W32.Gammima.AG

友善列印頁面

已偵測: August 27, 2007
已更新: January 22, 2008 2:16:52 AM
又稱為: Worm.Win32.AutoRun.bhx [Kaspersky], Trojan-PSW.Win32.OnLineGames.rlh [Kaspersky], Trojan-PSW.Win32.OnLineGames.sxa [Kaspersky]
類型: Worm
感染範圍: 75,520 位元組
受影響的系統: Windows

W32.Gammima.AG 是透過將自己複製到抽取式媒體來散播的病蟲。它也會竊取進入各種不同線上遊戲的密碼。

病毒防護日期

  • 初始快速發佈版本 August 26, 2007 修訂 039
  • 最新快速發佈版本 June 22, 2019 修訂 019
  • 每日初始認證版本 August 27, 2007 修訂 002
  • 每日最新認證版本 June 23, 2019 修訂 001
  • 每週初始認證版本發佈日期 August 29, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


技術詳細資料

病蟲執行時,會下載下列檔案:

  • %System%\kavo.exe
  • %System%\kavo0.dll


檔案 kavo0.dll 接著會被插入所有執行中的程序。

還會建立下列檔案,而此檔案是 Hacktool.Rootkit 的複本:
%Temp%\[RANDOM FILE NAME].dll

接著病蟲將自己複製到所有磁碟機 (從 C 到 Z),如下列檔案所示:
[磁碟機代號]:\ntdelect.com

它還會建立下列檔案,如此每當磁碟機被存取時它就會執行:
[磁碟機代號]:\autorun.inf

接下來,病蟲會建立下列的登錄項目,以便讓它在每當 Windows 啟動時執行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "%System%\kavo.exe"

它還會刪除下列登錄項目:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91"


病蟲會檢查是否已經插入下列任何程序中:
  • zhengtu.dat
  • elementclient.exe
  • dekaron.exe
  • hyo.exe
  • wsm.exe and ybclient.exe
  • fairlyclient.exe
  • so3d.exe
  • maplestory.exe
  • r2client.exe
  • InphaseNXD.EXE


然後,試圖竊取下列線上遊戲的機密資訊:
  • 征途
  • 完美世界
  • Dekaron 死亡魔界
  • 黃易群俠傳 Online
  • 熱血江湖
  • 洛汗 ROHAN
  • 希望 Online
  • 楓之谷
  • R2 (Reign of Revolution)
  • 天翼之鍊


如果發現對話方塊具備下列特徵,病蟲便會結束 Matrix Password 程序:
標題: MatrixPasswordDlg
訊息: 警告! (中文)

接著將採集到的資訊透過 HTTP 傳送給遠端的攻擊者。

建議事項

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.


移除

下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。

  1. 停用「系統還原」(Windows Me/XP)。
  2. 更新病毒定義檔。
  3. 執行全系統掃描。
  4. 刪除任何新增到登錄的值。

如需關於這些步驟的詳細資訊,請閱讀下列指示。

1. 停用「系統還原」(Windows Me/XP)
如果您執行的是 Windows Me 或 Windows XP,我們建議您暫時關閉「系統還原」。 Windows Me/XP 會使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或木馬程式感染了電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或木馬程式備份起來。

Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。

同時,病毒掃描可能會偵測到「系統還原」資料夾裡的威脅,即使您已移除該威脅亦然。

有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:

注意: 當您全部完成了移除程序之後,並且確定威脅已經移除,請依循上述文件中的指示重新啟用「系統還原」。

如需其他資訊以及停用 Windows Me「系統還原」的其他方法,請參閱 Microsoft 知識庫的文章:防毒工具無法清除 _Restore 資料夾中受感染的檔案 (文章編號:Q263455)。

2. 更新病毒定義檔
「賽門鐵克安全機制應變中心」在將所有病毒定義檔公佈於伺服器之前已完成品質測試。您可以使用下列兩種方式來取得最新的病毒定義檔:
  • 執行 LiveUpdate 是獲得病毒定義檔的最簡單方法。

    如果您使用的是 Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 或更新的產品,LiveUpdate 定義檔會每日更新。這些產品包含較新的技術。

    如果您使用的是 Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 或之前的產品,LiveUpdate 定義檔會每週更新。發生重大疫情時則例外,此時定義檔會較常更新。


  • 使用 Intelligent Updater (智慧型更新小幫手)下載定義檔:智慧型更新小幫手病毒定義檔每天都會公佈。 您必須由「賽門鐵克安全機制應變中心」網站下載及手動安裝定義檔。

最新的 Intelligent Updater (智慧型更新小幫手) 病毒定義檔可由此處取得:Intelligent Updater (智慧型更新小幫手) 病毒定義檔 。 如需詳細指示,請參閱文件:如何使用 Intelligent Updater (智慧型更新小幫手) 來更新病毒定義檔

3. 執行全系統掃描
  1. 啟動您的賽門鐵克防毒程式,確定已設定為掃描所有檔案。

    Norton AntiVirus 消費者產品:請參閱文件:「如何設定 Norton AntiVirus 以掃描所有檔案」。

    賽門鐵克企業版防毒產品:請參閱文件:「如何確認 Symantec Corporate 防毒產品已設定為掃描所有檔案」。


  2. 執行全系統掃描。
  3. 如果有偵測到任何檔案,請遵循防毒程式所顯示的指示。
重要: 如果您無法啟動您的賽門鐵克防毒產品,或產品報告它無法將偵測到的檔案刪除,您可能需要使風險停止執行,才能將其移除。 若要這樣做,請在安全模式中執行掃描。 如需指示,請參閱「如何啟動電腦至安全模式 」文件。 一旦您用「安全模式」重新啟動,請再次執行掃描。
檔案刪除後,重新啟動電腦至正常模式,然後繼續下一節。

由於此時威脅並未完全地移除,因此電腦重新啟動時可能會顯示警告訊息。您可以忽略這些訊息並按下「確定」。在移除指示完成後,這些訊息將不會在電腦重新啟動後出現。顯示的訊息內容與下列類似:

標題: [檔案路徑]
郵件內文: Windows cannot find [檔案名稱]。 確定您輸入了正確的名稱,然後再試一次。若要搜尋檔案,請按下「開始」按鈕,接著按下「搜尋」。

4. 從登錄中移除值
重要: 對系統登錄進行任何修改之前,賽門鐵克強烈建議您最好先將登錄備份起來。 對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。只修改指定的子機碼。如需指示,請參閱文件:如何備份 Windows 的登錄
  1. 按下「開始」>「執行」。
  2. 輸入 regedit,
  3. 按下「確定」。

    注意:如果無法開啟登錄編輯程式,可能是由於威脅修改了登錄,使得登錄編輯程式無法被存取。 「安全機制應變中心」已開發出一個可以解決這個問題的工具。 請下載並執行這個工具,然後繼續移除程序。

  4. 跳到下列項目並予以刪除:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "%System%\kavo.exe"

  5. 必要時,將下列登錄子機碼還原為其先前的值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"

  6. 結束「登錄編輯程式」。

報導者: Masaki Suenaga