东软 攻防实验室 叶杰燎
今年5月19日CVE发布编号为CVE-2006-2492安全公告,Microsoft Word处理DOC文件存在缓冲区溢出漏洞,Microsoft Word运行特殊构造的doc文件,导致执行任意代码。远程攻击者可以利用此漏洞通过诱骗用户打开恶意DOC文件在用户机器上执行任意指令。微软于6月13号发布该漏洞的补丁。5月24日发现攻击者利用此漏洞构造特殊的Word文档进行传播,存在漏洞的Word打开该文档将导致文件中的后门Ginwui.exe运行,下面我们分析这个后门的运作机制。
一、 Ginwui.exe的行为分析
Ginwui.exe将自身复制为临时目录下的20060426.bak,然后执行20060426.bak并删除原程序文件Ginwui.exe。20060426.bak文件释放zsydll.dll和zsyhide.dll到%windir%system32目录下并将zsydll.dll注入Winlogon.exe进程中。Winlogon.exe启动%ProgramFiles%Internet ExplorerIEXPLORE.EXE,并连接域名scfzf.xicp.net 。zsyhide.dll在注册表AppInit_DLLs键下添加%windir%system32zsyhide.dll,zsydll.dll在注册表创建zsydll项以便系统重启后重新加载运行。
zsyhide.dll文件注册表详细导出:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"="C:WINNTsystem32zsyhide.dll"
zsydll.dll文件注册表详细导出:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyzsydll]
"DllName"="C:WINNTsystem32zsydll.dll"
"Shutdown"="DoShutdown"
"Startup"="DoStartup"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000000
二、 Ginwui.exe的清除方法
系统重启后执行cmd.exe,把%windir%system32目录下的zsydll.dll和zsyhide.dll改名,删除在注册表中的zsydll项和AppInit_DLLs项下的C:WINNTsystem32zsyhide.dll键值。重启系统把%windir%system32目录下的zsyhide.dll和zsydll.dll删除(改名后的文件),临时目录下的20060426.bak可以直接删除。
三、 危害
远程攻击者完全控制被攻击的主机,拥有系统权限,可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。
四、 传播方式
Ginwui.exe是目前利用WORD漏洞进行传播的木马程序,从上面分析来看不仅可以利用WORD漏洞进行传播,还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。
五、 防范措施
6月13日微软发布等级为严重的安全公告 MS06-027(Microsoft Word 中的漏洞可能允许远程执行代码),该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞,此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁,请及时更新。
临时解决方法是以安全模式的方式运行该软件--在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。
微软及杀毒厂商已经把Ginwui.exe定义为Ginwui.B或Backdoor.Win32.Ginwui.b后门病毒。