Ginwui后门程序分析

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　东软 攻防实验室 叶杰燎

　　今年5月19日CVE发布编号为CVE-2006-2492安全公告，Microsoft Word处理DOC文件存在缓冲区溢出漏洞，Microsoft Word运行特殊构造的doc文件，导致执行任意代码。远程攻击者可以利用此漏洞通过诱骗用户打开恶意DOC文件在用户机器上执行任意指令。微软于6月13号发布该漏洞的补丁。5月24日发现攻击者利用此漏洞构造特殊的Word文档进行传播，存在漏洞的Word打开该文档将导致文件中的后门Ginwui.exe运行，下面我们分析这个后门的运作机制。

一、 Ginwui.exe的行为分析

　　Ginwui.exe将自身复制为临时目录下的20060426.bak，然后执行20060426.bak并删除原程序文件Ginwui.exe。20060426.bak文件释放zsydll.dll和zsyhide.dll到%windir%system32目录下并将zsydll.dll注入Winlogon.exe进程中。Winlogon.exe启动%ProgramFiles%Internet ExplorerIEXPLORE.EXE,并连接域名scfzf.xicp.net 。zsyhide.dll在注册表AppInit_DLLs键下添加%windir%system32zsyhide.dll，zsydll.dll在注册表创建zsydll项以便系统重启后重新加载运行。

　　zsyhide.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLs"="C:WINNTsystem32zsyhide.dll"

　　zsydll.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyzsydll]

"DllName"="C:WINNTsystem32zsydll.dll"

"Shutdown"="DoShutdown"

"Startup"="DoStartup"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000000

二、 Ginwui.exe的清除方法

　　系统重启后执行cmd.exe，把%windir%system32目录下的zsydll.dll和zsyhide.dll改名，删除在注册表中的zsydll项和AppInit_DLLs项下的C:WINNTsystem32zsyhide.dll键值。重启系统把%windir%system32目录下的zsyhide.dll和zsydll.dll删除（改名后的文件），临时目录下的20060426.bak可以直接删除。

三、 危害

　　远程攻击者完全控制被攻击的主机，拥有系统权限，可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。

四、 传播方式

　　Ginwui.exe是目前利用WORD漏洞进行传播的木马程序，从上面分析来看不仅可以利用WORD漏洞进行传播，还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。

五、 防范措施

　　6月13日微软发布等级为严重的安全公告 MS06-027（Microsoft Word 中的漏洞可能允许远程执行代码），该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞，此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁，请及时更新。

　　临时解决方法是以安全模式的方式运行该软件－－在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。

　　微软及杀毒厂商已经把Ginwui.exe定义为Ginwui.B或Backdoor.Win32.Ginwui.b后门病毒。