样本来源:用户上报
样本MD5名:
dc3fdfde66fffb6cfbec946a237787d8 n1.exe 397,312 字节
f173007fbd8e2190af3be7837acd70a4 n2.exe 397,312 字节
3ee354cc8b63b8849b28e6f376f2b263 n3.exe 397,312 字节
6c3e53864541bb13fa7853f7b580b807 n4.exe 397,312 字节
24cd978da62cff8370b83c26e134ff4c n5.exe 397,312 字节
86d75ae361637a8f9114bb3a40f710d3 n6.exe 397,312 字节
ee70f981514803e1fb4e6b65f492a56d n7.exe 397,312 字节
8d66f28d028a4838d09ce4b91d35b7cb n8.exe 397,312 字节
477aac8d472a7bea8b906718a2f50c67 n9.exe 397,312 字节
d65df633dc2700d521ae4dff8c393bff.exe 417,792 字节
衍生文件名均为sysmgr.dll,大小均为336,384 字节,对应MD5如下:
70f1114f1bc77d860fc1d37489c5f599
1cdc67b1d55e9a2d30c0dba193375c11
d14f812fa974818121eaa043d9e33c99
c2c271b34dbaf91e4f54a17bbb352178
06fbcf231d6db6e97d4dba5251252658
768b0f2a83075b77889fe3732f504ac0
c7e02aa2ea29392641a6d800aa3aba03
d37f21cfea4717e73b58292c541c850f
969b4c98a4570bbdc4299de353806459
969b4c98a4570bbdc4299de353806459
经行为分析机的自动分析报告可以总结出该批样本行为特征相同,故以6c3e53864541bb13fa7853f7b580b807 n4.exe为样本,给出分析报告。样本为木马类,没有自动传播功能。
Trojan-Spy.Win32.Gimmiv.a分析
安天CERT
一、 病毒标签:
病毒名称: Trojan-Spy.Win32.Gimmiv.a
病毒原名: n2.exe
病毒类型: 木马间谍类
文件 MD5: d65df633dc2700d521ae4dff8c393bff
公开范围: 完全公开
危害等级: 3
文件长度: 417,792 字节
感染系统: Windows98以上版本
二、 病毒描述:
该病毒为木马类,属间谍软件。病毒运行后衍生病毒文件sysmgr.dll到系统目录%system%\wbem,修改注册表,创建服务,以达到随机启动的目的,通过cmd.exe调用net stop停止自身服务,创建并调用批处理文件scm.bat删除自身。病毒衍生文件sysmgr.dll注入到系统进程svchost.exe中,初始化后读取并解析程序尾部相关配置,如不成功则结束,成功则会依次检测并记录系统中是否存在指定的反病毒软件,依次检测并记录当前系统版本信息,采集系统信息及用户敏感信息后,会将以上收集到的信息发送到特定的网站。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%system%\wbem\sysmgr.dll
2、新增注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters]
注册表值: " ServiceDll "
类型: REG_EXPAND_SZ
值: "C:\WINDOWS\system32\wbem\sysmgr.dll"
描述:该文件路径为服务调用路径,可通过此服务达到随机启动的目的。
3、创建服务,以达到随机启动的目的:
服务名称:sysmgr
显示名称:System Maintenance Service
描述:
可执行文件的路径:C:\WINDOWS\System32\svchost.exe -k sysmgr
启动类型:自动
4、创建并调用批处理文件删除自身。
:Repeat 1
Del "病毒路径文件名"
if exist "病毒路径文件名" goto Repeat 1
Del "%Temp%\CMWLPEPE.bat"
5、病毒的衍生文件sysmgr.dll注入到系统进程svchost.exe中,初始化后读取并解析程序尾部相关配置,如不成功则结束,成功则会依次检测并记录系统中是否存在指定的反病毒软件:
Avp
Symantec
Trendmicro
Kingsoft
Rising
Microsoft onecare protection
Jiangmin
Bitdefender
6、依次检测并记录当前系统版本信息:
Windows XP
Windows Vista
Windows 2000
Windows 2003
7、采集系统信息及用户敏感信息:
当前系统用户名
主机名
网卡信息
组件安装列表
系统补丁信息
MSNPassport(若未发现avp则采集)
IE保存的密码(若未发现avp则采集)
用户共享文件夹中文件列表
网络行为:
将采集到的信息发送到特定的网站(最多尝试12次):
http://59.106.145.**/test9.php?abc=2?def=2
注:abc数值为1-9,def数值为1-5。
其编号对应用户的反病毒软件安装情况和系统版本信息
(已失效)
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 关闭病毒服务:
Sysmgr
(2) 删除病毒文件:
%system%\wbem\sysmgr.dll |
|