您现在的位置是：首页 > IT基础架构 > 网络与安全 >

微软漏洞病毒出现　盗窃用户私密信息

2008-11-05 16:18:00作者：张晓兵来源：

摘要安天最近捕获利用微软当前危害最严重的MS08-067漏洞制作的病毒——吉米（Trojan-Spy.Win32.Gimmiv.a），该病毒兼有木马和间谍软件的特性，能够偷取用户敏感信息，并发送到相应网站，希望广大用户及时升级自己的安全软件，以防止隐私泄露。...

安天最近捕获利用微软当前危害最严重的MS08-067漏洞制作的病毒——吉米（Trojan-Spy.Win32.Gimmiv.a），该病毒兼有木马和间谍软件的特性，能够偷取用户敏感信息，并发送到相应网站，希望广大用户及时升级自己的安全软件，以防止隐私泄露。

据安天应急小组介绍，该病毒运行后会创建批处理文件scm.bat来删除自身，然后在windows系统目录下的wbem目录中生成sysmgr.dll病毒文件。修改注册表，以系统“服务”的方式随机自启动，将自身注入到系统进程svchost.exe中以躲避用户的查看，并收集用户的反病毒软件安装信息、系统信息和敏感信息，发送到病毒作者建立的网站。

普通用户可以安装并升级安全软件来清除和拦截该病毒，没有安装安全软件的用户可以根据以下病毒分析报告来检查系统是否已中毒，专业用户还可以根据以下报告手工清除该病毒。

附录：

出处：安天实验室

·病毒标签

病毒名称：Trojan-Spy.Win32.Gimmiv.a

病毒原名：n2.exe

病毒类型：木马间谍类

文件 MD5：d65df633dc2700d521ae4dff8c393bff

公开范围：完全公开

危害等级：★★★

文件长度：417,792 字节

感染系统：Windows98以上版本

·病毒描述

该病毒为木马类，属间谍软件。病毒运行后衍生病毒文件sysmgr.dll到系统目录%system%wbem，修改注册表，创建服务，以达到随机启动的目的，通过cmd.exe调用net stop停止自身服务，创建并调用批处理文件scm.bat删除自身。病毒衍生文件sysmgr.dll注入到系统进程svchost.exe中，初始化后读取并解析程序尾部相关配置，如不成功则结束，成功则会依次检测并记录系统中是否存在指定的反病毒软件，依次检测并记录当前系统版本信息，采集系统信息及用户敏感信息后，会将以上收集到的信息发送到特定的网站。

·本地行为分析

1、文件运行后会释放以下文件

%system%wbemsysmgr.dll

2、新增注册表

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessysmgrParameters]

注册表值：" ServiceDll "

类型：REG_EXPAND_SZ

值："C:WINDOWSsystem32wbemsysmgr.dll"

描述：该文件路径为服务调用路径，可通过此服务达到随机启动的目的。

3、创建服务，以达到随机启动的目的：

服务名称：sysmgr

显示名称：System Maintenance Service

可执行文件的路径：C:WINDOWSSystem32svchost.exe -k sysmgr

启动类型：自动

4、创建并调用批处理文件删除自身。

:Repeat 1
Del "病毒路径文件名"
if exist "病毒路径文件名" goto Repeat 1
Del "%Temp%CMWLPEPE.bat"

5、病毒的衍生文件sysmgr.dll注入到系统进程svchost.exe中，初始化后读取并解析程序尾部相关配置，如不成功则结束，成功则会依次检测并记录系统中是否存在指定的反病毒软件：

Avp
Symantec
Trendmicro
Kingsoft
Rising
Microsoft onecare protection
Jiangmin
Bitdefender

6、依次检测并记录当前系统版本信息：

Windows XP
Windows Vista
Windows 2000
Windows 2003

7、采集系统信息及用户敏感信息：

当前系统用户名
主机名
网卡信息
组件安装列表
系统补丁信息
MSNPassport(若未发现avp则采集)
IE保存的密码(若未发现avp则采集)
用户共享文件夹中文件列表

·网络行为分析

将采集到的信息发送到特定的网站(最多尝试12次)：

http://59.106.145.**/test9.php?abc=2?def=2

注：abc数值为1-9，def数值为1-5。

其编号对应用户的反病毒软件安装情况和系统版本信息(已失效)

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

%Windir%　WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% = C:　当前启动的系统的所在分区

%Documents and Settings%　当前用户文档根目录

·手工清除方案

(1) 关闭病毒服务：

Sysmgr

(2) 删除病毒文件：

%system%wbemsysmgr.dll

吉米（Trojan-Spy.Win32.Gimmiv.a）病毒分析报告
(本文不涉密)
责任编辑：