2008年10月24日 星期五

攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊

反應: 
【2008 年 10 月 24 日台北訊】針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式 TSPY_GIMMIV.A,該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。趨勢科技預測短時間內將有更多的變種產生,請用戶及早更新更新MS08-067 修正程式。趨勢科技用戶請更新病毒碼5.615.00即可偵測此病毒以及啟用WRS網頁信譽評等以攔截惡意網址。

惡意程式現身網站
趨勢科技在9個網站發現了該惡意程式,如下:
http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
http://{BLOCKED}.{BLOCKED}.145.58/n9.exe


感染系統後,病毒會產生一個檔案(即為 TSPY_GIMMIV.A)在下述路徑:%System%\wbem\sysmgr.dll

病毒行為
開機自動執行:病毒會修改下列機碼,以便每次開機皆可執行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr
Type = 110
Start = 2
ErrorControl = 0
ImagePath = %System%\svchost.exe -k sysmgr
DisplayName = "Windows NT Baseline"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
sysmgr = "{Random HEX values}"

自動下載惡意檔案:
病毒會持續至下列網站下載病毒檔案,同樣偵測為TSPY_GIMMIV.A
http://{BLOCKED}dy.t35.com/icon.php
http://{BLOCKED}ra.atzend.com/icon.php
http://{BLOCKED}time.1gokurimu.com/icon.php

下載的檔案會儲存再下列路徑
%System%\wbem\basesvc.dll
%System%\wbem\syicon.dll
%System%\wbem\winbase.dll
同時病毒會下載下列檔案,但這些檔案為正常檔案
%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\winUpdate.exe
%User Profile%\Local Settings\Temp\cmd.exe

竊取資訊:病毒竊取下列資訊
  • 防毒軟體相關資訊
  • Outlook Express Credential Information
  • Protected Storage Information
  • 系統資訊
  • 個人帳號和密碼
  • 病毒會將竊取的資訊加密後儲存至%System%\esobs.dat
  • 將資料傳送至http://{BLOCKED}.{BLOCKED}.145.58/test2.php


安全防護軟體無法運行:
該病毒會搜尋並刪除下列機碼,造成相關資安程式或防毒軟體無法運行
  • avp.exe
  • SOFTWARE\BitDefender
  • SOFTWARE\Jiangmin
  • SOFTWARE\KasperskyLab
  • SOFTWARE\Kingsoft
  • SOFTWARE\Microsoft\OneCare Protection
  • SOFTWARE\Symantec\PatchInst\NIS
  • SOFTWARE\TrendMicro
  • SOFTWARE\rising



建議事項
1.儘速更新MS08-067
2.趨勢科技用戶請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
3.非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, http://www.trendmicro.com.tw/wtp/

trendmicro