特洛伊病毒Win32.Grum.D

病毒名称：特洛伊病毒Win32.Grum.D

其它名称：Downloader-BBI (McAfee), Infostealer.Gampass (Symantec), W32/Grum-E (Sophos), Trojan-Proxy.Win32.Small.du (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：低

具体介绍：

病毒特性：

Win32/Grum.D 是一种感染可运行文件的病毒，它还会发送病毒邮件并将病毒代码注入正在运行程序中。它是大小为 36,864字节的Win32 可运行程序。

感染方式

第一运行时，Grum.D复制"winlogon.exe"到%Temp% 目录，并运行这个文件。随后生成一个批处理文件，用来删除原始的运行文件和这个批处理文件。

病毒还会生成以下注册表键值，为了在每次系统启动时运行病毒文件：

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunFirewall auto setup = "%Temp%winlogon.exe"

这个键值在一定的间隔重复生成。

Grum.D 还生成两个互斥体"Hi all" 和 "Already start"。

注：%Temp%是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径"C:Documents and Settings<username>Local SettingsTemp"，或 "C:WINDOWSTEMP"。

传播方式

通过文件感染

Win32/Grum.D列举以下注册表的键值：

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Grum找到相关键值后，在感染相关文件之前，都会将相关文件重命名为 .rgn为扩展名的文件。

例如，如果Grum 找到 C:WINDOWSSystem32ctfmon.exe，就会将它重命名为C:WINDOWSSystem32ctfmon.rgn，随后生成感染的副本C:WINDOWSSystem32ctfmon.exe。另一方面，将C:Program FilesMessengermsmsgs.exe /background 重命名为 C:Program FilesMessengermsmsgs.exe /backgr.rgn失败。

危害

发送垃圾邮件

Win32/Grum.D发送的垃圾邮件带有恶意代码。这个代码不会作为一个单独的文件生成，但是会通过Grum 在内存中运行。

修改程序

Win32/Grum.D尝试将代码注入被感染机器上每个正在运行的程序中。注入的代码hook本地的API，有效的隐藏Grum在被感染机器上的存在。

其它信息

病毒生成以下注册表：

HKCUSoftwareMicrosoftInternet ExplorerDesktophost = "66.232.127.178"

HKCUSoftwareMicrosoftInternet ExplorerSecurityhost = "66.232.127.178"

病毒定期的重复生成这些键值。

Grum的目标系统是Windows XP Service Pack2，在其它系统上病毒的危害不会实现。

清除：

KILL安全胄甲Vet 30.7.3608版本可检测/清除此病毒。