| 词条 | Trojan-Spy.Win32.Goldun.bbd |
| 释义 | 该病毒为间谍类木马,病毒运行后添加注册表项由Winlogon Notify启动病毒,衍生病毒文件gzipmod.dll、tremir.bin、vbagz.sys到%System32%目录下,创建rundll32.exe进程将病毒DLL文件注入到该进程中,加载完gzipmod.dll病毒文件之后将其删除,创建病毒注册表服务,病毒运行之后删除自身文件,创造了互斥体防止病毒多次运行,连接网络按网页代码隐藏打开多个地址,收集有关的电子邮件用户端使用受影响的系统,禁用请求任何类型的存取设备驱动程序。 病毒标签病毒名称: Trojan-Spy.Win32.Goldun.bbd 病毒类型: 间谍木马 文件 MD5: 69760DE6A852AB59FD18A186A871FC98 公开范围: 完全公开 危害等级: 4 文件长度: 138,964 字节 感染系统: Windows98以上版本 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay] 行为分析本地行为 1、文件运行后会释放以下文件 %system32%\\gzipmod.dll %system32%\\tremir.bin %system32%\\vbagz.sys 2、添加注册表项,创建病毒服务 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\ AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe 值: 字符串: "C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:rundll32" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\ Winlogon\otify\\gzipmod\\DllName 值: 字符串: "gzipmod.dll." HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\DisplayName 值: 字符串: "VBA PnP Driver" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\ImagePath 值: 字符串: "system32\\vbagz.sys." HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Start 值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Type 值: DWORD: 1 (0x1) 3、创建rundll32.exe进程将病毒DLL文件注入到该进程中,加载完gzipmod.dll病毒文件之后将其删除,创建病毒注册表服务,病毒运行之后删除自身文件。 4、禁用请求任何类型的存取下列设备驱动程序 dprot emulx86 fprot itcoe klite ltppd wlite x86emul xprot 5、一旦执行, DLL文件试图删除该文件如下: %的Documents and Settings%\\所有用户\\开始菜单\\程序\\启动\\ newrnj.exe 6、创造了互斥体名为:“ rshrnmtx ”,防止病毒多次运行。 7、收集有关的电子邮件用户端使用受影响的系统: pipeNG86 pipeNG86msimn SKSSHLL8cmd8 网络行为 病毒有运行后连接以下地址 http://ulm-haafeulm-haa.com/popok/data.php?trackid= 706172616D3D636D64266C616E673D2669643D31313233267368656C6C3D3026736F636B73706F72743D 36303532267665723D392668747470706F72743D3630353126757074696D656D3D3526757074696D65683 D30267569643D3242334139424244383932304230334634 (读取该地址按顺序连接多个网页地址) 该页面显示内容如下,并依次访问以下地址: CMND UU0 U4http://ulm-haafeulm-haa.com/blotch/0610.bin U4ulm-haafeulm-haa.com/blotch/0610.bin U4http://ulm-haafeulm-haa.com/blotch/0610.bin U4ulm-haafeulm-haa.com/blotch/0610.bin ED |END 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是%system32% 清除方案1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具。 (1) 使用ATOOL“进程管理”关闭病毒进程。 (2) 删除注册表启动项 %system32%\\gzipmod.dll %system32%\\tremir.bin %system32%\\vbagz.sys (3) 删除病毒添加的注册表启动项 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\ FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe 值: 字符串: "C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:rundll32" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\otify\\gzipmod\\DllName 值: 字符串: "gzipmod.dll." HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\DisplayName 值: 字符串: "VBA PnP Driver" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\ImagePath 值: 字符串: "system32\\vbagz.sys." HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Start 值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Type 值: DWORD: 1 (0x1) |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。