病毒名稱
病毒名稱:特洛伊病毒Win32.Grum.D其它名稱:Downloader-BBI (McAfee), Infostealer.Gampass (Symantec), W32/Grum-E (Sophos), Trojan-Proxy.Win32.Small.du (Kaspersky)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:低
具體介紹:
病毒特性:
Win32/Grum.D 是一種感染可運行檔案的病毒,它還會傳送病毒郵件並將病毒代碼注入正在運行程式中。它是大小為 36,864位元組的Win32 可運行程式。
感染方式
第一運行時,Grum.D複製"winlogon.exe"到%Temp% 目錄,並運行這個檔案。隨後生成一個批處理檔案,用來刪除原始的運行檔案和這個批處理檔案。
病毒還會生成以下註冊表鍵值,為了在每次系統啟動時運行病毒檔案:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Firewall auto setup = "%Temp%\winlogon.exe"
這個鍵值在一定的間隔重複生成。
Grum.D 還生成兩個互斥體"Hi all" 和 "Already start"。
註:%Temp%是一個可變的路徑。病毒通過查詢作業系統來決定當前Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
傳播方式
通過檔案感染Win32/Grum.D列舉以下註冊表的鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Grum找到相關鍵值後,在感染相關檔案之前,都會將相關檔案重命名為 .rgn為擴展名的檔案。
例如,如果Grum 找到 C:\WINDOWS\System32\ctfmon.exe,就會將它重命名為C:\WINDOWS\System32\ctfmon.rgn,隨後生成感染的副本C:\WINDOWS\System32\ctfmon.exe。另一方面,將C:\Program Files\Messenger\msmsgs.exe /background 重命名為 C:\Program Files\Messenger\msmsgs.exe /backgr.rgn失敗。
危害
傳送垃圾郵件
Win32/Grum.D傳送的垃圾郵件帶有惡意代碼。這個代碼不會作為一個單獨的檔案生成,但是會通過Grum 在記憶體中運行。
修改程式
Win32/Grum.D嘗試將代碼注入被感染機器上每個正在運行的程式中。注入的代碼hook本地的API,有效的隱藏Grum在被感染機器上的存在。
其它信息
病毒生成以下註冊表:
HKCU\Software\Microsoft\Internet Explorer\Desktop\host = "66.232.127.178"
HKCU\Software\Microsoft\Internet Explorer\Security\host = "66.232.127.178"
病毒定期的重複生成這些鍵值。
Grum的目標系統是Windows XP Service Pack2,在其它系統上病毒的危害不會實現。
清除:
KILL安全胄甲Vet 30.7.3608版本可檢測/清除此病毒。
