W32.Gammima.AG

病蟲執行時，會下載下列檔案：

• %System%\kavo.exe
• %System%\kavo0.dll

檔案 kavo0.dll 接著會被插入所有執行中的程序。

還會建立下列檔案，而此檔案是 Hacktool.Rootkit 的複本：
%Temp%\[RANDOM FILE NAME].dll

接著病蟲將自己複製到所有磁碟機 (從 C 到 Z)，如下列檔案所示：
[磁碟機代號]:\ntdelect.com

它還會建立下列檔案，如此每當磁碟機被存取時它就會執行：
[磁碟機代號]:\autorun.inf

接下來，病蟲會建立下列的登錄項目，以便讓它在每當 Windows 啟動時執行：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "%System%\kavo.exe"

它還會刪除下列登錄項目：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91"

病蟲會檢查是否已經插入下列任何程序中：

• zhengtu.dat
• elementclient.exe
• dekaron.exe
• hyo.exe
• wsm.exe and ybclient.exe
• fairlyclient.exe
• so3d.exe
• maplestory.exe
• r2client.exe
• InphaseNXD.EXE

然後，試圖竊取下列線上遊戲的機密資訊：

• 征途
• 完美世界
• Dekaron 死亡魔界
• 黃易群俠傳 Online
• 熱血江湖
• 洛汗 ROHAN
• 希望 Online
• 楓之谷
• R2 (Reign of Revolution)
• 天翼之鍊

如果發現對話方塊具備下列特徵，病蟲便會結束 Matrix Password 程序：
標題： MatrixPasswordDlg
訊息：警告！ (中文)

接著將採集到的資訊透過 HTTP 傳送給遠端的攻擊者。

建議事項

賽門鐵克安全機制應變中心建議所有使用者與系統管理員遵循下列基本安全「最佳實務準則」：

• 關閉並移除不需要的服務。 許多作業系統會預設安裝一些不重要的輔助服務，例如 FTP 伺服器、Telnet 及網頁伺服器。 這些服務等於提供了攻擊的目標。當這些服務移除之後，混合型威脅就比較不容易找到下手的目標，同時您在進行系統的修正更新時就不需要維護過多的服務。
• 如果混合式威脅攻擊一或多項網路服務，在套用修正程式之前，請先停用或攔截這些服務的存取。
• 務必記得要隨時更新修正程式，特別是那些用來裝載公開服務 (像是 HTTP、FTP、郵件及 DNS 服務)，不被防火牆阻擋的電腦更需要注意 (例如，所有 Windows 電腦都應安裝最新的 Service Pack)。. 此外，請套用任何在本報導中、信任的安全公報或廠商網站上提到的安全更新。
• 強制執行密碼政策。 在遭到破壞的電腦上，複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來，當電腦遭受破壞時，可以有效降低資料的損害程度。
• 設定郵件伺服器來攔截或移除包含特定檔案附件的電子郵件，像是 .vbs、.bat、.exe、.pif 與 .scr 等這類常被用來散播病毒的檔案。
• 迅速隔離受感染的電腦，以免進一步危害您的組織。 這時候請仔細檢查這些受感染的電腦，並使用可信賴的媒體來還原至可用狀態。
• 訓練員工不要開啟非預期的附件。 同時，不要執行從 Internet 上下載的軟體，除非它們已經過掃毒。當您造訪一個受感染的網站時，如果您的瀏覽器未安裝好弱點修正程式的話，您的電腦很容易就會受到感染。

摘要