Trojan.Spy.Win32.Goldun

Trojan.Spy.Win32.Goldun病毒屬木馬類。病毒運行後嘗試創建名為qo823wtifs_ssn的互斥體;檢測%System32%下是否有msvcrl.dll,若存在移動到%Temp%目錄下,更名為pda****.tmp(“****”為程式運行時獲取的系統啟動時間的尾四位);衍生msvcrl.dll檔案到%System32%下,根據系統版本不同調用sfc_os.dll 和sfc.dll,對經過字元轉換的iexplore.exe檔案路徑進行處理,使“Windows 檔案保護”功能對%Programe Files%\Internet Explorer\iexplore.exe檔案失效

基本介紹

  • 中文名:Trojan.Spy.Win32.Goldun
  • 病毒類型: 木馬
  • 中文名稱金盾
  • 病毒名稱:Trojan-Spy.Win32.
病毒標籤,病毒描述,行為分析,清除方案,

病毒標籤

病毒名稱: Trojan-Spy.Win32.
病毒類型: 木馬
中文名稱: 金盾
檔案 MD5: D0BA8262D140F5689BA34E0D175A3C1A
公開範圍: 完全公開
危害等級: 5
檔案長度: 48,184 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述

檢測當前進程列表,結束所有iexplorer.exe進程,移動%Programe Files%\InternetExplorer\iexplore.exe檔案到%Temp%目錄下,更名為xa****.tmp(檔案病毒名後四位為隨機數字或大寫字母所組成),修改%Programe Files%\Internet Explorer\iexplore.exe檔案導入函式表結構,添加msvcrl.dll檔案中唯一函式Proc到導入函式表中,實現當運行iexplore.exe時msvcrl.dll檔案的自動載入,衍生a.bat檔案到程式執行的當前目錄下刪除病毒檔案和自身。
msvcrl.dll檔案偽裝系統動態連線庫檔案,具有微軟版本信息;被載入到IE進程中後將連線網路,獲取下載列表,下載病毒檔案等。盜取用戶“ftp”、“outlook”、“Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等會員帳戶的登入帳號與登入密碼等信息,監聽“E-Gold”的加密連線,獲取用戶登入信息;將竊取到的這些機密信息資料傳送到指定地址。

行為分析

本地行為:
1、檔案運行後會釋放以下檔案:
%System32%msvcrl.dll  42,552 位元組
%Programe Files%\Internet Explorer
\iexplore.exe   正常檔案尾部添加512個位元組
%Temp%\xa****.tmp   依系統IE瀏覽器版本而變化
%Temp%pda****.tmp   依病毒原版本而定
網路行為:
以下地址均已經失效:
1、連線站點:
dns-ns-hyip***.com/snatch/module1_urlf_get.php
dns-ns-hyip***.com/snatch/module8_get.php?id=548917915
dns-ns-hyip***.com/snatch/module9_get.php
2、下載列表:
dns-ns-hyip***.com/snatch/files/downloader.txt
dns-ns-hyip***.com/snatch/files/updater.txt
3、下載檔案:
dns-ns-hyip***.com/snatch/files/d.exe
dns-ns-hyip***.com/snatch/files/u.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%  系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1 、使用安天防線可徹底清除此病毒(推薦),安天防線
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用atool進程管理”關閉進程
Iexplorer.exe
(2)刪除病毒檔案:
%System32%msvcrl.dll
%Temp%pda****.tmp
%Programe Files%\Internet Explorer\iexplore.exe
(3)恢復病毒篡改的系統檔案
移動%Temp%xa****.tmp檔案到%Programe Files%\Internet Explorer目錄下,更名為iexplore.exe。

相關詞條

熱門詞條

聯絡我們