攻擊微軟最新漏洞的 TSPY_GIMMIV.A
會竊取個人資訊
【2008 年 10 月 24
日台北訊】針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式
TSPY_GIMMIV.A,該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。趨勢科技預測短時間內將有更多的變種產生,請用戶及早更新更新MS08-067 修正程式。趨勢科技用戶請更新病毒碼5.615.00即可偵測此病毒以及啟用WRS網頁信譽評等以攔截惡意網址。
惡意程式現身網站
趨勢科技在9個網站發現了該惡意程式,如下: http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
http://{BLOCKED}.{BLOCKED}.145.58/n9.exe
感染系統後,病毒會產生一個檔案(即為 TSPY_GIMMIV.A)在下述路徑:%System%\wbem\sysmgr.dll
病毒行為
開機自動執行:病毒會修改下列機碼,以便每次開機皆可執行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr
Type
= 110
Start = 2
ErrorControl = 0
ImagePath = %System%\svchost.exe -k
sysmgr
DisplayName = "Windows NT Baseline"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
sysmgr = "{Random HEX values}"
自動下載惡意檔案:
病毒會持續至下列網站下載病毒檔案,同樣偵測為TSPY_GIMMIV.A
http://{BLOCKED}dy.t35.com/icon.php
http://{BLOCKED}ra.atzend.com/icon.php
http://{BLOCKED}time.1gokurimu.com/icon.php
下載的檔案會儲存再下列路徑
%System%\wbem\basesvc.dll
%System%\wbem\syicon.dll
%System%\wbem\winbase.dll
同時病毒會下載下列檔案,但這些檔案為正常檔案
%System Root%\Documents and
Settings\LocalService\Local Settings\Temporary Internet Files\winUpdate.exe
%User Profile%\Local Settings\Temp\cmd.exe
竊取資訊:病毒竊取下列資訊
- 防毒軟體相關資訊
- Outlook Express Credential Information
- Protected Storage Information
- 系統資訊
- 個人帳號和密碼
- 病毒會將竊取的資訊加密後儲存至%System%\esobs.dat
- 將資料傳送至http://{BLOCKED}.{BLOCKED}.145.58/test2.php
安全防護軟體無法運行:
該病毒會搜尋並刪除下列機碼,造成相關資安程式或防毒軟體無法運行
- avp.exe
- SOFTWARE\BitDefender
- SOFTWARE\Jiangmin
- SOFTWARE\KasperskyLab
- SOFTWARE\Kingsoft
- SOFTWARE\Microsoft\OneCare Protection
- SOFTWARE\Symantec\PatchInst\NIS
- SOFTWARE\TrendMicro
- SOFTWARE\rising
建議事項
- 儘速更新MS08-067
- 趨勢科技用戶請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
- 非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, http://www.trendmicro.com.tw/wtp/