查看完整版本: 攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊

chun 2008-10-27 09:23

攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊

<p align="center"><span class="title"><strong>攻擊微軟最新漏洞的 TSPY_GIMMIV.A
會竊取個人資訊</strong></span></p>
<p>【2008 年 10 月 24
日台北訊】針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式
<a title="blocked::https://trendmicro1.rsys1.net/servlet/cc6?luJlQSBQTTVkHtLxiJSRWQlOVaVC" href="https://trendmicro1.rsys1.net/servlet/cc6?luJlQSBQTTVkHtLxiJSRWQlOVaVC">TSPY_GIMMIV.A</a>,該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。趨勢科技預測短時間內將有更多的變種產生,請用戶<span class="highlight">及早更新更新MS08-067 修正程式</span>。<span class="highlight">趨勢科技用戶請更新病毒碼5.615.00</span>即可偵測此病毒以及<span class="highlight">啟用WRS網頁信譽評等</span>以攔截惡意網址。</p>
<p class="sub_title">惡意程式現身網站</p>
<p>趨勢科技在9個網站發現了該惡意程式,如下: http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
<br>http://{BLOCKED}.{BLOCKED}.145.58/n9.exe</p>
<p>感染系統後,病毒會產生一個檔案(即為 TSPY_GIMMIV.A)在下述路徑:%System%\wbem\sysmgr.dll</p>
<p class="sub_title">病毒行為</p>
<p><span class="highlight">開機自動執行:病毒會修改下列機碼,以便每次開機皆可執行</span>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr<br>Type
= 110<br>Start = 2<br>ErrorControl = 0<br>ImagePath = %System%\svchost.exe -k
sysmgr<br>DisplayName = "Windows NT Baseline"<br>ObjectName = "LocalSystem"</p>
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost<br>sysmgr = "{Random HEX values}"</p>
<p><span class="highlight">自動下載惡意檔案:<br></span>病毒會持續至下列網站下載病毒檔案,同樣偵測為TSPY_GIMMIV.A<br>http://{BLOCKED}dy.t35.com/icon.php
<br>http://{BLOCKED}ra.atzend.com/icon.php
<br>http://{BLOCKED}time.1gokurimu.com/icon.php <span class="highlight"><br></span></p>
<p>下載的檔案會儲存再下列路徑<br>%System%\wbem\basesvc.dll <br>%System%\wbem\syicon.dll
<br>%System%\wbem\winbase.dll</p>
<p>同時病毒會下載下列檔案,但這些檔案為正常檔案<br>%System Root%\Documents and
Settings\LocalService\Local Settings\Temporary Internet Files\winUpdate.exe
<br>%User Profile%\Local Settings\Temp\cmd.exe</p>
<p class="highlight">竊取資訊:病毒竊取下列資訊</p>
<ul><li>防毒軟體相關資訊
</li><li>Outlook Express Credential Information
</li><li>Protected Storage Information
</li><li>系統資訊
</li><li>個人帳號和密碼
</li><li>病毒會將竊取的資訊加密後儲存至%System%\esobs.dat
</li><li>將資料傳送至http://{BLOCKED}.{BLOCKED}.145.58/test2.php </li></ul>
<p><span class="highlight">安全防護軟體無法運行:</span><br>該病毒會搜尋並刪除下列機碼,造成相關資安程式或防毒軟體無法運行</p>
<ul><li>avp.exe
</li><li>SOFTWARE\BitDefender
</li><li>SOFTWARE\Jiangmin
</li><li>SOFTWARE\KasperskyLab
</li><li>SOFTWARE\Kingsoft
</li><li>SOFTWARE\Microsoft\OneCare Protection
</li><li>SOFTWARE\Symantec\PatchInst\NIS
</li><li>SOFTWARE\TrendMicro
</li><li>SOFTWARE\rising </li></ul>
<p class="sub_title">建議事項</p>
<ol><li>儘速更新MS08-067
</li><li>趨勢科技用戶請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
</li><li>非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, <a title="blocked::https://trendmicro1.rsys1.net/servlet/cc6?luJlQSBQTTVkHtLxiJSRWQlOVaVD" href="https://trendmicro1.rsys1.net/servlet/cc6?luJlQSBQTTVkHtLxiJSRWQlOVaVD">http://www.trendmicro.com.tw/wtp/</a>
</li></ol>
頁: [1]
查看完整版本: 攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊