http://www.jackxiang.com/index.php zh-cn http://www.jackxiang.com/post/97/ jack <xdy108@126.com> Thu, 14 Sep 2006 15:22:42 +0000 http://www.jackxiang.com/post/97/


根据反病毒厂商目前提供的信息，利用WORD最新0-day漏洞的病毒通过email传播（注意：email的附件名为NO.060517.doc.doc、PLANNINGREPORT5-16-2006.doc、PLAN.DOC、FINAL.DOC），但是仅对特定对象进行攻击，而没有广泛传播开。这个0-day漏洞的功能就像释放器，当用户运行这个doc文档后，会释放后门木马。释放完木马后，这个含有漏洞的doc文档会提示文档出错，需要重新启动，其实是将一个新的干净的文档来覆盖掉原来含有漏洞的文档，当用户同意重新启动后，一个没有问题的文档将取代原有漏洞的文档。



含有此漏洞的文档有两个版本，趋势科技分别命名为：



W97M_MDROPPER.AB，大小233,472字节（没压缩）



W97M_MDROPPER.AC，大小233,472字节（没压缩）



W97M_MDROPPER.AB，释放BKDR_GINWUI.A，大小142,848字节，具有rookit功能，会被释放到%Temp%\20060424.bak（142,848 字节），运行后会释放：



%System%\Winguis.dll

%System%\drivers\IsPubDRV.sys

%System%\drivers\RVdPort.sys

%System%\drivers\DetPort.sys

在注册表中添加：



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = "%System%\winguis.dll"



同时会链接Localhosts.3322.org



W97M_MDROPPER.AC，释放BKDR_GINWUI.B，大小27,648字节，具有rookit功能，会被释放到%Temp%\20060424.bak（27,648字节），运行后会释放：




%System%\zsyhide.dll (11264 字节)

%System%\zsydll.dll (29696 字节) －注入IE进程

在注册表中添加：



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = "%System%\zsyhide.dll"



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zsydll

dllname = "%System%\zsydll.dll"



同时会链接scfzf.xicp.net



其他反病毒厂商关于此漏洞的介绍：



1. Mcafee：



BackDoor-CKB!6708ddaf



BackDoor-CKB!cfaae1e6



Exploit-OleData.gen



2. Symantec：



Trojan.Mdropper.H



Backdoor.Ginwui



Backdoor.Ginwui.B



3. F-Secure：



Ginwui.A



4. Kaspersky：



Trojan-Dropper.MSWord.1Table.bd



Backdoor.Win32.Gusi.a



2006.5.23 22:00更新：



微软于当地时间5.22发布关于此漏洞的安全建议(919637)，受影响的WORD版本：Word 2002/XP和Word 2003。



2006.6.4 13:05更新：



微软计划于6.13发布此漏洞的补丁。









特洛伊程式 1Table.A 與 後門特洛伊程式 Gusi.A 以及 Gusi.B 是本週病毒週報要討論的對象。

1Table.A 是利用最新被發掘到之微軟Word文書處理程式的安全漏洞入侵電腦，而此漏洞至今還未有修補程式出現。此特洛伊透過合法的word文件或其他內嵌word 文件之微軟 Office文件進入電腦。一旦此文件被開啟，此特洛伊便會在應用程式中觸發一個緩衝區溢位，而讓攻擊者以登錄使用者相同權限執行任何的程式；如果使用者具有系統管理者權限，攻擊者便可取得此電腦的完全控制權。同時，此特洛伊也會利用該漏洞注入 Gusi 後門特洛伊變種（Gusi.A 或 Gusi.B）到受感染的系統中。1Table.A 無法自行散播，它需要使用者的某些舉動才能進入具有漏洞的系統並進一步利用這些安全漏洞，這些舉動包括開啟電子郵件附件、由網路或P2P下載檔案等等。

Gusi.A 是一隻無法自行進入電腦的後門特洛伊程式，而需要利用其他惡意程式帶入電腦中，例如前述中的 1Table.A 。當進入電腦後，它會注入自己到IE瀏覽器，並且關連幾個特定的API功能以做到不驚動使用者的目的。當安裝完成後，它會傳送出受到入侵之電腦的資料、等待指令如由遠端攻擊者開啟視窗命令列（cmd.exe）。該特洛伊會視窗系統目錄中加入 Winguis.dll 檔案，並在 Driver 目錄中加入 Etport.sys、Ispubdrv.sys 與 Rvdport.sys 檔案，同時它也會產生稱為 20060426.bak 的檔案。

同時，它也會複製它自己到視窗登錄記錄的 AppInit_DLLs 中，讓每次電腦開機時也一併啟動。

Gusi.B 是 Gusi.A 的一個變種，它也是透過其他特洛伊程式進入到電腦，如 1Table.A，利用嚴重的微軟Word文件的一個安全性漏洞散播。一個感染後的明顯徵兆是IE瀏覽器執行錯誤，讓電腦無法開啟網際網路連線。一旦進入受到感染的電腦，它會開啟一連串的通訊埠，由1032開始，以傳送受感染電腦的資料出去並接收將在電腦上執行的指令。然後，它會插入自己的程式碼到IE瀏覽器並連線到 222.9.X.X 的IP地址。它使用rootkit技巧隱藏它的檔案，此後門特洛伊會在電腦中的視窗系統目錄製作 Zsydll.Dll 與 Zsyhide.Dll 檔案，同時它也會產生稱為 20060426.bak 的檔案。

為了保證每次電腦開機時也會一併啟動，Gusi.B 會產生一個登錄記錄 AppInit_DLLs 以及數個記錄在 HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Winlogon\ Notify\ zsydll 中。


]]> http://www.jackxiang.com/post/97/#blogcomment12 teddy <user@domain.com> Fri, 03 Nov 2006 07:15:52 +0000 http://www.jackxiang.com/post/97/#blogcomment12