行處理，使“Windows 檔案保護”功能

對%Programe Files%\Internet Explorer\iexplore.exe檔案失效；檢測當前進

程列表，結束所有iexplorer.exe進程，移動%Programe Files%\Internet

Explorer\iexplore.exe檔案到%Temp%目錄下，更名為xa****.tmp（檔案病毒名

後四位為隨機數字或大寫字母所組成），修改%Programe Files%\Internet

Explorer\iexplore.exe檔案導入函式表結構，添加msvcrl.dll檔案中唯一函式

Proc到導入函式表中，實現當運行iexplore.exe時msvcrl.dll檔案的自動載入，衍

生a.bat檔案到程式執行的當前目錄下刪除病毒檔案和自身。

msvcrl.dll檔案偽裝系統動態連線庫檔案，具有微軟版本信息；被載入到IE進程

中後將連線網路，獲取下載列表，下載病毒檔案等。盜取用戶“ftp”、“outlook”、

“Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等會員帳戶的登入帳號與登

陸密碼等信息

本地行為：

1、檔案運行後會釋放以下檔案：

%System32%msvcrl.dll　 42,552 位元組

%Programe Files%\Internet Explorer

\iexplore.exe 　正常檔案尾部添加512個位元組

%Temp%\xa****.tmp 　依系統IE瀏覽器版本而變化

%Temp%pda****.tmp 　依病毒原版本而定

網路行為:

以下地址均已經失效：

1、連線站點：