·	[Java论坛][安全论坛][数据库论坛][操作系统论坛]

·	[专题] IBM Rational高峰论坛 Windows 7十大功能

·	[专题] 史上就危险7月微软 BizSpark 计划介绍

·	[IT技术周刊][IT资源下载专区][病毒求助专区]

·	[热点] 我也能做CTO_赛迪连载赛迪七夕特别行动

·	[热点] Chrome 4.0采用V8引擎 Java开发编程规范

微软最牛漏洞病毒首现　盗窃用户私密信息

发布时间：2008.11.03 08:32 来源：赛迪网作者：张晓兵

【赛迪网-IT技术报道】安天最近捕获利用微软当前危害最严重的MS08-067漏洞制作的病毒——吉米（Trojan-Spy.Win32.Gimmiv.a），该病毒兼有木马和间谍软件的特性，能够偷取用户敏感信息，并发送到相应网站，希望广大用户及时升级自己的安全软件，以防止隐私泄露。

据安天应急小组介绍，该病毒运行后会创建批处理文件scm.bat来删除自身，然后在windows系统目录下的wbem目录中生成sysmgr.dll病毒文件。修改注册表，以系统“服务”的方式随机自启动，将自身注入到系统进程svchost.exe中以躲避用户的查看，并收集用户的反病毒软件安装信息、系统信息和敏感信息，发送到病毒作者建立的网站。

普通用户可以安装并升级安全软件来清除和拦截该病毒，没有安装安全软件的用户可以根据以下病毒分析报告来检查系统是否已中毒，专业用户还可以根据以下报告手工清除该病毒。

附录：

吉米（Trojan-Spy.Win32.Gimmiv.a）病毒分析报告

出处：安天实验室

·病毒标签

病毒名称：Trojan-Spy.Win32.Gimmiv.a

病毒原名：n2.exe

病毒类型：木马间谍类

文件 MD5：d65df633dc2700d521ae4dff8c393bff

公开范围：完全公开

危害等级：★★★

文件长度：417,792 字节

感染系统：Windows98以上版本

·病毒描述

该病毒为木马类，属间谍软件。病毒运行后衍生病毒文件sysmgr.dll到系统目录%system%\wbem，修改注册表，创建服务，以达到随机启动的目的，通过cmd.exe调用net stop停止自身服务，创建并调用批处理文件scm.bat删除自身。病毒衍生文件sysmgr.dll注入到系统进程svchost.exe中，初始化后读取并解析程序尾部相关配置，如不成功则结束，成功则会依次检测并记录系统中是否存在指定的反病毒软件，依次检测并记录当前系统版本信息，采集系统信息及用户敏感信息后，会将以上收集到的信息发送到特定的网站。

·本地行为分析

1、文件运行后会释放以下文件

%system%\wbem\sysmgr.dll

2、新增注册表

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters]

注册表值：" ServiceDll "

类型：REG_EXPAND_SZ

值："C:\WINDOWS\system32\wbem\sysmgr.dll"

描述：该文件路径为服务调用路径，可通过此服务达到随机启动的目的。

3、创建服务，以达到随机启动的目的：

服务名称：sysmgr

显示名称：System Maintenance Service

可执行文件的路径：C:\WINDOWS\System32\svchost.exe -k sysmgr

启动类型：自动

4、创建并调用批处理文件删除自身。

:Repeat 1
Del "病毒路径文件名"
if exist "病毒路径文件名" goto Repeat 1
Del "%Temp%\CMWLPEPE.bat"

5、病毒的衍生文件sysmgr.dll注入到系统进程svchost.exe中，初始化后读取并解析程序尾部相关配置，如不成功则结束，成功则会依次检测并记录系统中是否存在指定的反病毒软件：

Avp
Symantec
Trendmicro
Kingsoft
Rising
Microsoft onecare protection
Jiangmin
Bitdefender

6、依次检测并记录当前系统版本信息：

Windows XP
Windows Vista
Windows 2000
Windows 2003

7、采集系统信息及用户敏感信息：

当前系统用户名
主机名
网卡信息
组件安装列表
系统补丁信息
MSNPassport(若未发现avp则采集)
IE保存的密码(若未发现avp则采集)
用户共享文件夹中文件列表

·网络行为分析

将采集到的信息发送到特定的网站(最多尝试12次)：

http://59.106.145.**/test9.php?abc=2?def=2

注：abc数值为1-9，def数值为1-5。

其编号对应用户的反病毒软件安装情况和系统版本信息(已失效)

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

%Windir%\　WINDODWS所在目录

%DriveLetter%\　逻辑驱动器根目录

%ProgramFiles%\　系统程序默认安装目录

%HomeDrive% = C:\　当前启动的系统的所在分区

%Documents and Settings%\　当前用户文档根目录

·手工清除方案

(1) 关闭病毒服务：

Sysmgr

(2) 删除病毒文件：

%system%\wbem\sysmgr.dll

(责任编辑：李磊)

[ 发表评论 ] 字体[ 大中小 ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ] [ 推荐给朋友 ]

【相关文章】

·	微软降低业绩预期三招应对经济危机	(11-03)	·	中消协五问微软:"黑屏"只对中国是否妥当	(11-03)
·	微软:误买盗版软件可免费换正版但需凭证	(11-03)	·	微软将在华弹性定价让用户用正版软件	(11-03)
·	Windows Azure：微软模式下的“云”	(11-03)	·	涉嫌非法侵入计算机黑屏与犯罪的距离有多	(11-02)
·	微软爆出近年来最大漏洞危害类似"冲击波"	(11-02)	·	时代：Office Online姗姗来迟失去先机	(11-02)
·	微软:误买盗版软件可免费换正版但需凭证	(11-01)	·	微软将在华弹性定价让更多用户用正版软件	(11-01)